SSO

什么是单点登录？

单点登录（SSO）是一种身份验证（auth）设置，允许人们使用一个登录名访问独立的应用程序。这有点像使用护照进入不同的国家。使用单点登录，您不需要为每个帐户使用一个登录名，就像您不需要携带针对每个国家的特定身份证件一样。

例如，您可能有两个不同的登录方式，分别用于您的电子邮件和在线银行的不同登录页面。如果您的电子邮件提供商和银行的IT团队各自设置了单点登录（SSO），您就可以使用一个登录页面来访问这两个网站。

由于数字认证无法面对面进行，您的互联网身份将通过要求您提供某种已知信息（如密码）或您实际拥有的东西（如将代码发送到您的手机）的证明来验证。这些证明被称为 身份因素。

最常见的验证方式是通过单一身份因素，例如密码。如果您添加另一个因素，如电话号码，您就得到了双因素认证（2FA）。当然，您可以继续添加因素（如电子邮件、验证应用程序等），以获得多因素认证（MFA）。

与使用您知道或拥有的信息不同，SSO使用一个称为 认证令牌 的身份因素，该令牌属于SSO提供商。认证令牌是在您登录到SSO提供商时生成的唯一匿名信息片段。

令牌临时存储在您的浏览器（如浏览器cookie）或提供商的服务器上，并且仅在一段时间内有效——通常直到您关闭浏览器，或者您的安全团队设置的过期窗口内。

当您访问已设置SSO的应用程序时，它会自动从SSO提供商请求认证令牌，而不是要求您登录。如果令牌仍然有效（您在同一会话中登录了SSO提供商，并且它尚未过期），您的身份将被视为已验证，您将被允许进入应用程序。如果令牌已失效，您将被提示使用SSO提供商登录以创建一个新的令牌。

认证只涉及您是谁（身份）。从那里，其他服务会跟踪您被允许去哪里，以及您到达那里后可以做什么（访问管理）。

身份和访问管理（IAM）是这些工具和过程的统称。SSO和其他IAM工具集的组成部分通常由身份提供者（IdP）打包，例如 Okta、Auth0 或 OneLogin，并作为云安全的一部分实施。

在Metabase中设置SSO意味着人们不需要为访问您组织的数据库创建单独的Metabase用户名和密码。他们可以简单地通过您选择的身份提供者的同一账户登录。Metabase的开源版本可以设置Google SSO或 LDAP。

Metabase的Pro版和企业版支持 SAML 和 JWT 标准（除了Google SSO和LDAP）。SSO还可以与Metabase Pro和企业计划中的数据沙盒结合使用，根据用户的属性（如部门或角色）定义人们可以看到和交互的数据。