tencent cloud

数据湖计算

产品动态
产品简介
产品概述
产品优势
应用场景
购买指南
计费概述
退费说明
欠费说明
调整配置费用说明
快速入门
新用户开通全流程
DLC 数据导入指引
一分钟入门 DLC 数据分析
一分钟入门 DLC 权限管理
一分钟入门分区表
开启数据优化
跨源分析 EMR Hive 数据
标准引擎配置指引
配置数据访问策略
操作指南
控制台操作介绍
开发指南
运行环境
SparkJar 作业开发指南
PySpark 作业开发指南
查询性能优化指南
UDF 函数开发指南
系统约束
客户端访问
JDBC 访问
TDLC 命令行工具访问
第三方软件联动
Python 访问
实践教程
通过 Power BI 访问 DLC 数据操作指南
建表实践
使用 Apache Airflow 调度 DLC 引擎提交任务
StarRocks 直接查询 DLC 内部存储
Spark 计算成本优化实践
DATA + AI
使用 DLC 分析 CLS 日志
使用角色 SSO 访问 DLC
资源级鉴权指南
在 DLC 中实现 TCHouse-D 读写操作
DLC 原生表
SQL 语法
SuperSQL 语法
标准 Spark 语法概览
标准 Presto 语法概览
保留字
API 文档
History
Introduction
API Category
Making API Requests
Data Table APIs
Task APIs
Metadata APIs
Service Configuration APIs
Permission Management APIs
Database APIs
Data Source Connection APIs
Data Optimization APIs
Data Engine APIs
Resource Group for the Standard Engine APIs
Data Types
Error Codes
通用类参考
错误码
配额与限制
第三方软件连接DLC操作指南
常见问题
权限类常见问题
引擎类常见问题
功能类常见问题
Spark 作业类常见问题
DLC 政策
隐私协议
数据处理和安全协议
服务等级协议
联系我们
文档数据湖计算实践教程使用角色 SSO 访问 DLC

使用角色 SSO 访问 DLC

PDF
聚焦模式
字号
最后更新时间: 2025-10-27 17:28:26
数据湖计算 DLC 支持配置角色 SSO 进行访问,本文以 Okta 为例,介绍如何通过角色 SSO 访问数据湖计算 DLC 并完成相关权限配置。

背景介绍

1. 当企业存在​​跨团队协作分析海量数据​​时(如金融风控、零售销量预测),传统账号管理模式面临两大痛点:​​
效率低下​​:数据分析师需反复登录 DLC、BI 等多系统,密码记忆与切换耗时​。
权限失控​​:手动分配库表权限易出错,离职员工权限回收不及时可能引发数据泄露。
2. Okta 应用:企业级身份认证与访问管理平台,通过角色 SSO 解决方案应对这些痛点。​​ 该平台既能与企业现有账号体系无缝集成,实现员工单点登录数据湖计算 DLC 的便捷访问,又能通过预设精细化角色自动映射数据权限。

创建角色 SSO

进入 Okta 应用

进入 Okta 官网,以管理员身份登录后,选择“Applications” ,单击 “Create App Integration”,选择 SAML 2.0,单击 Next,进入“Create SAML Integration”。

1. General Settings:填写 App name,上传 App logo,单击 Next。

2. Configure SAML:
Single sign-on URL 填写为:https://cloud.tencent.com/login/saml
Audience URL(SP Entity ID)填写为:cloud.tencent.com

Attribute Statements 按如下内容填写,填写完成后单击 Next。
Name
Value
https://cloud.tencent.com/SAML/Attributes/Role
qcs::cam::uin/{AccountID}:roleName/{RoleName},qcs::cam::uin/{AccountID}:saml-provider/{ProviderName}
https://cloud.tencent.com/SAML/Attributes/RoleSessionName
okta
说明:
{AccountID} 替换为您的腾讯云账户 ID,可前往 腾讯云账号中心 > 账号信息 进行查看。
{ProviderName} 替换为您在腾讯云创建的 SAML 身份提供商名称。此处先任意命名,保证与 创建身份提供商 中的身份提供商名称一致即可。
{RoleName} 替换为您在腾讯云为身份提供商所创建的角色名称。此处先任意命名,保证与 新建角色 中的角色名称一致即可。

