什么是 SSO?
也称为
单点登录
SSO 是一种身份验证(Auth)设置,允许人们使用一个登录凭据访问独立的应用程序。这有点像使用您的护照进入不同的国家。通过 SSO,您无需为每个账户使用一个登录凭据,就像您无需为每个国家携带不同的身份证件一样。
例如,您可能有两个不同的登录凭据,用于您的电子邮件和网上银行的两个不同登录页面。如果您的电子邮件提供商和银行的 IT 团队都设置了 SSO,您就可以使用一个登录页面和凭据访问这两个网站。
SSO 如何工作?
由于数字身份验证无法亲自进行,因此您在互联网上的身份由一项服务进行检查,该服务要求您提供您知道的某些内容的证据(如密码),或您实际拥有的某些内容的证据(如向您的手机发送验证码)。这些证据被称为身份因素。
最常见的身份验证方式是通过单一身份因素,例如密码。如果您添加另一个因素,例如电话号码,您将获得双因素身份验证 (2FA)。自然,您可以继续添加因素(电子邮件、验证应用程序等),以获得多因素身份验证 (MFA)。
SSO 不使用您知道或拥有的信息,而是使用一个属于 SSO 提供商的身份因素,称为身份验证令牌。身份验证令牌是一个独特的、匿名的信息片段,在您登录 SSO 提供商时生成。
该令牌临时存储在您的浏览器中(类似于浏览器 cookie)或提供商的服务器上,并且仅在一段时间内有效——通常直到您关闭浏览器,或在您的安全团队设置的有效期内。
当您访问一个已设置 SSO 的应用程序时,它会自动从 SSO 提供商请求身份验证令牌,而不是要求您登录。如果令牌仍然有效(您在同一会话中已登录 SSO 提供商,并且它尚未过期),您的身份将被视为已通过身份验证,您将被允许进入应用程序。如果令牌已失效,系统将提示您使用 SSO 提供商登录以创建一个新的令牌。
SSO 在全局中处于什么位置?
身份验证只处理您的身份(身份)。从那里开始,其他服务会跟踪您被允许去哪里以及一旦到达那里可以做什么(访问管理)。
身份和访问管理 (IAM) 是这些工具和流程的总称。SSO 和 IAM 工具包的其他部分通常由身份提供商 (IdP) 打包,例如 Okta、Auth0 或 OneLogin,并作为云安全的一部分实施。
Metabase 中的 SSO
在 Metabase 中设置 SSO 意味着人们无需创建单独的 Metabase 用户名和密码即可访问您组织的数据。他们只需通过您选择的身份提供商的同一帐户登录即可。Metabase 的开源版本可以与 Google SSO 或 LDAP 设置。
Metabase 的专业版和企业版支持 SAML 和 JWT 标准(除了 Google SSO 和 LDAP)。SSO 还可以与 Metabase 专业版和企业版中的数据沙盒结合使用,根据用户的属性(如部门或角色)定义人们可以看到和交互的数据。
