Metabase学习教程:权限-6

最新推荐文章于 2025-10-01 06:56:42 发布
原创 最新推荐文章于 2025-10-01 06:56:42 发布 · 270 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #服务器 #数据库

本文介绍如何通过LDAP实现用户身份验证及数据访问控制。通过设置LDAP服务器和Metabase集成,仅允许特定部门查看敏感数据。

使用LDAP进行身份验证和访问控制
了解如何使用LDAP对用户进行身份验证并管理他们对数据的访问。
身份验证和访问控制对于确保正确的人能够访问他们需要的数据至关重要,并且只有合适的人有这个权限。本教程将向您展示如何将Metabase连接到LDAP以及如何使用来自该LDAP服务器的组信息来控制谁可以查看Metabase中的表。我们不会试图教您LDAP本身,但我们只假设您知道一些基本概念。

设置LDAP
Metabase附带的示例数据库有四个表。这个People包含个人识别信息(PII),所以我们只希望Human Resources部门的人员能够看到它。由于我们的公司已经在使用LDAP进行单点登录(SSO),所以我们想从LDAP中获取有关哪些人是(或不是)HR的信息。我们已经在LDAP中为该公司创建了一个记录:

dn: dc=metabase,dc=com

objectClass: top

objectClass: dcObject

objectClass: organization

o: Metabase

我们还有Farrah(在Human Resources部工作)和Rasmus(不在)的记录:

dn: uid=farrah,dc=metabase,dc=com

objectClass: person

objectClass: inetOrgPerson

cn: Farrah Zubin

mail: farrah@example.metabase.com

givenName: Farrah

sn: Zubin

uid: farrah

userPassword: ------

dn: uid=rasmus,dc=metabase,dc=com

objectClass: person

objectClass: inetOrgPerson

cn: Rasmus Verdorff

mail: rasmus@example.metabase.com

givenName: Rasmus

sn: Verdorff

uid: rasmus

userPassword: ------
Farrah和Rasmus的记录并没有说明他们是哪些群体的一部分。相反,我们需要一个单独的Groups 我们用户组的记录,在该记录下,一个groupOfNames指定Farrah和另一个名为Luis的员工所在的记录Human Resources:

dn: ou=Groups,dc=metabase,dc=com

objectClass: top

objectClass: organizationalUnit

ou: Groups

dn: cn=Human Resources,ou=Groups,dc=metabase,dc=com

objectClass: top

objectClass: groupOfNames

description: Human Resources

member: uid=farrah,dc=metabase,dc=com

member: uid=luis,dc=metabase,dc=com
如果您使用OpenLDAP并从头开始设置它,则可能需要修改slapd.conf文件要包含的配置文件cosine.schema和inetorgperson.schema架构文件以及core.schema为了让这个工作。

连接到LDAP
一旦LDAP有了正确的记录,我们就可以使用具有管理员权限的帐户登录到Metabase。我们需要做四件事:

创建组.
告诉Metabase用户可以通过LDAP进行身份验证.
指定组可以访问的表.
告诉Metabase从LDAP获取组信息.
创建组
首先,我们点击齿轮图标,然后选择管理员设置>People>组然后选择创建组我们称我们的团队为“Human Resources”,但我们不会的在Metabase中添加任何人:我们将依赖LDAP来管理成员资格。

鉴定
下一步是告诉Metabase它可以通过LDAP对用户进行身份验证。为此,我们单击身份验证,启用LDAP,然后填写设置以告知Metabase在哪里可以找到服务器。我们在端口389上使用一个本地实例,我们希望Metabase使用“Manager”帐户访问LDAP。我们所有的人都在Metabase.com,我们可以使用默认的搜索过滤器(按ID或电子邮件地址查找人员)来查找他们。

此时,人们可以通过LDAP登录。为了测试这一点,我们可以打开一个匿名浏览器窗口,以Rasmus或Farrah的身份登录。他们两个都看不到人因为我们还没有告诉Metabase从LDAP获取组信息。

权限
接下来,我们去管理员设置>权限>数据并禁用对People,以便用户在默认情况下看不到该表。然后我们授予访问Human Resources组。(这篇关于沙盒的文章包含有关在Metabase中管理表访问的详细信息。)

集团管理
让我们回到管理员设置。在底部,我们告诉Metabase将组成员身份与LDAP中的信息同步,并且它可以在Metabase.com域。

最后一步是告诉Metabase它的组和LDAP的组是如何相关的。如果我们点击编辑映射和创建映射,我们可以填写在LDAP中标识组的可分辨名称(在本例中,是前面创建的Human Resources组的DN)。然后点击添加,选择LDAP组对应的Metabase组,并保存更改。

