使用 SCIM 进行用户配置
使用 SCIM 进行用户配置仅适用于 专业版 (Pro) 和 企业版 (Enterprise) 计划(包括自托管和 Metabase 云版)。
Metabase 支持通过跨域身份管理系统 (SCIM) 协议进行用户配置。除了单点登录 (SSO) 外,您还可以使用 SCIM 在 Metabase 中设置用户配置,以:
- 将身份验证与配置分离。尽管任何人都可以通过 SSO 进行身份验证,但您可能只希望某些人能够在 Metabase 中创建账户。
- 支持取消配置用户账户。如果您从 SSO 中停用某人,SCIM 可以通知 Metabase 也停用其 Metabase 账户。
目前,Metabase 官方支持 Okta 和 Microsoft Entra ID 的 SCIM。其他 SCIM 提供商可能有效,但我们尚未测试。如果您在使用其他身份提供商时遇到问题,请联系我们。
设置用户配置
要设置用户配置,请点击右上角的设置 齿轮 图标,然后导航到 管理设置 > 设置 > 身份验证。
点击 用户配置 选项卡。
通过 SCIM 进行用户配置
要使用 SCIM 设置用户配置,请点击切换按钮启用它。Metabase 将显示 SCIM 端点 URL 和 SCIM 令牌,供您与身份提供商共享。
如果您之前已通过 SAML 设置用户配置,Metabase 将关闭该设置并改用 SCIM 设置。
SCIM 端点 URL
SCIM 端点是 /api/ee/scim/v2
。因此您的 URL 将类似于
https://metabase.example.com/api/ee/scim/v2
将主机名替换为您的 Metabase 主机名。
与您的身份提供商共享此端点 URL。
SCIM 令牌
复制令牌并将其保存在安全的地方。出于安全考虑,Metabase 无法再次向您显示该令牌。但是,您可以重新生成令牌,但需要将新令牌告知您的身份提供商。
Okta 的 SCIM
在 Metabase 中启用 SCIM 并获取 SCIM 端点 URL 和 SCIM 令牌后,请按照 在 Okta 中设置 SCIM 的文档操作。
对于 Okta,Metabase 支持用户和群组配置;群组将在 Metabase 中创建并填充。
注意:您需要设置的身份验证模式是“HTTP Header”。
Microsoft Entra ID 的 SCIM
在 Metabase 中启用 SCIM 并获取 SCIM 端点 URL 和 SCIM 令牌后,请按照 在 Microsoft Entra ID 中设置 SCIM 的文档操作。
对于 Microsoft Entra ID,Metabase 仅支持用户配置(不创建或填充群组)。
通知管理员来自 SSO 的新配置用户
如果您不使用 SCIM 配置用户账户,您可以选择让 Metabase 在有人首次通过 SSO 登录 Metabase(从而创建 Metabase 账户)时向管理员发送电子邮件。此设置不需要您设置 SCIM。
延伸阅读
阅读其他 Metabase 版本的文档。