1. 背景信息
Dataphin部署后默认会提供一种登录方式,默认的登录方式如下:
- Dataphin自建账号:通过Dataphin提供的账号密码进行登录
- 阿里云RAM:通过阿里云RAM账号进行登录
对于大部分客户来说,企业内部存在统一的登录系统,所以需要在正式投产前完成账号系统的对接,实现单点登录(SSO, Single-Sign-On),在6.0版本之前存在如下几个问题:
- 无法界面化完成配置,需要双方的技术同学进行联调,通过后Dataphin的技术同学再通过黑屏数据订正的方式进行变更,配置成本和高;
- Dataphin无法同时支持多种账号系统进行登录。然而很多企业内部使用Dataphin的用户除了正式员工,还存在合作伙伴,这种用户往往无法通过企业内部的登录系统进行登录。
针对以上问题,Dataphin V6.0版本推出界面化配置SSO,并支持多账号体系登录的功能。
2. 功能限制
- 仅公共云独立部署、私有云独立部署、公共云半托管的Dataphin支持此功能
- 版本需大于V6.0.0
3. 功能入口
- 进入Dataphin Manager,点击顶部菜单栏的系统配置后,在左侧导航中中选中登录设置
- Dataphin Manager的登录地址:
${Dataphin的登录地址}/opsconsole/v2,账号密码请联系Dataphin运营同学进行获取 -
4. 功能介绍
4.1 协议配置
目前Dataphin支持对接的登录标准协议有:CAS、Oatuh2.0、SAML、阿里云RAM、飞书,如果企业所使用的协议不是标准协议,或为企业内部自研,Dataphin也提供“三方SSO”的方式进行对接。
详细的对接方式请参考:https://help.aliyun.com/zh/dataphin/semimanaged-v4/user-guide/login-settings-1/
4.2 账号映射(for 管理员)
问:为什么要做账号映射?
因为Dataphin在部署后会默认提供一套登录方式,所以在对接企业自己的登录系统前,一定存在正在使用的老用户。为了保障对接前后的用户一致性,需要管理员提供正在使用Dataphin的老用户和企业登录系统中用户的映射ID。举例如下:
用户1和2使用Dataphin初始化的登录方式在Dataphin中进行了相关操作,此时用户对接SSO时,需要提供在SSO系统中用户1和2的唯一ID,从而将老用户在SSO中的UID和Dataphin中的UID进行绑定,实现老用户从SSO登录后可以继承原有在DP中的数据;
配置页面如下,支持单个编辑和批量导入进行更新
4.3 多账号体系开启后的登录页面
启用的账号体系 |
登录页面 |
多套生效的账号系统,且包含Dataphin自建账号 |
|
多套生效的账号系统,但包含Dataphin自建账号 |
|
仅一套登录系统,且登录系统非Dataphin自建账号 |
登录设置中配置的跳转地址 |
4.4 账号绑定(for 用户)
管理员可以跳过4.2的账号映射,选择让用户进行账号绑定。
当一个用户通过某种登录方式进入到Dataphin时,如果来源UID是首次被记录,则用户的登录界面中会弹出如下弹窗:
- 选择以新身份运行时,会在Dataphin中新建一个用户,确定后无法撤销,请谨慎选择;
- 选择关联已有账号后,需要通过登录的方式将其他登录方式的已有账号与当前账号进行关联。
详细的产品功能逻辑图请参考
4.5 自动添加用户
Dataphin租户之间是相互隔离的关系,未加入Dataphin的用户首次访问时,会提示如下界面:
如果想实现新用户登录后自动被添加到某个租户,可以在成员管理中开启【自动添加成员】。
