SAML 与 Microsoft Entra ID
SAML 身份验证仅在 Pro 和 Enterprise 计划(自托管和 Metabase 云端)中可用。
在 Metabase 中启用 SAML
首先,请按照我们的指南启用 SAML 身份验证。
在 Microsoft Entra ID 中添加企业应用程序
转到 Microsoft Entra 管理中心,然后点击侧边栏中“应用程序”下的 企业应用程序。进入后,点击页面顶部栏中的 + 新建应用程序。
在新页面中,点击 + 创建您自己的应用程序,页面右侧将打开一个栏。输入“Metabase”作为应用程序名称,选择 集成任何在库中找不到的其他应用程序(非库)选项,然后点击栏底部的 创建 按钮。
在应用程序页面上,在 管理 下,选择 单点登录,然后点击“SAML”按钮。
当“使用 SAML 设置单点登录”页面出现时,您将看到“基本 SAML 配置”的选项。点击 编辑 按钮以输入所需信息。
按照以下方式填写以下字段,然后点击“保存”
- 标识符(实体 ID):
Metabase - 回复 URL(断言使用者服务 URL):转到您的 Metabase 实例,进入“设置”->“管理”->“身份验证”->“SAML”,然后插入您的 Metabase 实例在“配置您的身份提供商 (IdP)”框中报告的值。
点击“保存”,然后记下步骤 4 中的以下 2 个项目
- “登录 URL”:这是您需要在下一步在 Metabase 中的“SAML 身份提供商 URL”中输入的值
- “Microsoft Entra 标识符”:这是您需要在下一步在 Metabase 中的“SAML 身份提供商颁发者”中输入的值
下载“联合元数据 XML”文件,其中将包含下一步所需的证书。
要完成 Microsoft Entra 端的配置,请点击“管理”选项卡上的 用户和群组 按钮,然后添加应有权访问 Metabase 的用户或群组。
使用 Metabase SSO 信息配置企业应用程序
以管理员身份登录 Metabase,然后转到 管理 -> 设置 -> 身份验证 -> SAML。
在“告诉 Metabase 关于您的身份提供商”下,输入以下内容
- SAML 身份提供商 URL:您在 Microsoft Entra ID SAML SSO 配置的步骤 4 中获得的“登录 URL”
- SAML 身份提供商证书:使用文本编辑器打开“联合元数据 XML”,复制并粘贴“应用程序联合元数据 URL”中
<X509Certificate>标记下的超长字符串。确保您复制并粘贴了整个字符串;如果您遗漏任何字符,集成将不起作用 - SAML 应用程序名称:“Metabase”
- SAML 身份提供商颁发者:您从 Microsoft Entra ID SAML SSO 配置中获得的“Microsoft Entra 标识符”URL。
点击下面的 保存并启用,您现在应该能够通过 Microsoft Entra ID 登录。
将群组成员身份发送到 Metabase 以进行群组映射
如果您想将用户群组成员身份发送到 Metabase,则需要在 Azure 的步骤 2“使用 SAML 设置单点登录”中添加群组声明
- 在“属性和声明”的右侧,点击“编辑”。
- 点击“添加群组声明”。 3 在出现的菜单中,针对“应在声明中返回与用户关联的哪些群组?”,选择“所有群组”。
- 点击“保存”。
- 然后在 Metabase SAML 配置中添加群组映射。
延伸阅读
阅读其他Metabase 版本的文档。