SAML with Google

1. 在您的 Google 管理控制台中设置一个自定义 SAML 应用。
2. 在按照 Google 的说明操作时，您需要：

• 保存有关 Google 的信息以供 Metabase 使用.
• 向 Metabase 提供 Google 信息.
• 向 Google 提供 Metabase 信息.
• 在 Google 中设置属性映射.

有关 SAML 的一般信息，请参阅使用 SAML 进行身份验证。

保存 Metabase 的 Google IdP 信息

在 Google 身份提供商详细信息页面上

1. 下载 IdP 元数据。
2. 复制 SSO URL。
3. 下载证书。

填写 Metabase SAML 表单

1. 从您的 Google IdP 元数据中，找到 Issuer（颁发者）。
   • Issuer（颁发者）如下所示：https://#/o/saml2/。
2. 转到您的 Metabase SAML 表单（管理设置 > 身份验证 > SAML）。
3. 将 Issuer（颁发者）放入 Metabase 的 SAML 身份提供商颁发者字段。
4. 将 SSO URL 放入 Metabase 的 SAML 身份提供商 URL 字段。
5. 将证书粘贴到 Metabase 的 SAML 身份提供商证书字段中。

• 确保包含任何页眉和页脚注释（例如 ---BEGIN CERTIFICATE---）。

填写服务提供商详细信息

在服务提供商详细信息页面上

1. 将 Metabase 的身份提供商应重定向到的 URL 放入 Google 的 ACS URL 字段。
2. 将 Metabase 的 SAML 应用程序名称 放入 Google 的 Entity ID 字段。
   • SAML 应用程序名称可以是您喜欢的任何名称（例如，“贵公司-metabase”）。
3. 开始 URL 和 签名响应是可选字段。

设置属性映射

在属性映射页面上，您需要添加“名字”、“姓氏”和“电子邮件”作为属性，以便 Google 可以在身份验证期间将它们传递给 Metabase。

例如，要添加属性“名字”

1. 点击添加另一个映射。
2. 在 Google Directory 属性下，选择基本信息 > 名字作为属性字段名称。
3. 转到您的 Metabase SAML 表单，查找 SAML 属性 > 用户名字属性。
   • 该属性如下所示：http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname。
4. 将用户名字属性粘贴到您的 Google 应用属性下。
5. 重复步骤 1-3，为“姓氏”和“电子邮件”属性执行相同操作。

设置同步组成员资格

1. 在 Google 管理员中，您可以选择
   • 为您的用户设置一个多值自定义用户属性。如果您在 Google 中管理多个 SAML 应用程序权限，或者您缺乏与所需 Metabase 组一致的现有 Google 群组，则建议使用此方法。
   • 映射到现有 Google 群组.
2. 按照配置组架构的说明操作，使用您在 Google 中使用的应用属性作为 Metabase 中的组属性名称。

SAML 问题排查

• SAML 问题排查.