SSO (单点登录)
也称为
单点登录
什么是 SSO?
SSO 是一种身份验证(auth)设置,让人们可以使用一个登录名来访问独立的应用程序。这有点像使用护照进入不同的国家。使用 SSO,您无需为每个帐户使用一个登录名,就像您无需携带特定于每个国家/地区的各种身份证件旅行一样。
例如,您可能有两个不同的登录名,分别用于您的电子邮件和网上银行的两个不同的登录页面。如果您的电子邮件提供商和银行的 IT 团队都设置了 SSO,您将能够使用一个登录页面和登录名来访问这两个网站。
SSO 如何工作?
由于数字身份验证无法亲自完成,因此您在互联网上的身份由一项服务进行检查,该服务会要求您提供您知道的东西(例如密码)的证明,或者您实际拥有的东西(例如发送到您手机的代码)的证明。这些证明被称为身份验证因素。
最常见的身份验证方式是通过单一身份验证因素,例如密码。如果您添加另一个因素,例如电话号码,您将获得双因素身份验证(2FA)。当然,您可以继续添加因素(电子邮件、验证应用程序等),以获得多因素身份验证(MFA)。
SSO 没有使用您知道或拥有的信息,而是使用一种称为身份验证令牌的身份验证因素,该因素属于 SSO 提供商。身份验证令牌是您登录 SSO 提供商时生成的唯一的匿名信息片段。
令牌会临时存储在您的浏览器中(如浏览器 Cookie)或提供商的服务器上,并且仅在一段时间内有效 — 通常在您关闭浏览器之前,或在您的安全团队设置的过期窗口内。
当您访问设置了 SSO 的应用程序时,它会自动向 SSO 提供商请求身份验证令牌,而不是要求您登录。如果令牌仍然有效(您在同一会话中登录了 SSO 提供商,并且令牌尚未过期),则您的身份被视为已通过身份验证,您将被允许进入该应用程序。如果令牌已失效,系统将提示您使用 SSO 提供商登录以创建新的令牌。
SSO 在更大的图中处于什么位置?
身份验证仅处理您是谁(身份)。从那里开始,其他服务会跟踪您被允许去哪里,以及您到达那里后可以做什么(访问管理)。
身份和访问管理(IAM)是这些工具和流程的总称。SSO 和 IAM 工具包的其他部分通常由身份提供商(IdP)打包,例如 Okta、Auth0 或 OneLogin,并作为云安全的一部分实施。
Metabase 中的 SSO
在 Metabase 中设置 SSO 意味着人们无需创建单独的 Metabase 用户名和密码即可访问您组织的数据。他们只需通过与您选择的身份提供商相同的帐户登录即可。开源版本的 Metabase 可以使用 Google SSO 或 LDAP 进行设置。
Pro 和 Enterprise 版本的 Metabase 可以与 SAML 和 JWT 标准(以及 Google SSO 和 LDAP)配合使用。SSO 还可以与 Metabase Pro 和 Enterprise 计划中的 数据沙盒结合使用,以根据用户属性(例如他们的部门或角色)定义人们可以查看和交互的数据。
