数据湖计算 DLC 使用角色 SSO 访问 DLC

数据湖计算 DLC 支持配置角色 SSO 进行访问，本文以 Okta 为例，介绍如何通过角色 SSO 访问数据湖计算 DLC 并完成相关权限配置。
背景介绍
1. 当企业存在​​跨团队协作分析海量数据​​时（如金融风控、零售销量预测），传统账号管理模式面临两大痛点：​​
效率低下​​：数据分析师需反复登录 DLC、BI 等多系统，密码记忆与切换耗时​。
权限失控​​：手动分配库表权限易出错，离职员工权限回收不及时可能引发数据泄露。
2. Okta 应用：企业级身份认证与访问管理平台，通过角色 SSO 解决方案应对这些痛点。​​ 该平台既能与企业现有账号体系无缝集成，实现员工单点登录数据湖计算 DLC 的便捷访问，又能通过预设精细化角色自动映射数据权限。
创建角色 SSO
进入 Okta 应用
进入 Okta 官网，以管理员身份登录后，选择“Applications” ，单击 “Create App Integration”，选择 SAML 2.0，单击 Next，进入“Create SAML Integration”。
﻿
1.  General Settings：填写 App name，上传 App logo，单击 Next。
﻿
2.  Configure SAML: 
     Single sign-on URL 填写为：https://cloud.tencent.com/login/saml
     Audience URL(SP Entity ID)填写为：cloud.tencent.com
﻿
     Attribute Statements 按如下内容填写，填写完成后单击 Next。
Name
Value
https://cloud.tencent.com/SAML/Attributes/Role
qcs::cam::uin/{AccountID}:roleName/{RoleName},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName}
https://cloud.tencent.com/SAML/Attributes/RoleSessionName
okta
说明：
{AccountID} 替换为您的腾讯云账户 ID，可前往 腾讯云账号中心 > 账号信息 进行查看。
{ProviderName} 替换为您在腾讯云创建的 SAML 身份提供商名称。此处先任意命名，保证与 创建身份提供商 中的身份提供商名称一致即可。
{RoleName} 替换为您在腾讯云为身份提供商所创建的角色名称。此处先任意命名，保证与 新建角色 中的角色名称一致即可。
新建元数据文档
1. 进入前述创建的 Okta 应用，选择 Sign On，单击 View SAML setup instructions。
﻿
2.  全选对话框中的内容，在本地创建一个xml文件，将选中的内容复制到该文件中。该文件即为“元数据文档”。
﻿
创建身份提供商
注意：
此处的身份提供商名称需要与 进入 Okta 应用 中的{ProviderName}保持一致。
1. 进入 访问管理控制台，选择左侧导航栏身份提供商中的角色SSO，单击新建提供商按钮。
2.  提供商类型选择 SAML，输入提供商名称，将 新建元数据文档 中生成的元数据文档进行上传。单击下一步确认信息后单击完成。
﻿
新建角色
注意：
此处的角色名称需要与 进入 Okta 应用 中的{RoleName}保持一致。
1.  进入 账号信息 > 访问管理页面，选择左侧导航栏的角色，单击新建角色按钮，选择身份提供商。
2.  输入角色载体信息页面中，身份提供商类型选择 SAML，选择身份提供商即 okta，单击下一步。
3.  配置角色策略页面中，选择要给角色账户配置的权限，单击下一步。
4.  配置角色标签页面中，输入角色名称，单击完成。
使用角色账户登录腾讯云
返回 Okta 控制台，进入第一步中创建的 Okta 应用界面，进入“General”，使用 Embed Link 即可以使用角色 SSO 登录 腾讯云控制台。
﻿
配置 DLC 权限
说明：
腾讯云账号使用 DLC 的全部权限分为两部分，访问 DLC 接口的权限和访问 DLC 数据的权限。
配置访问 DLC 接口权限
注意：
● 访问 DLC 接口的权限通过 CAM 进行管理，CAM 中的权限仅限拥有 CAM 产品权限的账号进行调整。
● 在使用角色 SSO 登录的场景下，访问 DLC 接口的权限需要通过 CAM 授予给 新建角色 中创建的角色。如果已在新建角色中授予过该权限，可以跳过这一步。
1.  进入 账号信息 > 访问管理页面，选择左侧导航栏的角色，在角色列表中单击要调整权限的角色名称。
2.  单击权限页面的关联策略按钮。推荐关联 QcloudDLCFullAccess 策略。关联该策略后，角色用户会拥有所有 DLC 接口的权限，单击确定，即可完成 CAM 权限配置。
配置访问 DLC 数据权限
注意：
DLC 数据权限由 DLC 内部管理，仅限 DLC 管理员对该权限进行调整与配置。
角色SSO 登录数据湖计算 DLC 的场景下，DLC 支持将权限绑定到  新建角色 中创建的角色 ID。如有此需求可通过 提交工单 联系我们。
1.  获取角色 SSO 的账号 ID。
方法一：使用角色SSO 登录 数据湖计算 DLC 控制台，单击控制台右上方的个人账户，获取角色 ID。
方法二：使用主账号或有 CAM 权限的账号进入 数据湖计算 DLC 控制台 > 访问管理，单击左侧导航栏的角色，在角色列表中单击目标角色，进入角色信息详情页即可查看并获取目标角色 ID。
2.  使用 DLC 管理员账号登录 数据湖计算 DLC 控制台。单击左侧导航栏的用户与权限管理，单击添加用户。
3.  进入添加授权用户页面，选择手动新建用户，用户 ID 填入获取到的角色 ID，填写用户名称，选择用户类型以及选择是否绑定到工作组，单击提交。
4. ﻿用户与权限管理 页面，可查看新建的用户，单击目标用户最右侧操作栏下的编辑，在编辑用户信息页面可配置该用户的数据目录、数据库表以及行级权限。
Name	Value
`https://cloud.tencent.com/SAML/Attributes/Role`	qcs::cam::uin/{AccountID}:roleName/{RoleName},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName}
`https://cloud.tencent.com/SAML/Attributes/RoleSessionName`	okta
使用角色 SSO 访问 DLC

本页目录：

背景介绍

创建角色 SSO

进入 Okta 应用

新建元数据文档

创建身份提供商

新建角色

使用角色账户登录腾讯云

配置 DLC 权限

配置访问 DLC 接口权限

配置访问 DLC 数据权限
