LDAP

Metabase 支持使用轻量级目录访问协议 (LDAP) 进行身份验证。

您可以在 **管理设置** > **设置** > **身份验证** 下找到 SSO 选项。

所需 LDAP 属性

您需要使用以下属性设置 LDAP 目录

  • 电子邮件(默认为 mail 属性)
  • 名字(默认为 givenName 属性)
  • 姓氏(默认为 sn 属性)。

如果您的 LDAP 设置使用其他属性,您可以在表单的“属性”部分进行编辑。

Attributes

您的 LDAP 目录必须为每个将成为 Metabase 用户的人员条目填充电子邮件字段,否则 Metabase 将无法创建帐户,该人员也无法登录。如果任一姓名字段缺失,Metabase 将使用默认值“未知”,该人员可以在其帐户设置中更改姓名。

启用 LDAP 身份验证

在 **管理设置** > **设置** > **身份验证** 选项卡中,转到 LDAP 部分并单击 **设置**。单击表单顶部的切换开关以启用 LDAP,然后填写相关详细信息。

用户配置

当用户通过 LDAP 登录时,Metabase 可以自动为他们创建 Metabase 帐户(如果他们还没有 Metabase 帐户)。

服务器设置

  • LDAP 主机。您的服务器名称。例如:ldap.yourdomain.org
  • LDAP 端口。服务器端口,通常是 389,如果使用 SSL 则是 636。
  • LDAP 安全设置。选项包括“无”、“SSL”或“StartTLS”。
  • LDAP 管理员用户名。绑定为的辨识名(如果有)。此用户将用于查找其他用户的信息。
  • LDAP 管理员密码。

然后保存您的更改。Metabase 将自动从您的 LDAP 目录中提取所需属性

用户模式

同一页面上的 **用户模式** 部分是您可以调整与 Metabase 如何连接到 LDAP 服务器以验证用户相关的设置。

用户搜索基础

**用户搜索基础** 字段应填写 LDAP 服务器中作为搜索用户起点的条目的 *辨识名* (DN)。

例如,假设您正在为您的公司 WidgetCo 配置 LDAP,其基本 DN 是 dc=widgetco,dc=com。如果员工条目都存储在 LDAP 服务器中名为 People 的组织单位中,您需要为用户搜索基础字段提供 DN ou=People,dc=widgetco,dc=com。这会告诉 Metabase 从 LDAP 服务器中的该位置开始搜索匹配条目。

用户筛选器

您将在 **用户筛选器** 字段中看到以下灰色的默认值

(&(objectClass=inetOrgPerson)(|(uid={login})(mail={login})))

当用户登录 Metabase 时,此命令会确认他们提供的登录信息与 LDAP 服务器中的 UID *或* 电子邮件字段匹配,*并且* 匹配的条目具有 inetOrgPerson 的 objectClass。

此默认命令适用于大多数 LDAP 服务器,因为 inetOrgPerson 是一种广泛采用的 objectClass。但如果您的公司使用不同的 objectClass 来对员工进行分类,您可以在此字段中设置不同的命令,以指定 Metabase 如何在用户登录时查找和验证 LDAP 条目。

LDAP 群组映射

在用户通过 SSO 登录 Metabase 后手动将他们分配到群组可能会很繁琐。相反,您可以通过启用群组映射来利用 LDAP 目录中已有的群组。

滚动到同一 LDAP 设置页面上的 **群组模式**,然后点击切换开关以启用群组映射。选择 **编辑映射** 将弹出一个模态框,您可以在其中创建和编辑映射,指定哪个 LDAP 群组对应哪个 Metabase 群组。

如下所示,如果您的 LDAP 服务器和 Metabase 实例中都有一个 **会计** 群组,您只需提供 LDAP 服务器中的辨识名(在本例中为 cn=Accounting,ou=Groups,dc=widgetco,dc=com),然后从现有 Metabase 群组的下拉列表中选择其匹配项。

Group Mapping

群组映射需要注意的事项

  • 管理员群组与其他群组一样。
  • 基于 LDAP 映射的用户群组会员资格更新不是即时的;更改仅在用户重新登录后生效。
  • 用户只能添加到或从已映射的群组中移除;同步对 Metabase 中未进行 LDAP 映射的群组没有影响。

LDAP 群组会员筛选器

LDAP 高级功能仅适用于 专业版企业版 计划(包括自托管和 Metabase Cloud)。

群组成员资格查找筛选器。占位符 {dn} 和 {uid} 将分别替换为用户的辨识名和 UID。

将用户属性与 LDAP 同步

LDAP 高级功能仅适用于 专业版企业版 计划(包括自托管和 Metabase Cloud)。

您可以从 LDAP 目录管理用户属性,例如姓名、电子邮件和角色。当您设置数据沙箱时,您的 LDAP 目录将能够将这些属性传递给 Metabase。

登录问题排查

延伸阅读

阅读其他 Metabase 版本的文档。

© . All rights reserved.