本文为您介绍如何将数据管理DMS集成至企业或组织内部的开发平台中。
使用流程概览
身份认证
使用阿里云统一身份认证服务登录数据管理DMS,在使用DMS之前您需要准备企业或组织访问DMS的阿里云RAM账号。
初始化DMS
将DMS集成至企业开发平台
录入数据库实例
录入数据库实例至DMS后,您才可以使用DMS功能对数据库进行管理。
步骤一:身份认证
阿里云身份认证
若企业或组织已在阿里云建立完整的RAM账号体系,则可忽略身份认证步骤。
新增RAM用户,请参见创建RAM用户。
自建身份体系
若企业或组织已有内部自建的身份认证体系,且未与阿里云对接,建议您使用IDaaS对接阿里云RAM账户体系。
通过IDaaS对接阿里云RAM账户体系时,企业将作为身份提供方(IdP)。图示如下:
创建IDaaS EIAM实例。
登录阿里云IDaaS控制台,开通实例。具体操作,请参见免费开通实例。
绑定IDaaS的身份提供方。
绑定后可以通过对应的身份提供方登录到IDaaS中的应用,例如通过钉钉登录阿里云SSO。此外,还可以将原有账户体系内的账户同步至IDaaS。具体操作,请参见身份提供方。
创建IDaaS账户。
您可通过手动创建或调用OpenAPI创建账号。具体操作,请参见创建账户和CreateUser - 创建一个EIAM账户。
说明若您已通过步骤2将企业内部账号同步至IDaaS,则可忽略该步骤。
创建应用。
应用是IDaaS中承载业务应用、系统、服务的载体。本文以角色SSO和用户SSO举例,为您展示如何添加应用:
通过IDaaS登录应用。
具体操作,请参见首次单点登录。
当管理员在完成用户SSO的相关配置后,企业员工Alice登录到阿里云的操作流程图如下。更多信息,请参见用户SSO概览。
步骤二:初始化数据管理DMS
当管理员完成与阿里云身份认证体系的对接后,企业用户即可使用阿里云账号(包含主账号、RAM用户和RAM角色)登录DMS。用户首次登录DMS时,DMS会将登录的用户设置为DMS管理员,其余登录用户将会被初始化为普通用户。
了解用户在DMS的系统角色
DMS提供了5种系统角色,包括普通用户、安全管理员、DBA、管理员和结构只读。
不同的系统角色具有不同的权限,您可根据各角色适用的群体及支持使用的功能,授予用户DMS系统角色。详细信息,请参见系统角色。
录入用户
如下为您介绍将企业内的员工添加到DMS的两种方式:
自动录入
若您使用阿里云账号(主账号)登录、初始化DMS,DMS会自动将该主账号下的所有RAM用户同步至DMS。
若您使用阿里云RAM用户登录、初始化DMS,则无法自动同步其他账号至DMS。如需使用自动同步功能,请您手动将阿里云账号(主账号)添加至DMS,后续DMS会自动添加该主账号下的所有子账号至DMS。
该同步操作由DMS全局配置项(默认开启)控制。配置项信息,请参见配置管理。
手动录入
- 登录数据管理DMS 5.0。
单击控制台左上角的图标,选择
。说明若您使用的是非极简模式的控制台,在顶部菜单栏中,选择
。添加用户。
手动添加任意用户
单击新增,填入待添加用户的阿里云账号UID、为用户设置系统角色,再单击确认。
手动添加当前阿里云账号下的RAM用户
单击同步子账号,选中需要同步的用户,再单击添加选中用户。用户添加完成后,您可以为用户设置系统角色。更多系统角色操作,请参见编辑用户信息。
步骤三:将DMS集成至企业开发平台
在完成阿里云身份认证体系对接后,您可以通过企业IdP登录DMS。此外,如果您需要将DMS集成进企业开发平台中,有如下两种方式供您选择。
页面集成
构建DMS页面的链接。
构建链接时,可以指定跳转至具体的功能页面。链接格式为如下:
https://dms.aliyun.com/new#to={MENU_NAME}
例如数据变更页面的跳转链接为
https://dms.aliyun.com/new#to=DC_COMMON
。除上述说明外,还存在如下特殊情况:
跳转工单详情页链接:
https://dms.aliyun.com/?pid={ORDER_ID}
。其中ORDER_ID为工单号,可通过OpenAPI或DMS控制台获取。跳转SQL窗口功能页面链接:
https://dms.aliyun.com/websql/index?dbId={DB_ID}&logic={IS_LOGIC}&dbType={DB_TYPE}&instanceId={INSTANCE_ID}
DB_ID:数据库ID,整数类型。
