定價
登入 開始使用
文件 學習
首頁
分析
嵌入
管理
其他資源

LDAP

Metabase 支援使用輕量型目錄存取協定 (LDAP) 進行身分驗證。

您可以在管理設定 > 設定 > 身分驗證下找到 SSO 選項。

必要的 LDAP 屬性

您需要使用這些屬性設定 LDAP 目錄

  • 電子郵件(預設為 mail 屬性)
  • 名字(預設為 givenName 屬性)
  • 姓氏(預設為 sn 屬性)。

如果您的 LDAP 設定針對這些項目使用其他屬性,您可以在表單的「屬性」部分下編輯。

Attributes

您的 LDAP 目錄必須為每個將成為 Metabase 使用者的項目填寫電子郵件欄位,否則 Metabase 將無法建立帳戶,該人員也將無法登入。如果缺少名字或姓氏欄位,Metabase 將使用預設值「不明」,且該人員可以在其帳戶設定中變更其姓名。

啟用 LDAP 身分驗證

管理設定 > 設定 > 身分驗證標籤中,前往 LDAP 區段,然後按一下設定。按一下表單頂端的切換按鈕以啟用 LDAP,然後使用相關詳細資訊填寫表單。

使用者佈建

當人員透過 LDAP 登入時,Metabase 可以自動為他們建立 Metabase 帳戶(如果他們尚未擁有 Metabase 帳戶)。

伺服器設定

  • LDAP 主機。您的伺服器名稱。例如,ldap.yourdomain.org
  • LDAP 連接埠。伺服器連接埠,如果使用 SSL,通常為 389 或 636。
  • LDAP 安全性設定。選項為「無」、「SSL」或「StarTLS」。
  • LDAP 管理員使用者名稱。要繫結的身分辨識名稱(如果有的話)。此使用者將用於查詢其他使用者的資訊。
  • LDAP 管理員密碼。

然後儲存您的變更。Metabase 將自動從您的 LDAP 目錄提取必要屬性

使用者結構描述

此相同頁面上的使用者結構描述區段可讓您調整與 Metabase 連線至 LDAP 伺服器以驗證使用者的位置和方式相關的設定。

使用者搜尋基礎

使用者搜尋基礎欄位應填寫 LDAP 伺服器中項目的辨別名稱 (DN),該項目是搜尋使用者時的起點。

例如,假設您正在為您的公司 WidgetCo 設定 LDAP,其中您的基礎 DN 為 dc=widgetco,dc=com。如果員工的項目都儲存在 LDAP 伺服器中名為 People 的組織單位內,您會希望在使用者搜尋基礎欄位中提供 DN ou=People,dc=widgetco,dc=com。這會告知 Metabase 開始在 LDAP 伺服器內該位置搜尋相符的項目。

使用者篩選器

您會在使用者篩選器欄位中看到以下灰色的預設值

(&(objectClass=inetOrgPerson)(|(uid={login})(mail={login})))

當人員登入 Metabase 時,此命令會確認他們提供的登入資訊是否符合 LDAP 伺服器中的 UID 電子郵件欄位,相符的項目是否具有 inetOrgPerson 的 objectClass。

此預設命令適用於大多數 LDAP 伺服器,因為 inetOrgPerson 是一種廣泛採用的 objectClass。但是,如果您的公司例如使用不同的 objectClass 來分類員工,您可以在此欄位中設定不同的命令,以指定 Metabase 在人員登入時如何尋找和驗證 LDAP 項目。

LDAP 群組對應

在人員透過 SSO 登入後,手動將人員指派至 Metabase 中的群組可能會很繁瑣。您可以改為利用 LDAP 目錄中已存在的群組,方法是啟用群組對應

捲動至相同 LDAP 設定頁面上的群組結構描述,然後按一下切換按鈕以啟用群組對應。選取編輯對應將會彈出一個模式視窗,您可以在其中建立和編輯對應,指定哪個 LDAP 群組對應至哪個 Metabase 群組。

如下所示,如果您在 LDAP 伺服器和 Metabase 執行個體中都有會計群組,您只需要提供 LDAP 伺服器中的辨別名稱(在範例中,它是 cn=Accounting,ou=Groups,dc=widgetco,dc=com),然後從現有 Metabase 群組的下拉式選單中選取其相符項目即可。

Group Mapping

關於群組對應,請記住以下事項

  • 管理員群組的運作方式與任何其他群組相同。
  • 根據 LDAP 對應更新人員的群組成員資格並非即時;變更將僅在人員重新登入生效。
  • 人員只會新增至或從對應的群組中移除;同步對 Metabase 中沒有 LDAP 對應的群組沒有任何影響。

LDAP 群組成員資格篩選器

LDAP 進階功能僅適用於 ProEnterprise 方案(包括自架和 Metabase Cloud)。

群組成員資格查詢篩選器。預留位置 {dn} 和 {uid} 將分別由使用者的辨別名稱和 UID 取代。

將使用者屬性與 LDAP 同步

LDAP 進階功能僅適用於 ProEnterprise 方案(包括自架和 Metabase Cloud)。

您可以從 LDAP 目錄管理使用者屬性,例如姓名、電子郵件和角色。當您設定資料沙箱時,您的 LDAP 目錄將能夠將這些屬性傳遞至 Metabase。

疑難排解登入問題

延伸閱讀

閱讀其他Metabase 版本的文件。