这是一个很大的设置。为了测试它,让我们打开一个匿名窗口并以Rasmus的身份登录。果然,拉斯穆斯还是看不见People因为他不是Human Resources部的成员。但是如果我们关闭那个窗口,打开另一个窗口,然后以Farrah的身份登录,我们可以见People。如果我们回到管理员的窗口People,我们可以看到图标,显示谁的帐户来自LDAP,而不是由Metabase管理。

Metabase中文社区

saprrows
关注
Metabase学习教程权限-3
weixin_38030820的博客
12-07 760
Metabase的行权限
Metabase学习教程权限-1
qq_38767591的博客
12-06 426
数据权限指南 通过设置对Metabase包含的示例数据库权限,了解Metabase如何处理数据权限。 数据权限指定差异有多大一群人可以与表和数据库交互。在本文中,我们将介绍一个示例,说明如何授予用户从中查看、编辑或查询表的权限示例数据库.引入数据权限 让我们从导航到行政>权限,然后选择数据库>示例数据库。这将转到数据库级别的“数据权限”页。如果要为每个数据表在Sample数据库中,可以单击左侧的表名。 图1。在进行任何更改之前,请打示例数据库的“数据权限”页。必须为组配置数据权限.Metabase附带两
告别密码管理噩梦:Metabase单点登录完整配置指南(SAML/OAuth/LDAP)
最新发布
gitblog_00896的博客
10-01 638
你是否还在为团队成员记忆多个系统密码而烦恼?是否希望通过统一身份认证提升数据安全性?本文将详细介绍如何在Metabase中配置SAML、OAuth和LDAP三种单点登录方式,帮助你实现一站式用户身份管理,降低运维成本的同时提升系统安全性。读完本文后,你将能够: - 理解Metabase支持的三种SSO协议差异 - 分步完成SAML/OAuth/LDAP集成配置 - 实现用户组自动映射与权限管理 -...
Metabase权限管理完全指南:从入门到精通
gitblog_00015的博客
05-30 400
在现代数据分析平台中,权限管理是保障数据安全的核心功能。作为一款源商业智能工具,Metabase提供了强大而灵活的权限控制系统,能够满足企业从简单到复杂的各种权限管理需求。本文将全面解析Metabase权限体系,帮助管理员构建安全可靠的数据访问环境。 ## 权限基础概念 ### 权限设计原则 Metabase采用基于组的权限模型,具有以下核心特点: 1. **组优先原则**:所有权限都...
Metabase权限管理深度解析:Impersonation访问控制机制
gitblog_00679的博客
05-30 388
Impersonation(身份模拟)是Metabase中一种高级的数据访问权限控制机制,它允许系统管理员将数据查看权限委托给数据库内定义的角色。这种机制的核心思想是:当用户在Metabase中执行查询时,系统会自动切换到该用户在数据库中的对应角色身份,从而继承该角色在数据库层面定义的所有权限限制。 ## 适用场景与技术限制 目前Impersonation功能仅支持以下数据库类型: - MyS...
Metabase学习教程权限-4
weixin_38030820的博客
12-07 640
Metabase的列权限
Metabase学习教程权限-5
weixin_38030820的博客
12-08 472
Metabase行为审计
metabase发 • 五】行级权限运作解析
weixin_43821438的博客
12-24 1336
文章目录行级权限apply-row-level-permissionsapply-gtapsapply-gtapgtap->sourcegtap->parameters 行级权限 metabase运行的middleware中包含4个enterprise edition的方法,其中 middleware.row_level_restrictions/apply-row-level-permissions 处理行级权限 启行级权限后,一次图表查询可能会触发多次DP流程,因为组装行级权限过程
Metabase学习教程权限-2
LEESOOHYUK的博客
12-07 436
使用集合权限 设置具有权限的集合,以帮助用户组织和共享与其相关的工作。 集合保持问题,仪表板,和模型有条理,容易找到。将集合视为存储我们工作的文件夹是很有帮助的。集合权限授予一群人访问: 查看或编辑保存在集合中的问题、仪表板或模型。 编辑集合详细信息,例如集合的名称或保存位置。 在本教程中,我们将为一家拥有名为Canoes和Sailboats的团队的公司创建集合,并设置收集权限,以便: 公司中的每个人都可以查看但不能编辑保存在公司顶层集合中的工作(在Metabase中,它被称为我们的
Metabase项目集成第三方单点登录(SSO)配置指南
gitblog_00746的博客
05-30 504
在企业级数据分析平台Metabase中,实现安全便捷的身份认证是系统管理的重要环节。本文将详细介绍如何在Metabase中配置第三方单点登录(SSO)功能,让团队成员能够使用外部账号快速登录系统,同时保障账户安全。 ## 第三方单点登录的优势 第三方Sign-In作为SSO解决方案具有以下显著优势: 1. **简化登录流程**:用户无需记忆额外密码,一键即可登录Metabase 2. **增...
mac Metabase发和定制化
qq_38389990的博客
06-02 2175
