LDAP
Metabase 支持使用轻型目录访问协议(LDAP)进行身份验证。
您可以在**管理设置** > **设置** > **身份验证**下找到 SSO 选项。
必需的 LDAP 属性
您需要使用以下属性设置 LDAP 目录
- 电子邮件(默认为
mail属性) - 名字(默认为
givenName属性) - 姓氏(默认为
sn属性)。
如果您的 LDAP 设置使用其他属性,您可以在表单的“属性”部分进行编辑。
您的 LDAP 目录必须为将成为 Metabase 用户的每个条目填充电子邮件字段,否则 Metabase 将无法创建帐户,该人员也无法登录。如果缺少任一名称字段,Metabase 将使用默认值“未知”,该人员可以在其帐户设置中更改其姓名。
启用 LDAP 身份验证
在**管理设置** > **设置** > **身份验证**选项卡中,转到 LDAP 部分并点击**设置**。点击表单顶部的开关以启用 LDAP,然后填写相关详细信息。
用户配置
当用户通过 LDAP 登录时,Metabase 可以自动为他们创建 Metabase 帐户(如果他们还没有 Metabase 帐户)。
服务器设置
- LDAP 主机。您的服务器名称。例如,ldap.yourdomain.org
- LDAP 端口。服务器端口,如果使用 SSL,通常为 389 或 636。
- LDAP 安全设置。选项为无、SSL 或 StarTLS。
- LDAP 管理员用户名。要绑定的可分辨名称(如果有)。此用户将用于查找其他用户的信息。
- LDAP 管理员密码。
然后保存您的更改。Metabase 将自动从您的 LDAP 目录中提取必需属性。
用户架构
此页面上的**用户架构**部分是您可以调整与 Metabase 如何连接到 LDAP 服务器以验证用户相关的设置。
用户搜索基础
**用户搜索基础**字段应填写您的 LDAP 服务器中作为搜索用户起点的条目的*可分辨名称*(DN)。
例如,假设您正在为您的公司 WidgetCo 配置 LDAP,其基本 DN 为 dc=widgetco,dc=com。如果员工条目都存储在 LDAP 服务器中名为 People 的组织单位中,您将需要为用户搜索基础字段提供 DN ou=People,dc=widgetco,dc=com。这会告诉 Metabase 开始在该 LDAP 服务器中的该位置搜索匹配条目。
用户过滤器
您将在**用户过滤器**字段中看到以下灰显的默认值
(&(objectClass=inetOrgPerson)(|(uid={login})(mail={login})))
当用户登录 Metabase 时,此命令会确认他们提供的登录信息与您的 LDAP 服务器中的 UID *或*电子邮件字段匹配,*并且*匹配条目具有 inetOrgPerson 的 objectClass。
此默认命令适用于大多数 LDAP 服务器,因为 inetOrgPerson 是一个广泛采用的 objectClass。但是,如果您的公司使用不同的 objectClass 来对员工进行分类,则可以在此字段中设置不同的命令,以指示 Metabase 在用户登录时如何查找和验证 LDAP 条目。
LDAP 组映射
在用户通过 SSO 登录 Metabase 后手动将人员分配到组可能会很繁琐。相反,您可以通过启用组映射来利用 LDAP 目录中已存在的组。
滚动到同一 LDAP 设置页面上的**组架构**,然后点击开关以启用组映射。选择**编辑映射**将弹出一个模式,您可以在其中创建和编辑映射,指定哪个 LDAP 组对应哪个 Metabase 组。
如下所示,如果您在 LDAP 服务器和 Metabase 实例中都有一个**会计**组,您只需提供 LDAP 服务器中的可分辨名称(在此示例中为 cn=Accounting,ou=Groups,dc=widgetco,dc=com),然后从现有 Metabase 组的下拉列表中选择其匹配项。
关于组映射的一些注意事项
- 管理员组与其他任何组一样。
- 根据 LDAP 映射对人员组员身份的更新并非即时生效;更改将在人们重新登录后才会生效。
- 人员只会添加到或从映射的组中删除;同步对 Metabase 中没有 LDAP 映射的组没有影响。
LDAP 组成员资格过滤器
组成员资格查找过滤器。占位符 {dn} 和 {uid} 将分别替换为用户的可分辨名称和 UID。
将用户属性与 LDAP 同步
您可以从 LDAP 目录管理用户属性,例如姓名、电子邮件和角色。当您设置行和列安全时,您的 LDAP 目录将能够将这些属性传递给 Metabase。
登录问题故障排除
延伸阅读
阅读其他版本的 Metabase 的文档。