Вход через Google или LDAP¶
Включение Входа через Google или LDAP для единого входа (SSO) позволяет вашей команде входить в систему одним щелчком мыши вместо ввода электронной почты и пароля. SSO также можно использовать, чтобы позволить людям создавать учетные записи GlarusBI, не прося администратора добавлять каждого человека вручную. Вы можете найти параметры единого входа в разделе Настройки > Настройки администратора > Аутентификация.
Включение входа через Google¶
Вход через Google — хороший вариант для SSO, если:
Ваша команда уже использует Google Workspace или
Вы хотите использовать двухэтапную или многофакторную аутентификацию Google (2FA или MFA) для защиты своей GlarusBI.
Работа в консоли разработчика Google¶
Чтобы ваша команда начала входить в Google, вам сначала нужно создать приложение через консоль разработчика.
Затем вам нужно будет создать учетные данные авторизации для своего приложения, следуя здесь инструкции от Google. Укажите URI вашего экземпляра GlarusBI в разделе «Авторизованные источники JavaScript». Вы должны оставить раздел «Авторизованные URI перенаправления» пустым.
Получив идентификатор клиента (оканчивающийся на .apps.googleusercontent.com), нажмите «Настроить» в разделе «Войти с помощью Google» на странице аутентификации в панели администратора GlarusBI. Вставьте свой client_id в первое поле.
Теперь существующие пользователи GlarusBI, вошедшие в учетную запись Google, которая совпадает с адресом электронной почты их учетной записи GlarusBI, могут войти в систему одним щелчком мыши.
Создание учетных записей GlarusBI с помощью Google Sign-in¶
При желании, вы можете указать GlarusBI автоматически создавать учетную запись при первом входе в систему через SSO.
Добавив Google Client ID в настройки GlarusBI, перейдите на страницу конфигурации Google Sign-In и укажите домен электронной почты, вход с которого вы хотите разрешить. Например, если вы работаете в WidgetCo, вы можете ввести “widgetco.com”, чтобы позволить любому, у кого есть адрес электронной почты компании, зарегистрироваться самостоятельно.
Обратите внимание, что учетные записи GlarusBI, созданные с помощью Google Sign-In, не имеют паролей и должны использовать Google для входа в GlarusBI.
Обязательные атрибуты LDAP¶
Убедитесь, что настроили в своем каталоге LDAP следующие атрибуты:
электронная почта (по умолчанию равна атрибуту
mail)имя (по умолчанию равно атрибуту
givenName)фамилия (по умолчанию равна атрибуту
sn).
Если в вашей настройке LDAP для них используются другие атрибуты, вы можете отредактировать их в разделе “Атрибуты” формы.
В вашем каталоге LDAP должно быть заполнено поле электронной почты для каждой записи, которая станет пользователем GlarusBI, в противном случае GlarusBI не сможет создать учетную запись, и этот человек не сможет войти в систему. Если какое-либо поле имени отсутствует, GlarusBI используйте значение по умолчанию «Неизвестно», и человек может изменить свое имя в своих настройках учетной записи.
Включение аутентификации LDAP¶
На вкладке Администрирование > Аутентификация перейдите в раздел LDAP и нажмите Настроить. Щелкните переключатель в верхней части формы, чтобы включить LDAP, затем заполните форму, указав следующую информацию о своем сервере LDAP:
имя хоста
порт
настройки безопасности
имя пользователя администратора LDAP
пароль администратора LDAP
Затем сохраните изменения. GlarusBI автоматически извлечет обязательные атрибуты из вашего каталога LDAP.
Схема пользователя LDAP¶
В разделе Пользовательская схема на этой же странице вы можете настроить параметры, связанные с тем, где и как GlarusBI подключается к вашему серверу LDAP для аутентификации пользователей.
Поле База поиска пользователей должно быть заполнено отличительным именем (DN) записи на вашем сервере LDAP, которая является отправной точкой при поиске пользователей.
Например, предположим, что вы настраиваете LDAP для своей компании WidgetCo, где вашим базовым DN является dc=widgetco,dc=com. Если все записи для сотрудников хранятся в организационной единице на вашем LDAP-сервере с именем «Люди», вы должны предоставить базовое поле поиска пользователей с DN «ou=People,dc=widgetco,dc=com». Это говорит GlarusBI начать поиск соответствующих записей в этом месте на сервере LDAP.
