SAML with Google
Google SAML 身份验证仅在 Pro 和 Enterprise 套餐(包括自托管和 Metabase Cloud)中可用。
- 在您的 Google 管理控制台 中设置一个 自定义 SAML 应用。
- 按照 Google 的说明进行操作时,您需要
请参阅 使用 SAML 进行身份验证 以获取常规 SAML 信息。
为 Metabase 保存 Google IdP 信息
在 **Google 身份提供程序详细信息** 页面上
- 下载 **IdP 元数据**。
- 复制 **SSO URL**。
- 下载 **证书**。
填写 Metabase SAML 表单
- 从您的 Google **IdP 元数据** 中,找到 **Issuer**。
- Issuer 的格式如下:
https://#/o/saml2/。
- Issuer 的格式如下:
- 转到您的 Metabase SAML 表单(**管理员设置** > **身份验证** > **SAML**)。
- 将 **Issuer** 填入 Metabase 的 **SAML 身份提供程序 Issuer** 字段。
- 将 **SSO URL** 填入 Metabase 的 **SAML 身份提供程序 URL** 字段。
- 将 **证书** 粘贴到 Metabase 的 **SAML 身份提供程序证书** 字段中。
- 请确保包含任何标头和页脚注释(例如
---BEGIN CERTIFICATE---)。
填写服务提供商详细信息
在 **服务提供商详细信息** 页面上
- 将 IdP 应重定向到的 Metabase **URL** 填入 Google 的 **ACS URL** 字段。
- 将 Metabase 的 **SAML 应用程序名称** 填入 Google 的 **Entity ID** 字段。
- SAML 应用程序名称 可以是您喜欢的任何名称(例如,“yourcompany-metabase”)。
- Start URL 和 Signed response 是可选字段。
设置属性映射
在 **Attribute mappings** 页面上,您需要添加“First name”、“Last name”和“Email”作为属性,以便 Google 在身份验证期间能够将它们传递给 Metabase。
例如,要添加“First name”属性
- 点击 **Add another mapping**。
- 在 **Google Directory attributes** 下,选择 **Basic information** > **First name** 作为属性字段名。
- 转到您的 Metabase SAML 表单,找到 **SAML attributes** > **User’s first name attribute**。
- 该属性看起来像这样:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname。
- 该属性看起来像这样:
- 将 **User’s first name attribute** 粘贴到您的 Google **App attributes** 下。
- 对“Last name”和“Email”属性重复步骤 1-3。
设置同步组的成员资格
- 在 Google Admin 中,您可以选择以下任一方式:
- 为您的用户设置一个多值 自定义用户属性。如果要在 Google 中管理多个 SAML 应用权限,或者您现有的 Google 群组不符合您期望的 Metabase 群组,建议使用此方法。
- 映射到现有 Google 群组.
- 按照 配置群组模式 的说明进行操作,在 Metabase 中使用您在 Google 中使用的 `
App attribute` 作为群组属性名。
SAML 问题排查
阅读其他版本的 Metabase 的文档。