与 Google 的 SAML 集成
Google SAML 身份验证仅在 Pro 和 Enterprise 计划(包括自托管和 Metabase 云)中可用。
- 在您的 Google 管理控制台中设置自定义 SAML 应用。
- 当您按照 Google 的指示操作时,您需要
有关常规 SAML 信息,请参阅“使用 SAML 进行身份验证”。
保存 Google IdP 信息以供 Metabase 使用
在“Google 身份提供商详细信息”页面上
- 下载 IdP 元数据。
- 复制 SSO URL。
- 下载 证书。
填写 Metabase SAML 表单
- 从您的 Google IdP 元数据中,找到颁发者。
- 颁发者看起来像这样:
https://127.0.0.1/o/saml2/。
- 颁发者看起来像这样:
- 转到您的 Metabase SAML 表单(管理设置 > 身份验证 > SAML)。
- 将颁发者放入 Metabase “SAML 身份提供商颁发者”字段。
- 将 SSO URL 放入 Metabase “SAML 身份提供商 URL”字段。
- 将证书粘贴到 Metabase “SAML 身份提供商证书”字段。
- 确保包含任何页眉和页脚注释(如
---BEGIN CERTIFICATE---)。
填写服务提供商详细信息
在“服务提供商详细信息”页面上
- 将 IdP 应重定向到的 Metabase URL 放入 Google “ACS URL”字段。
- 将 Metabase “SAML 应用程序名称”放入 Google “实体 ID”字段。
- “SAML 应用程序名称”可以是您喜欢的任何名称(例如,“yourcompany-metabase”)。
- “起始 URL”和“已签名响应”是可选字段。
设置属性映射
在“属性映射”页面上,您需要添加“名字”、“姓氏”和“电子邮件”作为属性,以便 Google 可以在身份验证期间将其传递给 Metabase。
例如,要添加属性“名字”
- 点击“添加另一个映射”。
- 在“Google 目录属性”下,选择“基本信息” > “名字”作为属性字段名称。
- 转到您的 Metabase SAML 表单,并查找“SAML 属性” > “用户的名字属性”。
- 该属性看起来像这样:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname。
- 该属性看起来像这样:
- 将“用户的名字属性”粘贴到您的 Google “应用属性”下。
- 对属性“姓氏”和“电子邮件”重复步骤 1-3。
SAML 问题故障排除
阅读其他 Metabase 版本的文档。