LDAP
Metabase 支持使用轻型目录访问协议 (LDAP) 进行身份验证。
您可以在管理设置 > 设置 > 身份验证下找到 SSO 选项。
必需的 LDAP 属性
您需要使用以下属性设置 LDAP 目录
- 电子邮件(默认为
mail属性) - 名字(默认为
givenName属性) - 姓氏(默认为
sn属性)。
如果您的 LDAP 设置对这些使用其他属性,您可以在表单的“属性”部分下编辑此设置。
您的 LDAP 目录必须为每个将成为 Metabase 用户的条目填充电子邮件字段,否则 Metabase 将无法创建帐户,该人员也无法登录。如果缺少名字或姓氏字段,Metabase 将使用默认值“未知”,并且该人员可以在其账户设置中更改其姓名。
启用 LDAP 身份验证
在管理设置 > 设置 > 身份验证选项卡中,转到 LDAP 部分,然后单击设置。单击表单顶部的切换按钮以启用 LDAP,然后使用相关详细信息填写表单。
用户配置
当人员通过 LDAP 登录时,Metabase 可以自动为他们创建一个 Metabase 账户(如果他们还没有 Metabase 账户)。
服务器设置
- LDAP 主机。您的服务器名称。例如,ldap.yourdomain.org
- LDAP 端口。服务器端口,如果使用 SSL,通常为 389 或 636。
- LDAP 安全设置。选项为“无”、“SSL”或“StarTLS”。
- LDAP 管理员用户名。要绑定为的专有名称(如果有)。此用户将用于查找有关其他用户的信息。
- LDAP 管理员密码。
然后保存您的更改。Metabase 将自动从您的 LDAP 目录中拉取必需的属性。
用户架构
此同一页面上的用户架构部分是您可以调整与 Metabase 如何连接到 LDAP 服务器以验证用户身份相关的设置的位置。
用户搜索库
应使用 LDAP 服务器中作为搜索用户起点的条目的专有名称 (DN) 填写用户搜索库字段。
例如,假设您正在为您的公司 WidgetCo 配置 LDAP,其中您的基本 DN 是 dc=widgetco,dc=com。如果员工的条目都存储在 LDAP 服务器中名为 People 的组织单元中,您将需要为用户搜索库字段提供 DN ou=People,dc=widgetco,dc=com。这告诉 Metabase 开始在该位置内的 LDAP 服务器中搜索匹配的条目。
用户筛选器
您将在用户筛选器字段中看到以下灰显的默认值
(&(objectClass=inetOrgPerson)(|(uid={login})(mail={login})))
当人员登录 Metabase 时,此命令确认他们提供的登录名与 LDAP 服务器中的 UID 或电子邮件字段匹配,并且匹配的条目的 objectClass 为 inetOrgPerson。
此默认命令适用于大多数 LDAP 服务器,因为 inetOrgPerson 是一种广泛采用的 objectClass。但是,例如,如果您的公司使用不同的 objectClass 对员工进行分类,则此字段是您可以设置不同命令的位置,以指示 Metabase 在人员登录时如何查找和验证 LDAP 条目。
LDAP 组映射
在人员通过 SSO 登录后,手动将人员分配到 Metabase 中的组可能会很繁琐。相反,您可以通过启用组映射来利用 LDAP 目录中已存在的组。
滚动到同一 LDAP 设置页面上的组架构,然后单击切换按钮以启用组映射。选择编辑映射将弹出一个模态框,您可以在其中创建和编辑映射,指定哪个 LDAP 组对应于哪个 Metabase 组。
如下所示,如果您在 LDAP 服务器和 Metabase 实例中都有一个 Accounting 组,您只需提供 LDAP 服务器中的专有名称(在本例中为 cn=Accounting,ou=Groups,dc=widgetco,dc=com),然后从现有 Metabase 组的下拉列表中选择其匹配项。
关于组映射,需要记住以下几点
- 管理员组的工作方式与任何其他组相同。
- 基于 LDAP 映射对人员的组成员身份进行的更新不是即时的;更改仅在人员重新登录后才会生效。
- 人员只会添加到或从映射组中删除;同步对 Metabase 中没有 LDAP 映射的组没有影响。
LDAP 组成员身份筛选器
组成员身份查找筛选器。占位符 {dn} 和 {uid} 将分别替换为用户的专有名称和 UID。
将用户属性与 LDAP 同步
您可以从 LDAP 目录管理用户属性,例如姓名、电子邮件和角色。当您设置数据沙盒时,您的 LDAP 目录将能够将这些属性传递到 Metabase。
登录问题故障排除
延伸阅读
阅读其他 Metabase 版本的文档。