前言

为了让数据库开发的安全性与可靠性得以充分保障，数据库开发工具的管控能力显得尤为关键。构建一个健全的账号体系，能够协助开发团队实现对数据库开发工具的全方位管控，从而有效防范各类数据安全隐患，确保数据库开发的顺利进行。

得益于分布式数据库的强大的可扩展性，数据量在快速增长，数据库实例数量在快速增长，行业的从业人员也在快速增长，但是不同角色并不是等比例增长。DBA需要管理越来越多的协同人数，这对数据库开发工具的账号管理系统提出了更高的要求。特别是针对于大规模团队协同的场景，企业通常已经建立员工的账号权限系统，作为一个数据库开发工具如何快速地对账号系统的集成，如何对不同账号、不同部门的人员进行自动化的账号权限管控，就成为了破题的关键。

如何快速集成企业级的账号体系？

随着管理制度的现代性，越来越多的企业已经开始建立自己的账号体系进行团队人员的管理，账号体系可以通过SSO的方式，基于一定的授权认证的协议，进行企业级所有应用的账号管控。熟知的有GitHub、GitLab、Google，开源应用比如CAS，企业级IM比如钉钉等。企业通过在建立统一的账号体系，打通了不同应用之间的壁垒，真正做到了同一个账号登录所有的企业应用。

随着OceanBase ODC V4.2版本的发布，对原本的SSO集成的能力做了产品级的优化，让一个DBA最快不到三分钟，就可以完成SSO系统的集成。

创建SSO应用

       我们以GitHub的OAUTH服务为例，实际上ODC支持任意支持标准OAUTH2协议和OIDC协议的SSO服务的集成。

配置外部集成配置

       在github的设置中创建一个SSO的应用，获取到对应的client ID 和 Client Secrets连同对应授权的Endpoint（不同应该参照各自的SSO服务的文档）填入ODC后，点击测试连接即可获取到当前登录人的登录信息的结构。

       通过配置用户字段映射，选择odc的用户名和昵称怎么从SSO的账号体系中获取。外部集成增加了自定义的用户信息的字段的配置，通过解析JsonPath，来获取到所需要的字段。

为了更好的适配丰富多样的SSO服务，ODC针对OAUTH2和OIDC做了很多的兼容性配置，详细的配置可以参照官网的配置文档。

使用第三方登录

       保存后配置后重新回到登录页面，即可通过GitHub的账号进行odc的登录了。

如何对账号进行自动权限管理？

仅仅对SSO集成仅仅解决的账号的创建和登录的问题，解决了账号体系搭建的第一块砖。最重要的就是要基于创建的账号自动进行相关的权限、资源的管理。真正做到人员的登录信息一改变，工具内的管控相关的权限也会自动进行相应的权限的赋予。

随着ODC的420的发布，原来的自动授权的能力也得到了增强。针对性的对存量的用户增加了 登陆成功、用户创建、用户修改 三个事件。 用户的信息在上述事件触发的时候，可以直接选择用户的属性进行判断，来决定是否赋予某个权限。比如上述例子中配置的工作区域、公司名称等相关字段进行比较判断。在同一个企业内，这些字段更有可能是部门、职级、角色等相关的字段。DBA可以根据自己企业的账号体系中的字段，进行自动权限规则的配置。

完成自动授权规则的获取之后，就可以为触发对应事件，并且符合相应的匹配规则的用户，就会被赋予相关的权限。这一切权限的赋予都会在用户登录的时候自动进行，做到了DBA一次配置之后，所有的账号权限的管理都可以自动进行，完成了账号集成到权限赋予的闭环。

 关于ODC的权限体系，可以参照文章 DBA 日常：规模用户数据库访问权限管理，详细解释了ODC权限体系的建立和设计。