将DMS集成至企业开发平台

本文为您介绍如何将数据管理DMS集成至企业或组织内部的开发平台中。

使用流程概览

  1. 身份认证

    使用阿里云统一身份认证服务登录数据管理DMS,在使用DMS之前您需要准备企业或组织访问DMS的阿里云RAM账号。

  2. 初始化DMS

  3. 将DMS集成至企业开发平台

  4. 录入数据库实例

    录入数据库实例至DMS后,您才可以使用DMS功能对数据库进行管理。

步骤一:身份认证

阿里云身份认证

若企业或组织已在阿里云建立完整的RAM账号体系,则可忽略身份认证步骤。

新增RAM用户,请参见创建RAM用户

自建身份体系

若企业或组织已有内部自建的身份认证体系,且未与阿里云对接,建议您使用IDaaS对接阿里云RAM账户体系。

通过IDaaS对接阿里云RAM账户体系时,企业将作为身份提供方(IdP)。图示如下:

image
  1. 创建IDaaS EIAM实例。

    登录阿里云IDaaS控制台,开通实例。具体操作,请参见免费开通实例

  2. 绑定IDaaS的身份提供方。

    绑定后可以通过对应的身份提供方登录到IDaaS中的应用,例如通过钉钉登录阿里云SSO。此外,还可以将原有账户体系内的账户同步至IDaaS。具体操作,请参见身份提供方

  3. 创建IDaaS账户。

    您可通过手动创建或调用OpenAPI创建账号。具体操作,请参见创建账户CreateUser - 创建一个EIAM账户

    说明

    若您已通过步骤2将企业内部账号同步至IDaaS,则可忽略该步骤。

  4. 创建应用。

    应用是IDaaS中承载业务应用、系统、服务的载体。本文以角色SSO和用户SSO举例,为您展示如何添加应用:

    • 创建阿里云用户SSO应用

      具体操作,请参见创建应用

      说明

      若已开启用户SSO功能,请务必先保存现有的元数据文档,避免被覆盖之后无法回滚。同时,绑定了新的元数据文档后,该RAM账号原有的用户SSO登录设置将失效。

      image.png

      成功创建应用后,您可以使用账号同步功能将IDaaS账号同步至RAM,省去手动创建的步骤。更多信息,请参见账户/组织同步

      image.png

    • 创建阿里云角色SSO应用

      若使用角色SSO,则无需创建多个RAM用户,其他用户可以使用RAM角色登录阿里云。具体操作,请参见阿里云角色SSO

  5. 通过IDaaS登录应用。

    具体操作,请参见首次单点登录

    当管理员在完成用户SSO的相关配置后,企业员工Alice登录到阿里云的操作流程图如下。更多信息,请参见用户SSO概览image.png

步骤二:初始化数据管理DMS

当管理员完成与阿里云身份认证体系的对接后,企业用户即可使用阿里云账号(包含主账号、RAM用户和RAM角色)登录DMS。用户首次登录DMS时,DMS会将登录的用户设置为DMS管理员,其余登录用户将会被初始化为普通用户。

了解用户在DMS的系统角色

DMS提供了5种系统角色,包括普通用户、安全管理员、DBA、管理员和结构只读。

不同的系统角色具有不同的权限,您可根据各角色适用的群体及支持使用的功能,授予用户DMS系统角色。详细信息,请参见系统角色

录入用户

如下为您介绍将企业内的员工添加到DMS的两种方式:

自动录入

  • 若您使用阿里云账号(主账号)登录、初始化DMS,DMS会自动将该主账号下的所有RAM用户同步至DMS。

  • 若您使用阿里云RAM用户登录、初始化DMS,则无法自动同步其他账号至DMS。如需使用自动同步功能,请您手动将阿里云账号(主账号)添加至DMS,后续DMS会自动添加该主账号下的所有子账号至DMS

说明

该同步操作由DMS全局配置项(默认开启)控制。配置项信息,请参见配置管理

手动录入

  1. 登录数据管理DMS 5.0
  2. 单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 运维管理 > 用户管理