IS_LOGIC:是否为逻辑库,true或false。
DB_TYPE:数据库类型,您可通过OpenAPI GetPhysicalDatabase获取相应的数据库以及DbType。
INSTANCE_ID:实例ID,您可通过OpenAPI GetPhysicalDatabase获取相应的数据库及InstanceId。
构建免登访问DMS的链接,并将其嵌入内部系统中。
使用构建的DMS功能页面链接替换掉免登访问DMS的地址
https://dms.aliyun.com
。具体构建操作,请参见免登访问DMS控制台。
OpenAPI集成
阿里云身份认证体系和自建身份体系认证都可以使用OpenAPI集成。
编写代码,通过调用DMS的OpenAPI,完成录入用户、资源录入等相关操作。DMS支持的API列表,请参见API概览。
步骤四:录入数据库实例
了解管控模式
录入DMS的每一个数据库实例都需要设置一种管控模式,管控模式有自由操作、稳定变更和安全协同,各个管控模式适用于不同的场景,支持的功能也各不相同。更多管控模式信息,请参见管控模式。
录入实例
了解DMS支持的数据库
详细信息,请参见DMS支持的数据库。
添加IP白名单
为确保DMS能够正常访问您的数据库实例,您需要在数据库实例的安全设置(防火墙、白名单、安全组等)中添加对应地域的DMS的IP地址。DMS白名单列表,请参见添加DMS IP地址。
录入的操作步骤
将数据库实例录入至DMS,具体操作,请见云数据库录入和他云或自建数据库录入。
录入的API接口,请参见AddInstance - 录入数据库实例。
其他操作
将DMS集成至企业或组织的开发平台,且在实例资源录入DMS后,您可以在DMS进行访问控制、设置审批流程、设置消息通知方式等操作。更多DMS支持的功能详情,请参见功能特性。
访问控制
访问控制是指对托管在DMS的实例、数据库、表等资源进行权限管理,可按需给授权对象登录、查询、导出、变更等权限类型,从而保障企业数据安全。更多信息,请参见访问控制权限概述。
权限类型
DMS中对于数据的访问权限有如下三种:
查询权限:指在SQL窗口执行查询SQL的权限。
变更权限:指拥有在SQL窗口执行变更语句的权限(SQL窗口执行变更语句还受管理员配置的安全规则约束);拥有提交数据变更、库表同步工单的权限(非直接变更)。
导出权限:指拥有提交数据导出工单的权限(非直接导出)。
资源角色
DMS提供了四种资源角色,分为实例DBA、实例Owner、数据库Owner和表Owner,各个角色所支持的功能和权限各不相同。更多信息,请参见资源角色。
授权方式
DMS支持两种获取权限的方式,分别为权限管理者主动给需求方授权、需求方主动申请权限。
审批流程
DMS工单系统中内置了审批能力,仅当工单审批之后才能进行相关数据库操作。
自定义审批流程
DMS中通过审批模板来定义审批流,一个审批模板中可包含多个审批节点,一个审批节点中可包含多个审批人。
审批通过
当流程中所有的审批节点都通过时,整个审批流程结束,工单会进入下一个环节。
审批拒绝或撤销
当审批节点的审批人执行拒绝操作或工单创建者执行撤销操作,则审批流结束,工单未通过审批。
仅当实例管控模式为安全协同时,才可以自定义审批流程。其他模式实例仅支持使用DMS内置的审批流程。更多信息,请参见自定义工单审批流程。
审批操作
DMS支持的审批操作如下:
同意:审批人同意申请,进入下一审批节点。
拒绝:审批人拒绝申请,工单审批流终止,您需要重新提交数据库工单。
撤销:审批流发起人终止审批流。
转交:当前审批人将审批权转交给其他用户。
加签:分为前加签和后加签,在当前审批节点前或后添加一个审批节点(审批人)。
其他配置
若您需要增加越权审批用户,即给本不具备审批指定或全部类型工单权限的用户增加允许参与审批工单权限,则可以在配置管理功能页面中进行操作。具体操作,请参见配置管理。
增加越权配置后,满足越权审批条件的用户或角色将可以执行同意、拒绝、加签或撤销操作,其他情况下保持不变。
消息通知
DMS默认全面开启多种工单类型、任务流的不同状态消息通知功能,支持自定义接收对象,可实现消息通知的按需、有效触达。支持的通知方式包含手机短信、邮件、钉钉、飞书、专属钉、钉钉机器人和Webhook等。
配置个人消息通知方式,根据业务需求填写通知方式所需的手机号、验证码等信息。具体步骤,请参见配置个人信息及通知方式。
配置需要通知的工单类型,以及触发条件,例如审批通过、工单执行完成等。更多信息,请参见消息通知管理。