將DMS集成至企業(yè)開發(fā)平臺(tái)
本文為您介紹如何將數(shù)據(jù)管理DMS集成至企業(yè)或組織內(nèi)部的開發(fā)平臺(tái)中。
使用流程概覽
身份認(rèn)證
使用阿里云統(tǒng)一身份認(rèn)證服務(wù)登錄數(shù)據(jù)管理DMS,在使用DMS之前您需要準(zhǔn)備企業(yè)或組織訪問DMS的阿里云RAM賬號(hào)。
初始化DMS
將DMS集成至企業(yè)開發(fā)平臺(tái)
錄入數(shù)據(jù)庫實(shí)例
錄入數(shù)據(jù)庫實(shí)例至DMS后,您才可以使用DMS功能對(duì)數(shù)據(jù)庫進(jìn)行管理。
步驟一:身份認(rèn)證
阿里云身份認(rèn)證
若企業(yè)或組織已在阿里云建立完整的RAM賬號(hào)體系,則可忽略身份認(rèn)證步驟。
新增RAM用戶,請(qǐng)參見創(chuàng)建RAM用戶。
自建身份體系
若企業(yè)或組織已有內(nèi)部自建的身份認(rèn)證體系,且未與阿里云對(duì)接,建議您使用IDaaS對(duì)接阿里云RAM賬戶體系。
通過IDaaS對(duì)接阿里云RAM賬戶體系時(shí),企業(yè)將作為身份提供方(IdP)。圖示如下:
創(chuàng)建IDaaS EIAM實(shí)例。
登錄阿里云IDaaS控制臺(tái),開通實(shí)例。具體操作,請(qǐng)參見免費(fèi)開通實(shí)例。
綁定IDaaS的身份提供方。
綁定后可以通過對(duì)應(yīng)的身份提供方登錄到IDaaS中的應(yīng)用,例如通過釘釘?shù)卿洶⒗镌芐SO。此外,還可以將原有賬戶體系內(nèi)的賬戶同步至IDaaS。具體操作,請(qǐng)參見身份提供方。
創(chuàng)建IDaaS賬戶。
您可通過手動(dòng)創(chuàng)建或調(diào)用OpenAPI創(chuàng)建賬號(hào)。具體操作,請(qǐng)參見創(chuàng)建賬戶和CreateUser - 創(chuàng)建一個(gè)EIAM賬戶。
說明若您已通過步驟2將企業(yè)內(nèi)部賬號(hào)同步至IDaaS,則可忽略該步驟。
創(chuàng)建應(yīng)用。
應(yīng)用是IDaaS中承載業(yè)務(wù)應(yīng)用、系統(tǒng)、服務(wù)的載體。本文以角色SSO和用戶SSO舉例,為您展示如何添加應(yīng)用:
創(chuàng)建阿里云用戶SSO應(yīng)用
具體操作,請(qǐng)參見創(chuàng)建應(yīng)用。
說明若已開啟用戶SSO功能,請(qǐng)務(wù)必先保存現(xiàn)有的元數(shù)據(jù)文檔,避免被覆蓋之后無法回滾。同時(shí),綁定了新的元數(shù)據(jù)文檔后,該RAM賬號(hào)原有的用戶SSO登錄設(shè)置將失效。
成功創(chuàng)建應(yīng)用后,您可以使用賬號(hào)同步功能將IDaaS賬號(hào)同步至RAM,省去手動(dòng)創(chuàng)建的步驟。更多信息,請(qǐng)參見賬戶/組織同步。
創(chuàng)建阿里云角色SSO應(yīng)用
若使用角色SSO,則無需創(chuàng)建多個(gè)RAM用戶,其他用戶可以使用RAM角色登錄阿里云。具體操作,請(qǐng)參見阿里云角色SSO。
通過IDaaS登錄應(yīng)用。
具體操作,請(qǐng)參見首次單點(diǎn)登錄。
當(dāng)管理員在完成用戶SSO的相關(guān)配置后,企業(yè)員工Alice登錄到阿里云的操作流程圖如下。更多信息,請(qǐng)參見用戶SSO概覽。
步驟二:初始化數(shù)據(jù)管理DMS
當(dāng)管理員完成與阿里云身份認(rèn)證體系的對(duì)接后,企業(yè)用戶即可使用阿里云賬號(hào)(包含主賬號(hào)、RAM用戶和RAM角色)登錄DMS。用戶首次登錄DMS時(shí),DMS會(huì)將登錄的用戶設(shè)置為DMS管理員,其余登錄用戶將會(huì)被初始化為普通用戶。
了解用戶在DMS的系統(tǒng)角色
