用户认证体系概述
腾讯云 TCHouse-X 支持如下三种用户体系:
用户认证体系 | 说明 |
腾讯云 CAM 用户 | 用户可使用腾讯云子账号 ID,以及其密钥凭证(SecretId、SecretKey 或临时 Token)连接 TCHouse-X 实例。用户身份和权限的校验由腾讯云 CAM 服务负责。 |
自定义用户 | 允许用户设置自定义的用户名和密码,并将其绑定至腾讯云子账号。用户使用该自定义凭证连接 TCHouse-X 实例时,由 TCHouse-X 负责完成用户名和密码的校验。 |
自定义 LDAP 用户 | 将自有 LDAP 服务中的用户身份与腾讯云子账号绑定。用户可使用自有 LDAP 凭证连接 TCHouse-X 实例,由自有 LDAP 服务进行用户名和密码校验。 |
用户身份概述
TCHouse-X 中有如下三类用户身份:
用户身份 | 说明 |
超级管理员 | 固定为腾讯云主账号、TCHouse-X 实例创建子账号。 支持管理内部子账号:包括创建角色与用户、配置角色权限、授予或撤销管理员身份,并支持通过客户端连接访问。 |
管理员 | 仅可创建、删除普通用户、通过客户端连接 TCHouse-X 实例。 |
普通用户 | 仅可通过客户端连接 TCHouse-X 实例。 |
用户体系选择
用户体系配置需在创建实例时指定,实例创建后不支持修改。
用户创建
说明:
仅用户身份为 “超级管理员”、 “管理员” 的用户才可以创建用户。
1. 用户体系选择 “腾讯云 CAM 用户”,单击选择“腾讯云用户” 选择需要添加的腾讯云账号列表。
2. 选择好需要添加的腾讯云用户,单击确认,进入用户身份配置页面。
3. 按需调整所选用户的用户身份,单击创建用户即可。
说明:
只有在新建实例时在“用户体系”中勾选“自定义用户”选项,该实例才具备创建和使用自定义用户的功能。
1. 用户体系选择 “自定义用户” 进入自定义用户配置页。
2. 配置好如下字段后,单击创建用户即可。
字段名 | 说明 |
用户名 | 登录数据库的唯一身份标识,用于验证身份并绑定操作权限。用户名定义有如下限制: 实例内必须保证唯一性,且创建后不可更改,请谨慎命名 长度2-30个字符,支持字母 A-Za-z(不区分大小写)、数字0-9、特殊字符_-.@,开头需为字母数字或下划线 |
密码 | 配合用户名校验身份的机密凭证,防止未授权访问,保障数据安全。密码定义有如下限制: 用户创建成功后无法再查看密码,请妥善保存 可以在「账户管理」页面重置密码 长度8~30位字符,必须包含大写字母 A~Z、小写字母 a~z、数字0~9,支持特殊字符,不能以/开头 |
确认密码 | 密码的二次输入验证栏,确保两次输入完全一致,避免因输入错误而导致后续登录失败 |
用户身份 | 新用户的用户身份,用户身份选择范围取决于当前登录控制台用户的身份: 超级管理员:可创建 普通用户 或 管理员。 管理员:仅可创建普通用户。 |
角色权限继承 | 基于角色的权限控制 (RBAC) TCHouse-X 采用 基于角色的权限控制(RBAC)机制。用户通过绑定一个或多个角色,即可继承相应的操作权限。 为实现对用户权限的更精细化管理,TCHouse-X 系统提供了以下两种角色权限继承模式: 全部继承:用户绑定角色后,默认继承所有关联角色的聚合权限。 切换继承:用户绑定多角色后,支持在当前会话(Session)连接中动态切换活动角色,从而切换继承不同的权限集。 |
关联腾讯云账号 | 自定义用户必须与腾讯云主账号/子账号绑定,且一个腾讯云账号只能绑定一个自定义用户,不可重复绑定。 |
说明:
只有在新建实例时在“用户体系”中勾选“自定义 LDAP 用户”选项,该实例才具备创建和使用自定义 LDAP 用户的功能。
1. 用户体系选择 “自定义 LDAP 用户” 进入自定义用户配置页。
2. 配置好如下字段后,单击创建用户即可。
字段名 | 说明 |
LDAP 用户名 | 需从已配置的自定义 LDAP 服务的用户列表中选择。 |
用户身份 | 同自定义用户 |
角色权限继承 | 同自定义用户 |
关联腾讯云账号 | 同自定义用户 |
说明:
角色权限继承说明:
CAM 用户: 固定使用“全部继承”模式。
自定义用户/ LDAP 用户: 支持在“全部继承”与“切换继承”模式间灵活选择。