    说明

    若您使用的是非极简模式的控制台,在顶部菜单栏中,选择运维管理 > 用户管理

  3. 添加用户。

    • 手动添加任意用户

      单击新增,填入待添加用户的阿里云账号UID、为用户设置系统角色,再单击确认

      image

    • 手动添加当前阿里云账号下的RAM用户

      单击同步子账号,选中需要同步的用户,再单击添加选中用户。用户添加完成后,您可以为用户设置系统角色。更多系统角色操作,请参见编辑用户信息

      image

步骤三:将DMS集成至企业开发平台

在完成阿里云身份认证体系对接后,您可以通过企业IdP登录DMS。此外,如果您需要将DMS集成进企业开发平台中,有如下两种方式供您选择。

页面集成

  1. 构建DMS页面的链接。

    构建链接时,可以指定跳转至具体的功能页面。链接格式为如下:

    https://dms.aliyun.com/new#to={MENU_NAME}

    例如数据变更页面的跳转链接为https://dms.aliyun.com/new#to=DC_COMMON

    MENU_NAME为功能所对应的键值,各个功能的MENU_NAME如下:

    • 普通数据变更:DC_COMMON

    • 数据导入:DC_BIG_FILE

    • 无锁变更:DC_CHUNK

    • 可编程对象:DC_PROC

    • 历史数据清理:DC_CRON_CLEAR

    • 测试数据构建:menus_order_data_generate

    • SQL结果集导出:DATA_EXPORT

    • 数据库导出:DB_EXPORT

    • 我的权限:menus_order_my_auth

    除上述说明外,还存在如下特殊情况:

    • 跳转工单详情页链接:https://dms.aliyun.com/?pid={ORDER_ID}。其中ORDER_ID为工单号,可通过OpenAPI或DMS控制台获取。

    • 跳转SQL窗口功能页面链接:https://dms.aliyun.com/websql/index?dbId={DB_ID}&logic={IS_LOGIC}&dbType={DB_TYPE}&instanceId={INSTANCE_ID}

      • DB_ID:数据库ID,整数类型。

      • IS_LOGIC:是否为逻辑库,true或false。

      • DB_TYPE:数据库类型,您可通过OpenAPI GetPhysicalDatabase获取相应的数据库以及DbType。

      • INSTANCE_ID:实例ID,您可通过OpenAPI GetPhysicalDatabase获取相应的数据库及InstanceId。

  2. 构建免登访问DMS的链接,并将其嵌入内部系统中。

    使用构建的DMS功能页面链接替换掉免登访问DMS的地址https://dms.aliyun.com。具体构建操作,请参见免登访问DMS控制台

    image

OpenAPI集成

阿里云身份认证体系和自建身份体系认证都可以使用OpenAPI集成。

编写代码,通过调用DMS的OpenAPI,完成录入用户、资源录入等相关操作。DMS支持的API列表,请参见API概览

步骤四:录入数据库实例

了解管控模式

录入DMS的每一个数据库实例都需要设置一种管控模式,管控模式有自由操作、稳定变更和安全协同,各个管控模式适用于不同的场景,支持的功能也各不相同。更多管控模式信息,请参见管控模式

录入实例

了解DMS支持的数据库

详细信息,请参见DMS支持的数据库

添加IP白名单

为确保DMS能够正常访问您的数据库实例,您需要在数据库实例的安全设置(防火墙、白名单、安全组等)中添加对应地域的DMS的IP地址。DMS白名单列表,请参见添加DMS IP地址

录入的操作步骤

将数据库实例录入至DMS,具体操作,请见云数据库录入他云或自建数据库录入

录入的API接口,请参见AddInstance - 录入数据库实例

其他操作

将DMS集成至企业或组织的开发平台,且在实例资源录入DMS后,您可以在DMS进行访问控制、设置审批流程、设置消息通知方式等操作。更多DMS支持的功能详情,请参见功能特性

访问控制

访问控制是指对托管在DMS的实例、数据库、表等资源进行权限管理,可按需给授权对象登录、查询、导出、变更等权限类型,从而保障企业数据安全。更多信息,请参见访问控制权限概述

