LDAP
Metabase 支持使用轻量级目录访问协议 (LDAP) 进行身份验证。
您可以在 **管理设置** > **设置** > **身份验证** 下找到 SSO 选项。
所需 LDAP 属性
您需要使用以下属性设置 LDAP 目录
- 电子邮件(默认为
mail属性) - 名字(默认为
givenName属性) - 姓氏(默认为
sn属性)。
如果您的 LDAP 设置使用其他属性,您可以在表单的“属性”部分进行编辑。
您的 LDAP 目录必须为每个将成为 Metabase 用户的人员条目填充电子邮件字段,否则 Metabase 将无法创建帐户,该人员也无法登录。如果任一姓名字段缺失,Metabase 将使用默认值“未知”,该人员可以在其帐户设置中更改姓名。
启用 LDAP 身份验证
在 **管理设置** > **设置** > **身份验证** 选项卡中,转到 LDAP 部分并单击 **设置**。单击表单顶部的切换开关以启用 LDAP,然后填写相关详细信息。
用户配置
当用户通过 LDAP 登录时,Metabase 可以自动为他们创建 Metabase 帐户(如果他们还没有 Metabase 帐户)。
服务器设置
- LDAP 主机。您的服务器名称。例如:ldap.yourdomain.org
- LDAP 端口。服务器端口,通常是 389,如果使用 SSL 则是 636。
- LDAP 安全设置。选项包括“无”、“SSL”或“StartTLS”。
- LDAP 管理员用户名。绑定为的辨识名(如果有)。此用户将用于查找其他用户的信息。
- LDAP 管理员密码。
然后保存您的更改。Metabase 将自动从您的 LDAP 目录中提取所需属性。
用户模式
同一页面上的 **用户模式** 部分是您可以调整与 Metabase 如何连接到 LDAP 服务器以验证用户相关的设置。
用户搜索基础
**用户搜索基础** 字段应填写 LDAP 服务器中作为搜索用户起点的条目的 *辨识名* (DN)。
例如,假设您正在为您的公司 WidgetCo 配置 LDAP,其基本 DN 是 dc=widgetco,dc=com。如果员工条目都存储在 LDAP 服务器中名为 People 的组织单位中,您需要为用户搜索基础字段提供 DN ou=People,dc=widgetco,dc=com。这会告诉 Metabase 从 LDAP 服务器中的该位置开始搜索匹配条目。
用户筛选器
您将在 **用户筛选器** 字段中看到以下灰色的默认值
(&(objectClass=inetOrgPerson)(|(uid={login})(mail={login})))
当用户登录 Metabase 时,此命令会确认他们提供的登录信息与 LDAP 服务器中的 UID *或* 电子邮件字段匹配,*并且* 匹配的条目具有 inetOrgPerson 的 objectClass。
此默认命令适用于大多数 LDAP 服务器,因为 inetOrgPerson 是一种广泛采用的 objectClass。但如果您的公司使用不同的 objectClass 来对员工进行分类,您可以在此字段中设置不同的命令,以指定 Metabase 如何在用户登录时查找和验证 LDAP 条目。
LDAP 群组映射
在用户通过 SSO 登录 Metabase 后手动将他们分配到群组可能会很繁琐。相反,您可以通过启用群组映射来利用 LDAP 目录中已有的群组。
滚动到同一 LDAP 设置页面上的 **群组模式**,然后点击切换开关以启用群组映射。选择 **编辑映射** 将弹出一个模态框,您可以在其中创建和编辑映射,指定哪个 LDAP 群组对应哪个 Metabase 群组。
如下所示,如果您的 LDAP 服务器和 Metabase 实例中都有一个 **会计** 群组,您只需提供 LDAP 服务器中的辨识名(在本例中为 cn=Accounting,ou=Groups,dc=widgetco,dc=com),然后从现有 Metabase 群组的下拉列表中选择其匹配项。
群组映射需要注意的事项
- 管理员群组与其他群组一样。
- 基于 LDAP 映射的用户群组会员资格更新不是即时的;更改仅在用户重新登录后生效。
- 用户只能添加到或从已映射的群组中移除;同步对 Metabase 中未进行 LDAP 映射的群组没有影响。
LDAP 群组会员筛选器
群组成员资格查找筛选器。占位符 {dn} 和 {uid} 将分别替换为用户的辨识名和 UID。
将用户属性与 LDAP 同步
您可以从 LDAP 目录管理用户属性,例如姓名、电子邮件和角色。当您设置数据沙箱时,您的 LDAP 目录将能够将这些属性传递给 Metabase。
登录问题排查
延伸阅读
阅读其他 Metabase 版本的文档。