若选择切换继承, 可通过如下方式使用 session role:
MySQL Client:
查看当前 session role:
show variables like 'role';show current roles;切换 session role:
set role = 'none' : 不继承任何已绑定角色权限 set role = 'all' : 继承所有已绑定角色权限 set role = 'xxxx:继承指定已绑定角色权限 JDBC Client:TCHouse-X 的 JDBC 连接兼容 MySQL, 可通过在连接串中的
sessionVariables 参数指定 role: 语法:
sessionVariables=name=value示例:
String url = "jdbc:mysql://localhost:33060/mydb?user=myuser&password=mypassword&sessionVariables=role=xxx";
用户身份编辑
说明:
超级管理员用户身份不可更改。
超级管理员可授予或撤销用户管理员身份。
1. 单击腾讯云 CAM 用户,进入“腾讯云 CAM 用户”列表。
2. 编辑相应用户的用户身份即可。
1. 单击自定义用户,进入“自定义用户”列表。
2. 编辑相应用户的用户身份即可。
1. 单击自定义 LDAP 用户,进入“自定义 LDAP 用户”列表。
2. 编辑相应用户的用户身份即可。
用户绑定/解除绑定角色
说明:
仅超级管理员可执行用户角色绑定或解除绑定操作。
1. 单击腾讯云 CAM 用户,进入“腾讯云 CAM 用户”列表。
2. 单击需要操作用户的“腾讯云用户 ID”或者操作列表的“详情”,进入“腾讯云 CAM 用户”详情页。
3. 用户绑定角色:单击绑定角色,在弹窗中选取需要绑定的角色后,单击确认,即可在用户的角色列表中看到已绑定的角色。
4. 用户与角色解除绑定:
解绑单个角色: 用户已经绑定的角色列表中,单击需要解除绑定角色后的“解绑”按钮, 在弹窗中单击“解绑”确认后,系统将解除用户与所选角色的绑定关系。
解绑多个角色:用户已经绑定的角色列表中,勾选需要与用户解除绑定的角色,单击批量解绑,在弹窗中单击“解绑”确认后,系统将解除用户与所选角色的绑定关系。
1. 单击自定义用户,进入“自定义用户”列表。
2. 单击需要操作用户的“自定义用户名”或者操作列表的“详情”,进入“自定义用户”详情页。
3. 用户绑定角色:单击绑定角色,在弹窗中选取需要绑定的角色后,单击确认,即可在用户的角色列表中看到已绑定的角色。
4. 用户与角色解除绑定:
解绑单个角色: 用户已经绑定的角色列表中,单击需要解除绑定角色后的“解绑”按钮, 在弹窗中单击“解绑”确认后,系统将解除用户与所选角色的绑定关系。
解绑多个角色:用户已经绑定的角色列表中,勾选需要与用户解除绑定的角色,单击批量解绑,在弹窗中单击“解绑”确认后,系统将解除用户与所选角色的绑定关系。
1. 单击自定义 LDAP 用户,进入“自定义 LDAP 用户”列表。
2. 单击需要操作用户的“自定义 LDAP 用户名”或者操作列表的“详情”,进入“自定义 LDAP 用户”详情页。
3. 用户绑定角色:单击绑定角色,在弹窗中选取需要绑定的角色后,单击确认,即可在用户的角色列表中看到已绑定的角色。
4. 用户与角色解除绑定:
解绑单个角色: 用户已经绑定的角色列表中,单击需要解除绑定角色后的解绑按钮, 在弹窗中单击“解绑”确认后,系统将解除用户与所选角色的绑定关系。
解绑多个角色:用户已经绑定的角色列表中,勾选需要与用户解除绑定的角色,单击批量解绑,在弹窗中单击“解绑”确认后,系统将解除用户与所选角色的绑定关系。
说明:
TCHouse-X 用户批量解绑角色时,一次最多解绑 30 个角色。
用户删除
说明:
超级管理员不可被删除。
超级管理员可删除管理员、普通用户。
管理员仅可删除普通用户。
普通用户不可删除任何用户。
单用户删除
单击腾讯云 CAM 用户或 自定义用户或自定义 LDAP 用户,进入指定体系用户列表,在相应用户后单击删除即可。
多用户删除
单击腾讯云 CAM 用户或 自定义用户或自定义 LDAP 用户,进入指定体系用户列表,勾选用户,单击批量删除用户即可。
注意:
TCHouse-X 批量删除用户时,一次最多删除 30 个用户。