权限类型

DMS中对于数据的访问权限有如下三种:

  • 查询权限:指在SQL窗口执行查询SQL的权限。

  • 变更权限:指拥有在SQL窗口执行变更语句的权限(SQL窗口执行变更语句还受管理员配置的安全规则约束);拥有提交数据变更、库表同步工单的权限(非直接变更)。

  • 导出权限:指拥有提交数据导出工单的权限(非直接导出)。

说明
  • 不同资源层级的权限具有继承关系,例如用户被授予实例级别的查询权限,则对该实例下所有库、表均具有相应的查询权限。

  • DMS出于系统安全的考量,不允许用户在SQL窗口查询大量数据。当需要查询的数据量超出一定限制时,将无法查询数据,例如自由操作实例每次最多允许查询3000条数据。若需要查询完整数据,则可以先申请导出权限,再提交数据导出工单查询数据。

  • 若您为实例开启了敏感数据保护功能,且为部分字段设置了敏感等级,您还可以管理敏感字段的相关权限。更多信息,请参见敏感数据保护概览管理访问控制权限

资源角色

DMS提供了四种资源角色,分为实例DBA、实例Owner、数据库Owner和表Owner,各个角色所支持的功能和权限各不相同。更多信息,请参见资源角色

授权方式

DMS支持两种获取权限的方式,分别为权限管理者主动给需求方授权、需求方主动申请权限。

  • 主动授权

    管理员、DBA可以通过资源管理页面或用户管理页面为用户授予权限。例如为多个用户授予同一资源权限,或为多个用户授予多个资源的权限。具体操作,请参见管理访问控制权限

    如果管理员需要同时为多个用户授予资源的权限,可以使用权限模板对具有相同业务属性的资源进行统一管理。具体操作,请参见创建权限模板

  • 申请权限

    DMS中的用户可以通过提交工单的方式申请权限。具体操作,请参见管理访问控制权限

审批流程

DMS工单系统中内置了审批能力,仅当工单审批之后才能进行相关数据库操作。

自定义审批流程

DMS中通过审批模板来定义审批流,一个审批模板中可包含多个审批节点,一个审批节点中可包含多个审批人。

  • 审批通过

    当流程中所有的审批节点都通过时,整个审批流程结束,工单会进入下一个环节。

  • 审批拒绝或撤销

    当审批节点的审批人执行拒绝操作或工单创建者执行撤销操作,则审批流结束,工单未通过审批。

说明

仅当实例管控模式为安全协同时,才可以自定义审批流程。其他模式实例仅支持使用DMS内置的审批流程。更多信息,请参见自定义工单审批流程

审批操作

DMS支持的审批操作如下:

  • 同意:审批人同意申请,进入下一审批节点。

  • 拒绝:审批人拒绝申请,工单审批流终止,您需要重新提交数据库工单。

  • 撤销:审批流发起人终止审批流。

  • 转交:当前审批人将审批权转交给其他用户。

  • 加签:分为前加签和后加签,在当前审批节点前或后添加一个审批节点(审批人)。

其他配置

若您需要增加越权审批用户,即给本不具备审批指定或全部类型工单权限的用户增加允许参与审批工单权限,则可以在配置管理功能页面中进行操作。具体操作,请参见配置管理

增加越权配置后,满足越权审批条件的用户或角色将可以执行同意、拒绝、加签或撤销操作,其他情况下保持不变。

消息通知

DMS默认全面开启多种工单类型、任务流的不同状态消息通知功能,支持自定义接收对象,可实现消息通知的按需、有效触达。支持的通知方式包含手机短信、邮件、钉钉、飞书、专属钉、钉钉机器人和Webhook等。

  1. 配置个人消息通知方式,根据业务需求填写通知方式所需的手机号、验证码等信息。具体步骤,请参见配置个人信息及通知方式

  2. 配置需要通知的工单类型,以及触发条件,例如审批通过、工单执行完成等。更多信息,请参见消息通知管理