SAML 与 Microsoft Entra ID

SAML 认证仅适用于 ProEnterprise 计划(包括自托管和 Metabase 云版本)。

在 Metabase 中启用 SAML

首先,请遵循我们的指南启用 SAML 认证

在 Microsoft Entra ID 中添加企业应用程序

前往 Microsoft Entra 管理中心,点击侧边栏“应用程序”下的 企业应用程序。进入后,点击页面顶部栏中的 + 新建应用程序

AZEnterpriseApp

在新页面中点击 + 创建您自己的应用程序,页面右侧将打开一个栏。输入“Metabase”作为应用程序名称,选择 集成未在图库中找到的任何其他应用程序(非图库)作为选项,然后点击栏底部的 创建 按钮。

AZMetabaseApp

在应用程序页面上,在 管理 下,选择 单一登录,然后点击“SAML”按钮。

AZAppSAML

当“使用 SAML 设置单一登录”页面出现时,您将看到“基本 SAML 配置”选项。点击 编辑 按钮输入所需信息。

AZAzureStep1

按如下方式填写以下字段并点击“保存”

  • 标识符(实体 ID): Metabase
  • 回复 URL(断言消费者服务 URL): 前往您的 Metabase 实例,在“设置”->“管理员”->“认证”->“SAML”中,插入您的 Metabase 实例在“配置您的身份提供程序 (IdP)”框中报告的值。

点击“保存”,然后记录步骤 4 中的以下 2 项

  • “登录 URL”:这是您在下一步中需要在 Metabase 的“SAML 身份提供程序 URL”中输入的值
  • “Microsoft Entra 标识符”:这是您在下一步中需要在 Metabase 的“SAML 身份提供程序颁发者”中输入的值

下载“联合元数据 XML”文件,其中包含您下一步所需的证书。

要完成 Microsoft Entra 端的配置,请点击“管理”选项卡上的 用户和群组 按钮,并添加应有权访问 Metabase 的用户或群组。

使用 Metabase SSO 信息配置企业应用程序

以管理员身份登录 Metabase,然后转到 管理 -> 设置 -> 认证 -> SAML

在“告诉 Metabase 您的身份提供程序信息”下,输入以下内容

  • SAML 身份提供程序 URL:您在 Microsoft Entra ID SAML SSO 配置的步骤 4 中获得的“登录 URL”
  • SAML 身份提供程序证书:用文本编辑器打开“联合元数据 XML”文件,复制并粘贴“应用程序联合元数据 URL”中 <X509Certificate> 标签下的超长字符串。请确保复制并粘贴整个字符串;如果遗漏任何字符,集成将无法工作。
  • SAML 应用程序名称:“Metabase”
  • SAML 身份提供程序颁发者:您从 Microsoft Entra ID SAML SSO 配置中获得的“Microsoft Entra 标识符”URL。

点击下方的 保存并启用,您现在应该能够通过 Microsoft Entra ID 登录了。

发送群组隶属关系到 Metabase 以进行群组映射

如果您想将用户群组隶属关系发送到 Metabase,则需要在 Azure 的步骤 2,“使用 SAML 设置单一登录”中添加一个群组声明

  1. 在“属性和声明”的右侧,点击“编辑”。
  2. 点击“添加群组声明”。3 在出现的“应在声明中返回与用户关联的哪些群组?”菜单中,选择“所有群组”。
  3. 点击保存。
  4. 然后在 Metabase SAML 配置中添加群组映射。

延伸阅读

阅读其他Metabase 版本的文档。

© . All rights reserved.