ロールSSOを使用してDLCにアクセスする
データレイクコンピューティング DLC はロール SSO の設定によるアクセスをサポートしています。本記事では Okta を例に、ロール SSO を使用してデータレイクコンピューティング DLC にアクセスし、関連する権限設定を完了する方法について説明します。
背景紹介
1. 企業が複数のチームにまたがる大量データの分析(金融リスク管理、小売売上予測など)を行う場合、従来のアカウント管理モデルには2つの大きな課題があります:
効率低下:データアナリストはDLCやBIなどの複数のシステムに繰り返しログインする必要があり、パスワードの記憶と切り替えに時間がかかります。
権限の制御不能:手動でのデータベーステーブル権限の割り当てはミスが発生しやすく、退職した従業員の権限回収が遅れるとデータ漏洩を引き起こす可能性があります。
2. Oktaアプリケーション:企業レベルの認証とアクセス管理プラットフォームで、ロールベースのSSOソリューションによりこれらの課題に対応します。既存の企業アカウントシステムとシームレスに統合し、従業員がデータレイクコンピューティングDLCにシングルサインオンで簡単にアクセスできるだけでなく、事前設定された詳細なロールを通じてデータ権限を自動的にマッピングできます。
ロール SSOを作成
Oktaアプリケーションに進む
Oktaの公式サイトにアクセスし、管理者としてログインした後、「Applications」を選択し、「Create App Integration」をクリックして、SAML 2.0を選択し、「Next」をクリックして「Create SAML Integration」に進みます。
1. General Settings:App nameを入力し、App logoをアップロードして、Nextをクリックします。
2. Configure SAML:
シングルサインオンURLを入力してください:
https://cloud.tencent.com/login/saml Audience URL(SP Entity ID)は、
cloud.tencent.comと入力してください
Attribute Statements は以下の内容に従って入力し、入力が完了したら Next をクリックしてください。
Name | Value |
https://cloud.tencent.com/SAML/Attributes/Role | qcs::cam::uin/{AccountID}:roleName/{RoleName},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName} |
https://cloud.tencent.com/SAML/Attributes/RoleSessionName | okta |
説明:
{AccountID} をお客様のTencent CloudアカウントIDに置き換えてください。アカウントIDは Tencent Cloudアカウントセンター > アカウント情報 で確認できます。
{ProviderName} をTencent Cloudで作成したSAML身分プロバイダーの名称に置き換えてください。ここでは任意の名前を付け、身分プロバイダーの作成 での身分プロバイダー名と一致させれば問題ありません。
新しいメタデータドキュメント
1. 前述で作成したOktaアプリに進み、Sign Onを選択し、View SAML setup instructionsをクリックします。
2. ダイアログボックスの内容をすべて選択し、ローカルにxmlファイルを作成して、選択した内容をそのファイルにコピーします。このファイルが「メタデータドキュメント」となります。
身分プロバイダーを作成
注意:
1. アクセス管理コンソールに進み、左側のナビゲーションバーで身分プロバイダーの中のロールSSOを選択し、新規プロバイダーボタンをクリックします。
2. プロバイダータイプにSAMLを選択し、プロバイダー名を入力し、新しいメタデータドキュメントで生成されたメタデータドキュメントをアップロードします。次へをクリックして情報を確認した後、完了をクリックします。
新規ロール
注意:
1. アカウント情報 > アクセス管理ページに進み、左側のナビゲーションバーでロールを選択し、新規ロール作成ボタンをクリックして、身分プロバイダーを選択します。
2. ロール担い手情報の入力ページで、身分プロバイダタイプにSAMLを選択し、身分プロバイダとしてoktaを選択して、次へをクリックします。
3. ロールポリシーの設定ページで、ロールアカウントに設定する権限を選択し、次へをクリックします。
4. ロールタグの設定ページで、ロール名を入力し、完了をクリックします。
Tencent Cloudロールアカウントでのログイン
Oktaコンソールに戻り、最初のステップで作成したOktaアプリケーションの画面に移動し、「General」に入り、Embed Linkを使用してロールSSOでTencent Cloudコンソールにログインできます。
DLC権限の設定
説明:
テンセントクラウドアカウントがDLCを使用するための全権限は、DLCインターフェースへのアクセス権限とDLCデータへのアクセス権限の2つに分かれています。
DLCインターフェースへのアクセス権限の設定
注意:
● DLCインターフェースへのアクセス権限はCAMで管理され、CAMの権限はCAM製品の権限を持つアカウントのみが調整できます。
● ロールSSOを使用してログインする場合、DLCインターフェースにアクセスする権限は、ロール作成で作成したロールにCAMを通じて付与する必要があります。ロール作成ですでにこの権限を付与している場合は、この手順をスキップできます。
1. アカウント情報 > アクセス管理ページに移動し、左側のナビゲーションバーからロールを選択し、ロールリストで権限を調整するロール名をクリックします。
2. 権限ページのポリシー関連付けボタンをクリックします。QcloudDLCFullAccessポリシーの関連付けを推奨します。このポリシーを関連付けると、ロールユーザーはすべてのDLCインターフェースへの権限を持つようになります。確定をクリックすると、CAM権限設定が完了します。
DLCデータへのアクセス権限の設定
注意:
DLCデータ権限はDLC内部で管理されており、DLC管理者のみがこの権限を調整および設定できます。
ロールSSOでデータレイクコンピューティングDLCにログインするシナリオでは、DLCは権限を「新規ロール」で作成したロールIDにバインドすることをサポートしています。この要件がある場合は、チケットを提出して当社までご連絡ください。
1. ロール SSOのアカウントIDを取得します。
方法二:メインアカウントまたはCAM権限を持つアカウントを使用して、データレイクコンピューティングDLCコンソール > アクセス管理に進み、左側のナビゲーションバーのロールをクリックし、ロールリストでターゲットロールをクリックして、ロール情報の詳細ページでターゲットロールIDを確認および取得します。
2. DLC管理者アカウントを使用してデータレイクコンピューティングDLCコンソールにログインします。左側のナビゲーションバーのユーザーと権限管理をクリックし、ユーザー追加をクリックします。
3. 権限付与ユーザーの追加ページに進み、手動で新規ユーザーを作成を選択し、ユーザーIDに取得したロールIDを入力し、ユーザー名を記入し、ユーザータイプを選択し、ワークグループにバインドするかどうかを選択して、送信をクリックします。
4. ユーザーと権限管理ページで、新規作成したユーザーを確認できます。ターゲットユーザーの右端の操作欄にある編集をクリックし、ユーザー情報編集ページで、そのユーザーのデータディレクトリ、データベーステーブル、および行レベル権限を設定できます。
フィードバック