Вы увидите следующее выделенное серым цветом значение по умолчанию в поле Пользовательский фильтр:
(&(objectClass=inetOrgPerson)(|(uid={login})(mail={login})))
Когда человек входит в GlarusBI, эта команда подтверждает, что предоставленный им логин соответствует либо UID , либо адресу электронной почты на вашем сервере LDAP, и что соответствующая запись имеет объектный класс inetOrgPerson.
Эта команда по умолчанию будет работать для большинства серверов LDAP, поскольку inetOrgPerson является широко распространенным объектным классом. Но если ваша компания, например, использует другой объектный класс для категоризации сотрудников, в этом поле вы можете установить другую команду для того, как GlarusBI находит и аутентифицирует запись LDAP при входе человека в систему.
Сопоставление групп LDAP¶
Ручное назначение людей в группы в GlarusBI после того, как они вошли в систему через SSO, может быть утомительным. Вместо этого вы можете воспользоваться преимуществами групп, которые уже существуют в вашем каталоге LDAP, включив сопоставления групп. Документация Metabase..
Прокрутите до Схема группы на той же странице настроек LDAP и щелкните переключатель, чтобы включить сопоставление групп. Выбор Редактировать сопоставление откроет модальное окно, в котором вы можете создавать и редактировать сопоставления, указывая, какая группа LDAP соответствует какой группе GlarusBI.
Как вы можете видеть ниже, если у вас есть группа Accounting как на вашем сервере LDAP, так и на экземпляре GlarusBI, вам просто нужно указать отличительное имя с вашего сервера LDAP (в примере это cn=Accounting, ou=Groups,dc=widgetco,dc=com) и выберите его соответствие из раскрывающегося списка существующих групп GlarusBI.
Примечания по сопоставлению групп¶
Группа «Администратор» работает так же, как и любая другая группа.
Обновления членства человека в группе на основе сопоставлений LDAP не происходят мгновенно; изменения вступят в силу только после того, как люди снова войдут в систему.
Люди всегда добавляются или удаляются только из сопоставленных групп; синхронизация не влияет на группы в вашей GlarusBI, у которых нет сопоставления LDAP.
Фильтр членства в группе LDAP¶
Фильтр поиска членства в группе. Заполнители {dn} и {uid} будут заменены отличительным именем и UID пользователя соответственно.
Включение аутентификации OpenID Connect (OIDC)¶
OpenID Connect (OIDC) - это протокол аутентификации, построенный на OAuth 2.0. Для аутентификации в GlarusBI с использованием OpenID нужно настроить следующие параметры:
OpenID provider address - URL провайдера сервиса OpenID (также называемого OpenID Provider, Identity Provider или IdP), осуществляющего аутентификацию пользователя и и выдачу токена. Адреса всех конечных точек добавляются к этому URI. (https://open-id-server/openid-handler/)
OpenID client ID - Идентификатор приложения (клиента), назначаемый провайдером сервиса.
В подавляющем большинстве случаев будет достаточно настроить эти два параметра, оставив в остальных значения по умолчанию.
Auth endpoint - Конечная точка авторизации, принимающая запрос аутентификации. Используется для аутентификации и авторизации, возвращает клиенту разрешение на авторизацию. Значение по умолчанию -
auth.Token endpoint - Конечная точка токена, может использоваться для программного запроса токенов. Значение по умолчанию -
token.Userinfo endpoint - Конечная точка пользовательских данных. Возвращает атрибуты пользователя, когда поставщики услуг предоставляют токены доступа, выданные вашей конечной точкой токена. Значение по умолчанию -
userinfo.
После настройки не забудьте нажать кнопку “Включить OpenID” вверху страницы.
Синхронизация атрибутов пользователя при входе в систему¶
Синхронизация пользовательских атрибутов с LDAP¶
Вы можете управлять атрибутами пользователя, такими как имена, адреса электронной почты и роли, из каталога LDAP. Когда вы настроите ограниченный доступ к данным, ваш каталог LDAP сможет передавать эти атрибуты в GlarusBI.
Синхронизация атрибутов пользователя с Google¶
Атрибуты пользователя нельзя синхронизировать с обычным входом в Google. Вместо этого вам потребуется настроить Google SAML или JWT.
Изменение метода входа в учетную запись с электронной почты на SSO¶
Избегайте блокировки себя в GlarusBI! Эта настройка будет применяться ко всем учетным записям GlarusBI, включая вашу учетную запись администратора GlarusBI. Мы рекомендуем включить аутентификацию по паролю. Это защитит вас от блокировки GlarusBI в случае каких-либо проблем с SSO.
Чтобы потребовать от людей входа в систему с помощью SSO, отключите аутентификацию по паролю в разделе Настройки администратора > Аутентификация.