DMS提供了5種系統(tǒng)角色,包括普通用戶、安全管理員、DBA、管理員和結(jié)構(gòu)只讀。
不同的系統(tǒng)角色具有不同的權(quán)限,您可根據(jù)各角色適用的群體及支持使用的功能,授予用戶DMS系統(tǒng)角色。詳細(xì)信息,請(qǐng)參見系統(tǒng)角色。
錄入用戶
如下為您介紹將企業(yè)內(nèi)的員工添加到DMS的兩種方式:
自動(dòng)錄入
若您使用阿里云賬號(hào)(主賬號(hào))登錄、初始化DMS,DMS會(huì)自動(dòng)將該主賬號(hào)下的所有RAM用戶同步至DMS。
若您使用阿里云RAM用戶登錄、初始化DMS,則無法自動(dòng)同步其他賬號(hào)至DMS。如需使用自動(dòng)同步功能,請(qǐng)您手動(dòng)將阿里云賬號(hào)(主賬號(hào))添加至DMS,后續(xù)DMS會(huì)自動(dòng)添加該主賬號(hào)下的所有子賬號(hào)至DMS。
該同步操作由DMS全局配置項(xiàng)(默認(rèn)開啟)控制。配置項(xiàng)信息,請(qǐng)參見配置管理。
手動(dòng)錄入
- 登錄數(shù)據(jù)管理DMS 5.0。
單擊控制臺(tái)左上角的
圖標(biāo),選擇。說明若您使用的是非極簡(jiǎn)模式的控制臺(tái),在頂部菜單欄中,選擇。
添加用戶。
手動(dòng)添加任意用戶
單擊新增,填入待添加用戶的阿里云賬號(hào)UID、為用戶設(shè)置系統(tǒng)角色,再單擊確認(rèn)。
手動(dòng)添加當(dāng)前阿里云賬號(hào)下的RAM用戶
單擊同步子賬號(hào),選中需要同步的用戶,再單擊添加選中用戶。用戶添加完成后,您可以為用戶設(shè)置系統(tǒng)角色。更多系統(tǒng)角色操作,請(qǐng)參見編輯用戶信息。
步驟三:將DMS集成至企業(yè)開發(fā)平臺(tái)
在完成阿里云身份認(rèn)證體系對(duì)接后,您可以通過企業(yè)IdP登錄DMS。此外,如果您需要將DMS集成進(jìn)企業(yè)開發(fā)平臺(tái)中,有如下兩種方式供您選擇。
頁面集成
構(gòu)建DMS頁面的鏈接。
構(gòu)建鏈接時(shí),可以指定跳轉(zhuǎn)至具體的功能頁面。鏈接格式為如下:
https://dms.aliyun.com/new#to={MENU_NAME}例如數(shù)據(jù)變更頁面的跳轉(zhuǎn)鏈接為
https://dms.aliyun.com/new#to=DC_COMMON。普通數(shù)據(jù)變更:DC_COMMON
數(shù)據(jù)導(dǎo)入:DC_BIG_FILE
無鎖變更:DC_CHUNK
可編程對(duì)象:DC_PROC
歷史數(shù)據(jù)清理:DC_CRON_CLEAR
測(cè)試數(shù)據(jù)構(gòu)建:menus_order_data_generate
SQL結(jié)果集導(dǎo)出:DATA_EXPORT
數(shù)據(jù)庫導(dǎo)出:DB_EXPORT
我的權(quán)限:menus_order_my_auth
除上述說明外,還存在如下特殊情況:
跳轉(zhuǎn)工單詳情頁鏈接:
https://dms.aliyun.com/?pid={ORDER_ID}。其中ORDER_ID為工單號(hào),可通過OpenAPI或DMS控制臺(tái)獲取。跳轉(zhuǎn)SQL窗口功能頁面鏈接:
https://dms.aliyun.com/websql/index?dbId={DB_ID}&logic={IS_LOGIC}&dbType={DB_TYPE}&instanceId={INSTANCE_ID}DB_ID:數(shù)據(jù)庫ID,整數(shù)類型。
IS_LOGIC:是否為邏輯庫,true或false。
DB_TYPE:數(shù)據(jù)庫類型,您可通過OpenAPI GetPhysicalDatabase獲取相應(yīng)的數(shù)據(jù)庫以及DbType。
