SAML 与 Microsoft Entra ID
SAML 认证仅适用于 Pro 和 Enterprise 计划(包括自托管和 Metabase 云版本)。
在 Metabase 中启用 SAML
首先,请遵循我们的指南启用 SAML 认证。
在 Microsoft Entra ID 中添加企业应用程序
前往 Microsoft Entra 管理中心,点击侧边栏“应用程序”下的 企业应用程序。进入后,点击页面顶部栏中的 + 新建应用程序。
在新页面中点击 + 创建您自己的应用程序,页面右侧将打开一个栏。输入“Metabase”作为应用程序名称,选择 集成未在图库中找到的任何其他应用程序(非图库)作为选项,然后点击栏底部的 创建 按钮。
在应用程序页面上,在 管理 下,选择 单一登录,然后点击“SAML”按钮。
当“使用 SAML 设置单一登录”页面出现时,您将看到“基本 SAML 配置”选项。点击 编辑 按钮输入所需信息。
按如下方式填写以下字段并点击“保存”
- 标识符(实体 ID):
Metabase - 回复 URL(断言消费者服务 URL): 前往您的 Metabase 实例,在“设置”->“管理员”->“认证”->“SAML”中,插入您的 Metabase 实例在“配置您的身份提供程序 (IdP)”框中报告的值。
点击“保存”,然后记录步骤 4 中的以下 2 项
- “登录 URL”:这是您在下一步中需要在 Metabase 的“SAML 身份提供程序 URL”中输入的值
- “Microsoft Entra 标识符”:这是您在下一步中需要在 Metabase 的“SAML 身份提供程序颁发者”中输入的值
下载“联合元数据 XML”文件,其中包含您下一步所需的证书。
要完成 Microsoft Entra 端的配置,请点击“管理”选项卡上的 用户和群组 按钮,并添加应有权访问 Metabase 的用户或群组。
使用 Metabase SSO 信息配置企业应用程序
以管理员身份登录 Metabase,然后转到 管理 -> 设置 -> 认证 -> SAML。
在“告诉 Metabase 您的身份提供程序信息”下,输入以下内容
- SAML 身份提供程序 URL:您在 Microsoft Entra ID SAML SSO 配置的步骤 4 中获得的“登录 URL”
- SAML 身份提供程序证书:用文本编辑器打开“联合元数据 XML”文件,复制并粘贴“应用程序联合元数据 URL”中
<X509Certificate>标签下的超长字符串。请确保复制并粘贴整个字符串;如果遗漏任何字符,集成将无法工作。 - SAML 应用程序名称:“Metabase”
- SAML 身份提供程序颁发者:您从 Microsoft Entra ID SAML SSO 配置中获得的“Microsoft Entra 标识符”URL。
点击下方的 保存并启用,您现在应该能够通过 Microsoft Entra ID 登录了。
发送群组隶属关系到 Metabase 以进行群组映射
如果您想将用户群组隶属关系发送到 Metabase,则需要在 Azure 的步骤 2,“使用 SAML 设置单一登录”中添加一个群组声明
- 在“属性和声明”的右侧,点击“编辑”。
- 点击“添加群组声明”。3 在出现的“应在声明中返回与用户关联的哪些群组?”菜单中,选择“所有群组”。
- 点击保存。
- 然后在 Metabase SAML 配置中添加群组映射。
延伸阅读
阅读其他Metabase 版本的文档。