通过SSO单点客户端登录和运维数据库资源
通过SSO单点客户端调用本地数据库工具,登录和运维数据库资源,实现对数据库的运维审计。用户需先在本地安装SSO单点登录工具和数据库客户端工具,然后配置数据库客户端工具路径。
本小节主要介绍如何配置SSO单点客户端,以及如何通过SSO单点客户端登录数据库资源。

SSO单点登录工具客户端目前有四种选择:
- Mysql cmd
- Mysql Adminstrator
- Navicat
- DBeaver(堡垒机V3.3.48.0及以上版本支持)
注意事项
在运维过程中,堡垒机会自动录制视频进行保存审计,为了防止敏感信息泄露,请避免在运维过程中输入明文回显的敏感信息。
约束限制
- 仅专业版实例支持数据库运维操作审计。
- 仅支持MySQL、SQL Server、Oracle、DB2、PostgreSQL、GaussDB类型数据库的运维管理。
由于堡垒机无法校验启用了ssl的数据库,连接GaussDB时,需要在DBeaver禁用ssl,将sslmode设置成disable。
- 仅支持通过SsoDBSettings单点登录工具调用客户端。
- 仅支持调用SecureCRT和XShell主机资源运维客户端。
- 仅支持调用部分数据库客户端,详情请参见下表。
表1 支持数据库协议类型、版本和数据库客户端 数据库类型
版本
支持调用客户端
MySQL
5.5、5.6、5.7、8.0
Navicat 11、12、15、16
MySQL Administrator 1.2.17
MySQL CMD
Microsoft SQL Server
2014、2016、2017、2019、2022
Navicat 11、12、15、16
SSMS 17.6
Oracle
10g、11g、12c、19c、21c
Toad for Oracle 11.0、12.1、12.8、13.2
Navicat 11、12、15、16
PL/SQL Developer 11.0.5.1790
DB2
DB2 Express-C
DB2 CMD命令行 11.1.0
PostgreSQL
11、12、13、14、15
DBeaver22、23
GaussDB
2、3
DBeaver22、23
- 堡垒机支持的数据库及版本,需您自行前往产品官网搜索相关版本下载。
- 当您需要使用单点登录工具运维GaussDB数据库时,需要下载V2.0-3.x版本JDBC驱动包,需要在 中的“库”删除所有文件,并且添加下载的JDBC驱动包。
- 当您需要使用单点登录工具运维运维PostgreSQL和GaussDB时,需要在“连接属性”中添加“sslmode”属性,并且将“值”保存为:“disable”。 中的
- SsoTool.msi 远程工具安装只能选择默认的路径:C:\sso\SsoTool,若自定义安装路径可能会导致该工具无法启动。
前提条件
- 已获取“主机运维”模块管理权限。
- 已获取资源访问控制权限,即已被关联访问控制策略或访问授权工单已审批通过。
- 已在本地安装客户端工具。
- 资源主机网络连接正常,且资源账户登录账号和密码无误。
操作步骤
- 登录堡垒机系统。
- 选择 ,进入主机运维列表页面。
- 选择数据库协议类型的主机,单击“登录”,弹出客户端工具选择窗口。
- 选择本地已安装客户端工具,单击“确定”。
自动调用本地数据库客户端工具。
- 登录数据库资源进行操作。