前端需要的环境Git + node + yarn + VsCode(发工具)备注:yarn 和 npm镜像源改为taobao镜像,加快依赖包下载速度,防止出现clj文件夹的下载 错误,node版本为LTS最新版,yarn版本1.x后端需要的环境OpenJDK11(或者11以上版本皆可) + Clojure + Cursive + IDEA(发工具)备注: Clojure可以通过brew命令直接安装最新版,IDEA中直接选择plugin安装Cursive。
metabase发 • 】解析project.clj
weixin_43821438的博客
12-20 1879
文章目录projec.clj介绍AliasesDependenciesring【plugin】lein-ringcompojuretoucanHoney SQLclojure.java.jdbcProfiles projec.clj介绍 Leiningen配置文件,类似于java项目中的pom文件 配置方法和字段说明参见leiningen官方说明 sample.project.clj 或 中文翻译 以下将解析metabase中相对重要的配置 Aliases 自定义task,用于在终端中通过命令行指令调
metabase发需要修改的内容
知识的力量
01-30 5532
metabase/frontend/src/metabase/admin/databases/components/CreatedDatabaseModal.jsx metabase/frontend/src/metabase/admin/databases/components/DatabaseEditForms.jsx metabase/frontend/src/metabase/
D:\迅雷下载\BI\Metabase>java --add-opens java.base/java.nio=ALL-UNNAMED -jar metabase.jar Unrecognized option: --add-opens Error: Could not create the Java Virtual Machine. Error: A fatal exception has occurred. Program will exit.
07-01
出现 `Unrecognized option: --add-opens=java.base/java.lang=ALL-UNNAMED` 错误的根本原因在于 Java 版本与启动参数的不兼容。此问题通常发生在使用 JDK 8 或更早版本时,却尝试运行需要 JDK 9+ 才能识别的 `--add-opens` 参数。 ### 原因分析 JDK 9 引入了模块化系统(JPMS),而 `--add-opens` 是用于控制模块访问权限的一个 JVM 参数。在 JDK 9 及更高版本中支持该参数,但在 JDK 8 或更早版本中完全不被识别,因此会导致 JVM 启动失败[^2]。 ### 解决方法 #### 方法一:升级 JDK 版本 确保你使用的 JDK 版本为 9 或以上,以支持 JPMS 模块系统及相关的 JVM 参数。 - 下载并安装 [最新 JDK](https://openjdk.java.net/)(如 OpenJDK 17)。 - 更新环境变量 `JAVA_HOME` 和 `PATH` 指向新的 JDK 安装目录。 - 验证安装: ```bash java -version javac -version ``` #### 方法:删除或禁用 `--add-opens` 参数 如果你无法升级 JDK,或者你的项目依赖于 JDK 8(例如 Spring Boot 2.x 或旧版 Tomcat),那么必须从 VM 启动参数中移除所有 `--add-opens` 相关设置。 - **检查 IDE 的 VM options**:在 IntelliJ IDEA 或 Eclipse 中,找到 Run/Debug Configurations,并删除类似 `--add-opens=java.base/java.lang=ALL-UNNAMED` 的参数。 - **检查脚本文件**:如 `setenv.sh`、`catalina.sh` 或 `startup.sh` 等启动脚本中是否设置了 `JAVA_OPTS` 或 `CATALINA_OPTS`,将其清除: ```bash JAVA_OPTS="" CATALINA_OPTS="" ``` - **检查 Metabase 启动命令**:如果通过命令行启动 Metabase,请确保没有手动添加此类参数。 #### 方法三:降级 Tomcat 版本 Tomcat 10 及以上版本基于 Jakarta EE 9,将 `javax.*` 包重命名为 `jakarta.*`,导致与旧项目的兼容性问题。如果你的应用依赖 `javax.*`,建议回退到 Tomcat 9 以避免类路径冲突和不必要的模块参数注入。 - 下载 [Tomcat 9](https://tomcat.apache.org/download-90.cgi) - 替换当前 Tomcat 安装目录并重新配置环境变量 #### 方法四:清理缓存与重启 IDE 有时 IDE 内部缓存可能导致旧参数残留,执行以下操作: - 清理 Tomcat 缓存目录(如 `IntelliJ IDEA` 自动生成的 `tomcat` 文件夹) - 删除 `.idea/modules.xml` 和 `.iml` 文件后重新导入项目 - 重启 IDE 并重新配置运行配置 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值