新建元数据文档

1. 进入前述创建的 Okta 应用,选择 Sign On,单击 View SAML setup instructions。

2. 全选对话框中的内容,在本地创建一个xml文件,将选中的内容复制到该文件中。该文件即为“元数据文档”。


创建身份提供商

注意:
此处的身份提供商名称需要与 进入 Okta 应用 中的{ProviderName}保持一致。
1. 进入 访问管理控制台,选择左侧导航栏身份提供商中的角色SSO,单击新建提供商按钮。
2. 提供商类型选择 SAML,输入提供商名称,将 新建元数据文档 中生成的元数据文档进行上传。单击下一步确认信息后单击完成。


新建角色

注意:
此处的角色名称需要与 进入 Okta 应用 中的{RoleName}保持一致。
1. 进入 账号信息 > 访问管理页面,选择左侧导航栏的角色,单击新建角色按钮,选择身份提供商
2. 输入角色载体信息页面中,身份提供商类型选择 SAML,选择身份提供商即 okta,单击下一步。
3. 配置角色策略页面中,选择要给角色账户配置的权限,单击下一步。
4. 配置角色标签页面中,输入角色名称,单击完成。

使用角色账户登录腾讯云

返回 Okta 控制台,进入第一步中创建的 Okta 应用界面,进入“General”,使用 Embed Link 即可以使用角色 SSO 登录 腾讯云控制台


配置 DLC 权限

说明:
腾讯云账号使用 DLC 的全部权限分为两部分,访问 DLC 接口的权限和访问 DLC 数据的权限。

配置访问 DLC 接口权限

注意:
● 访问 DLC 接口的权限通过 CAM 进行管理,CAM 中的权限仅限拥有 CAM 产品权限的账号进行调整。
● 在使用角色 SSO 登录的场景下,访问 DLC 接口的权限需要通过 CAM 授予给 新建角色 中创建的角色。如果已在新建角色中授予过该权限,可以跳过这一步。
1. 进入 账号信息 > 访问管理页面,选择左侧导航栏的角色,在角色列表中单击要调整权限的角色名称。
2. 单击权限页面的关联策略按钮。推荐关联 QcloudDLCFullAccess 策略。关联该策略后,角色用户会拥有所有 DLC 接口的权限,单击确定,即可完成 CAM 权限配置。

配置访问 DLC 数据权限

注意:
DLC 数据权限由 DLC 内部管理,仅限 DLC 管理员对该权限进行调整与配置。
角色SSO 登录数据湖计算 DLC 的场景下,DLC 支持将权限绑定到 新建角色 中创建的角色 ID。如有此需求可通过 提交工单 联系我们。
1. 获取角色 SSO 的账号 ID。
方法一:使用角色SSO 登录 数据湖计算 DLC 控制台,单击控制台右上方的个人账户,获取角色 ID。
方法二:使用主账号或有 CAM 权限的账号进入 数据湖计算 DLC 控制台 > 访问管理,单击左侧导航栏的角色,在角色列表中单击目标角色,进入角色信息详情页即可查看并获取目标角色 ID。
2. 使用 DLC 管理员账号登录 数据湖计算 DLC 控制台。单击左侧导航栏的用户与权限管理,单击添加用户。
3. 进入添加授权用户页面,选择手动新建用户,用户 ID 填入获取到的角色 ID,填写用户名称,选择用户类型以及选择是否绑定到工作组,单击提交。
4. 用户与权限管理 页面,可查看新建的用户,单击目标用户最右侧操作栏下的编辑,在编辑用户信息页面可配置该用户的数据目录、数据库表以及行级权限。
上一篇: 使用 DLC 分析 CLS 日志下一篇: 资源级鉴权指南

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