INSTANCE_ID:實(shí)例ID,您可通過OpenAPI GetPhysicalDatabase獲取相應(yīng)的數(shù)據(jù)庫及InstanceId。
構(gòu)建免登訪問DMS的鏈接,并將其嵌入內(nèi)部系統(tǒng)中。
使用構(gòu)建的DMS功能頁面鏈接替換掉免登訪問DMS的地址
https://dms.aliyun.com。具體構(gòu)建操作,請(qǐng)參見免登訪問DMS控制臺(tái)。
OpenAPI集成
阿里云身份認(rèn)證體系和自建身份體系認(rèn)證都可以使用OpenAPI集成。
編寫代碼,通過調(diào)用DMS的OpenAPI,完成錄入用戶、資源錄入等相關(guān)操作。DMS支持的API列表,請(qǐng)參見API概覽。
步驟四:錄入數(shù)據(jù)庫實(shí)例
了解管控模式
錄入DMS的每一個(gè)數(shù)據(jù)庫實(shí)例都需要設(shè)置一種管控模式,管控模式有自由操作、穩(wěn)定變更和安全協(xié)同,各個(gè)管控模式適用于不同的場(chǎng)景,支持的功能也各不相同。更多管控模式信息,請(qǐng)參見管控模式。
錄入實(shí)例
了解DMS支持的數(shù)據(jù)庫
詳細(xì)信息,請(qǐng)參見DMS支持的數(shù)據(jù)庫。
添加IP白名單
為確保DMS能夠正常訪問您的數(shù)據(jù)庫實(shí)例,您需要在數(shù)據(jù)庫實(shí)例的安全設(shè)置(防火墻、白名單、安全組等)中添加對(duì)應(yīng)地域的DMS的IP地址。DMS白名單列表,請(qǐng)參見添加DMS IP地址。
錄入的操作步驟
將數(shù)據(jù)庫實(shí)例錄入至DMS,具體操作,請(qǐng)見云數(shù)據(jù)庫錄入和他云或自建數(shù)據(jù)庫錄入。
錄入的API接口,請(qǐng)參見AddInstance - 錄入數(shù)據(jù)庫實(shí)例。
其他操作
將DMS集成至企業(yè)或組織的開發(fā)平臺(tái),且在實(shí)例資源錄入DMS后,您可以在DMS進(jìn)行訪問控制、設(shè)置審批流程、設(shè)置消息通知方式等操作。更多DMS支持的功能詳情,請(qǐng)參見功能特性。
訪問控制
訪問控制是指對(duì)托管在DMS的實(shí)例、數(shù)據(jù)庫、表等資源進(jìn)行權(quán)限管理,可按需給授權(quán)對(duì)象登錄、查詢、導(dǎo)出、變更等權(quán)限類型,從而保障企業(yè)數(shù)據(jù)安全。更多信息,請(qǐng)參見訪問控制權(quán)限概述。
權(quán)限類型
DMS中對(duì)于數(shù)據(jù)的訪問權(quán)限有如下三種:
查詢權(quán)限:指在SQL窗口執(zhí)行查詢SQL的權(quán)限。
變更權(quán)限:指擁有在SQL窗口執(zhí)行變更語句的權(quán)限(SQL窗口執(zhí)行變更語句還受管理員配置的安全規(guī)則約束);擁有提交數(shù)據(jù)變更、庫表同步工單的權(quán)限(非直接變更)。
導(dǎo)出權(quán)限:指擁有提交數(shù)據(jù)導(dǎo)出工單的權(quán)限(非直接導(dǎo)出)。
不同資源層級(jí)的權(quán)限具有繼承關(guān)系,例如用戶被授予實(shí)例級(jí)別的查詢權(quán)限,則對(duì)該實(shí)例下所有庫、表均具有相應(yīng)的查詢權(quán)限。
DMS出于系統(tǒng)安全的考量,不允許用戶在SQL窗口查詢大量數(shù)據(jù)。當(dāng)需要查詢的數(shù)據(jù)量超出一定限制時(shí),將無法查詢數(shù)據(jù),例如自由操作實(shí)例每次最多允許查詢3000條數(shù)據(jù)。若需要查詢完整數(shù)據(jù),則可以先申請(qǐng)導(dǎo)出權(quán)限,再提交數(shù)據(jù)導(dǎo)出工單查詢數(shù)據(jù)。
若您為實(shí)例開啟了敏感數(shù)據(jù)保護(hù)功能,且為部分字段設(shè)置了敏感等級(jí),您還可以管理敏感字段的相關(guān)權(quán)限。更多信息,請(qǐng)參見敏感數(shù)據(jù)保護(hù)概覽和管理訪問控制權(quán)限。
