SAML 与 Google
- 在您的 Google 管理控制台 中设置 自定义 SAML 应用。
- 在遵循 Google 的说明时,您需要:
有关 SAML 的一般信息,请参阅 使用 SAML 身份验证。
保存用于 Metabase 的 Google IdP 信息
在 **Google 身份提供商详细信息** 页面:
- 下载 **IdP 元数据**。
- 复制 **SSO URL**。
- 下载 **证书**。
填写 Metabase SAML 表单
- 从您的 Google **IdP 元数据** 中,找到 **发行者 (issuer)**。
- **发行者 (issuer)** 类似于:
https://#/o/saml2/。
- **发行者 (issuer)** 类似于:
- 前往您的 Metabase SAML 表单(**管理设置** > **身份验证** > **SAML**)。
- 将 **发行者 (issuer)** 填入 Metabase 的 **SAML 身份提供商发行者** 字段。
- 将 **SSO URL** 填入 Metabase 的 **SAML 身份提供商 URL** 字段。
- 将 **证书** 粘贴到 Metabase 的 **SAML 身份提供商证书** 字段。
- 确保包含任何页眉和页脚注释(如
---BEGIN CERTIFICATE---)。
填写服务提供商详细信息
在 **服务提供商详细信息** 页面:
- 将 Metabase 的 **IdP 应重定向到的 URL** 填入 Google 的 **ACS URL** 字段。
- 将 Metabase 的 **SAML 应用程序名称** 填入 Google 的 **实体 ID** 字段。
- **SAML 应用程序名称** 可以是任何您喜欢的名称(例如,“yourcompany-metabase”)。
- **启动 URL** 和 **签名响应** 是可选字段。
设置属性映射
在**属性映射**页面,您需要添加“名字”、“姓氏”和“电子邮件”作为属性,以便 Google 可以在身份验证期间将它们传递给 Metabase。
例如,添加属性“名字”
- 点击**添加另一个映射**。
- 在**Google 目录属性**下,选择**基本信息** > **名字**作为属性字段名称。
- 转到您的 Metabase SAML 表单,查找**SAML 属性** > **用户名字属性**。
- 该属性类似于:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname。
- 该属性类似于:
- 将**用户名字属性**粘贴到您的 Google **应用属性**下。
- 重复步骤 1-3,为“姓氏”和“电子邮件”属性进行操作。
设置同步组权限
- 在 Google 管理控制台中,为您的用户设置一个多值自定义用户属性(如果您在 Google 中管理多个 SAML 应用权限或没有与您所需的 Metabase 组对齐的现有 Google 群组,则推荐此方法),或者映射到现有 Google 群组。
- 按照配置群组架构的说明,使用您在 Google 中用作 Metabase 中群组属性名称的
应用属性。
SAML 问题故障排除
阅读其他 Metabase 版本的文档。