什么是 SSO?
亦称
单点登录
SSO 是一种身份验证(auth)设置,允许用户使用一个登录凭据访问多个独立的应用程序。这有点像使用护照进入不同的国家。通过 SSO,您无需为每个账户使用一个单独的登录凭据,就像您无需带着针对每个国家的不同身份证明旅行一样。
例如,您可能有两个不同的登录凭据,分别用于您的电子邮件和网上银行的两个不同登录页面。如果您的电子邮件提供商和银行的 IT 团队都设置了 SSO,您就可以使用一个登录页面和凭据来访问这两个网站。
SSO 如何工作?
由于数字身份验证无法亲自进行,您在互联网上的身份由一项服务进行检查,该服务要求您提供您所知道的事物(如密码)或您实际拥有的事物(如发送到您手机的代码)的证明。这些证明被称为身份因素。
最常见的身份验证方式是通过单一身份因素,例如密码。如果您添加另一个因素,例如电话号码,您将获得双因素身份验证 (2FA)。当然,您可以继续添加因素(电子邮件、验证应用程序等),以获得多因素身份验证 (MFA)。
SSO 不使用您所知道或拥有的信息,而是使用一种名为“身份验证令牌”的身份因素,该令牌属于 SSO 提供商。身份验证令牌是您登录 SSO 提供商时生成的一个独一无二的匿名信息片段。
该令牌会暂时存储在您的浏览器(类似于浏览器 cookie)或提供商的服务器上,并且仅在一定时间内有效——通常是直到您关闭浏览器,或者在您的安全团队设定的有效期内。
当您访问一个已设置 SSO 的应用程序时,它会自动向 SSO 提供商请求身份验证令牌,而不是要求您登录。如果令牌仍然有效(您在同一会话中已登录 SSO 提供商,并且令牌未过期),您的身份将被视为已验证,您将被允许进入该应用程序。如果令牌已失效,系统会提示您使用 SSO 提供商登录以生成新的令牌。
SSO 在整个体系中扮演什么角色?
身份验证只处理“您是谁”(身份)。在此基础上,其他服务会跟踪您被允许访问的位置以及到达后可以执行的操作(访问管理)。
身份和访问管理 (IAM) 是这些工具和流程的总称。SSO 和 IAM 工具包的其他部分通常由身份提供商 (IdP) 打包提供,例如 Okta、Auth0 或 OneLogin,并作为云安全的一部分实施。
Metabase 中的 SSO
在 Metabase 中设置 SSO 意味着用户无需创建单独的 Metabase 用户名和密码即可访问您组织的数据。他们只需通过您选择的身份提供商的同一账户登录即可。Metabase 的开源版本可以与 Google SSO 或 LDAP 设置。
Metabase 的专业版和企业版支持 SAML 和 JWT 标准(除了 Google SSO 和 LDAP)。SSO 还可以与 Metabase 专业版和企业版中的数据沙盒结合使用,根据用户属性(例如他们的部门或角色)来定义用户可以查看和交互的数据。