資源角色
DMS提供了四種資源角色,分為實(shí)例DBA、實(shí)例Owner、數(shù)據(jù)庫Owner和表Owner,各個(gè)角色所支持的功能和權(quán)限各不相同。更多信息,請(qǐng)參見資源角色。
授權(quán)方式
DMS支持兩種獲取權(quán)限的方式,分別為權(quán)限管理者主動(dòng)給需求方授權(quán)、需求方主動(dòng)申請(qǐng)權(quán)限。
主動(dòng)授權(quán)
管理員、DBA可以通過資源管理頁面或用戶管理頁面為用戶授予權(quán)限。例如為多個(gè)用戶授予同一資源權(quán)限,或?yàn)槎鄠€(gè)用戶授予多個(gè)資源的權(quán)限。具體操作,請(qǐng)參見管理訪問控制權(quán)限。
如果管理員需要同時(shí)為多個(gè)用戶授予資源的權(quán)限,可以使用權(quán)限模板對(duì)具有相同業(yè)務(wù)屬性的資源進(jìn)行統(tǒng)一管理。具體操作,請(qǐng)參見創(chuàng)建權(quán)限模板。
申請(qǐng)權(quán)限
DMS中的用戶可以通過提交工單的方式申請(qǐng)權(quán)限。具體操作,請(qǐng)參見管理訪問控制權(quán)限。
審批流程
DMS工單系統(tǒng)中內(nèi)置了審批能力,僅當(dāng)工單審批之后才能進(jìn)行相關(guān)數(shù)據(jù)庫操作。
自定義審批流程
DMS中通過審批模板來定義審批流,一個(gè)審批模板中可包含多個(gè)審批節(jié)點(diǎn),一個(gè)審批節(jié)點(diǎn)中可包含多個(gè)審批人。
審批通過
當(dāng)流程中所有的審批節(jié)點(diǎn)都通過時(shí),整個(gè)審批流程結(jié)束,工單會(huì)進(jìn)入下一個(gè)環(huán)節(jié)。
審批拒絕或撤銷
當(dāng)審批節(jié)點(diǎn)的審批人執(zhí)行拒絕操作或工單創(chuàng)建者執(zhí)行撤銷操作,則審批流結(jié)束,工單未通過審批。
僅當(dāng)實(shí)例管控模式為安全協(xié)同時(shí),才可以自定義審批流程。其他模式實(shí)例僅支持使用DMS內(nèi)置的審批流程。更多信息,請(qǐng)參見自定義工單審批流程。
審批操作
DMS支持的審批操作如下:
同意:審批人同意申請(qǐng),進(jìn)入下一審批節(jié)點(diǎn)。
拒絕:審批人拒絕申請(qǐng),工單審批流終止,您需要重新提交數(shù)據(jù)庫工單。
撤銷:審批流發(fā)起人終止審批流。
轉(zhuǎn)交:當(dāng)前審批人將審批權(quán)轉(zhuǎn)交給其他用戶。
加簽:分為前加簽和后加簽,在當(dāng)前審批節(jié)點(diǎn)前或后添加一個(gè)審批節(jié)點(diǎn)(審批人)。
其他配置
若您需要增加越權(quán)審批用戶,即給本不具備審批指定或全部類型工單權(quán)限的用戶增加允許參與審批工單權(quán)限,則可以在配置管理功能頁面中進(jìn)行操作。具體操作,請(qǐng)參見配置管理。
增加越權(quán)配置后,滿足越權(quán)審批條件的用戶或角色將可以執(zhí)行同意、拒絕、加簽或撤銷操作,其他情況下保持不變。
消息通知
DMS默認(rèn)全面開啟多種工單類型、任務(wù)流的不同狀態(tài)消息通知功能,支持自定義接收對(duì)象,可實(shí)現(xiàn)消息通知的按需、有效觸達(dá)。支持的通知方式包含手機(jī)短信、郵件、釘釘、飛書、專屬釘、釘釘機(jī)器人和Webhook等。
配置個(gè)人消息通知方式,根據(jù)業(yè)務(wù)需求填寫通知方式所需的手機(jī)號(hào)、驗(yàn)證碼等信息。具體步驟,請(qǐng)參見配置個(gè)人信息及通知方式。
配置需要通知的工單類型,以及觸發(fā)條件,例如審批通過、工單執(zhí)行完成等。更多信息,請(qǐng)參見消息通知管理。