通过SSO单点客户端登录和运维数据库资源

注意事项

在运维过程中，堡垒机会自动录制视频进行保存审计，为了防止敏感信息泄露，请避免在运维过程中输入明文回显的敏感信息。

约束限制

• 仅专业版实例支持数据库运维操作审计。
• 仅支持通过SsoDBSettings单点登录工具调用客户端。
• 仅支持调用SecureCRT和XShell主机资源运维客户端。
• 支持运维的数据库协议类型，及对应的客户端请参见下表。

  表1 支持数据库协议类型、版本和数据库客户端

  数据库类型	版本	支持调用客户端
  MySQL	5.5，5.6，5.7，8.0	Navicat 11、12、15、16 MySQL Administrator 1.2.17 MySQL CMD DBeaver22、23（堡垒机V3.3.48.0及以上版本支持）
  Microsoft SQL Server	2014、2016、2017、2019、2022	Navicat 11、12、15、16 SSMS 17.6、18、19
  Oracle	10g、11g、12c、19c、21c	Toad for Oracle 11.0、12.1、12.8、13.2 Navicat 11、12、15、16 PL/SQL Developer 11.0.5.1790 DBeaver22、23（堡垒机V3.3.48.0及以上版本支持）
  DB2	DB2 Express-C	DB2 CMD命令行 11.1.0
  PostgreSQL	11、12、13、14、15	DBeaver22、23
  GaussDB	2、3	DBeaver22、23
  DM	DM8	DM管理工具V8（Build 2023.12.14版本支持）

  

  • 堡垒机支持的数据库及版本，需您自行前往产品官网搜索相关版本下载。
  • 当您需要使用单点登录工具运维PostgreSQL和GaussDB时，需要在“数据库 - > 驱动管理器”中的“连接属性”中添加“sslmode”属性，并且将“值”保存为：“disable”。
  • SsoTool.msi 远程工具安装只能选择默认的路径：C:\sso\SsoTool，若自定义安装路径可能会导致该工具无法启动。
  • 由于堡垒机无法校验启用了ssl的数据库，连接GaussDB时，需要在DBeaver禁用ssl，将sslmode设置成disable。

前提条件

• 已获取“主机运维”模块管理权限。
• 已获取资源访问控制权限，即已被关联访问控制策略或访问授权工单已审批通过。
• 已在本地安装客户端工具。
• 资源主机网络连接正常，且资源账户登录账号和密码无误。

操作步骤

1. 登录堡垒机系统。
2. 选择“运维 > 主机运维”，进入主机运维列表页面。
3. 选择数据库协议类型的主机，单击“登录”。

   系统弹出客户端工具选择窗口。

   

   • 首次登录数据库资源，弹出SsoDBSettings下载窗口，可下载SsoDBSettings工具。
   • 不同堡垒机版本选择的下载工具会有差别，具体以实际堡垒机界面显示为准。

     以V.3.3.44.0版本为例：下拉框可选择单点登录工具Windows和单点登录工具UOS(arm)。

4. 选择本地已安装的客户端工具后，单击“确定”。

   系统将自动调用本地数据库客户端工具登录数据库。

配置SSO单点客户端

以Navicat客户端为例，示例配置客户端路径。

1. 打开本地SsoDBSettings单点登录工具。
2. 在“Navicat路径”栏后，单击路径配置。
3. 根据本地Navicat客户端安装的绝对路径，选中Navicat工具的exe文件后，单击“打开”。
4. 返回SsoDBSettings单点登录工具配置界面，可查看已选择的Navicat客户端路径。
5. 单击“保存”，返回堡垒机“主机运维”列表页面，即可登录数据库资源。