Metabase学习教程:系统管理-1 用户管理
-
Metabase用户管理
如何从管理几十个用户到管理数千个用户。
本文概述了如何设置和扩展自助服务分析。我们将停留在一个高层次上,并链接到关于各个特性的更详细的指南,我们的重点将放在Metabase的管理上,特别是组织中的人员。对于操作缩放,请检查Metabase应用程序的实际运行情况决定Metabase规模.
在您的组织中,数据自主化的目标是向人们提供他们需要的信息,以便他们做出更好的决策。最好的方法是让每个人都能访问尽可能多的数据,同时确保他们看不到任何他们不应该看到的数据。
为此,我们建议您以简化权限为目标组织Metabase。您可能出于各种原因收集敏感数据(支付、税收、负债等),但这些数据与商业智能无关(尽管它可能与是相关的)。我们的想法是在关键的地方设置严格的界限,这样你就不必担心谁能看到什么,然后建立轻量级系统,甚至只是约定保持简洁随着人数的增长。
下面是关于如何管理Metabase中的人员以设置自助服务分析的建议。- 在Metabase中创建组
- 为这些组(包括沙盒)分配权限
- 在Metabase中设置SSO
- 同步SSO和Metabase组
- 告诉人们只要登录就可以创建Metabase帐户
- 使用“审核”部分监视人们如何使用Metabase
1.在Metabase中创建组
Metabase使用组,这比为每个人设置权限更高效、更易于管理。建议您设置Metabase,以便标识提供程序中的组映射到Metabase中的相同组。一般来说,您的团队应该映射到组织中的部门,也可能映射到跨部门的项目或任务团队。这样,一旦新的会计人员开始工作,他们将登录到Metabase,并且已经可以访问相同的数据库和收藏其他会计人员都有。
组管理员
付费版本,你可以代理组管理员可以在组中添加和删除人员。
2.为这些组(包括沙盒)分配权限
Metabase中基本上有两种类型的权限:数据权限,确定对数据库的访问,以及集合权限,它决定对Metabase中的项的访问权限,例如问题和仪表板。这些权限在表或集合级别有效,但是如果您需要限制对行或列?
为所有用户隐藏无关或技术数据
如果有些字段(或整个表)对于没有很大帮助或相关性的,管理员可以在“数据模型”选项卡。请注意,SQL查询是不受此设置影响,具有数据库SQL编辑器访问权限的用户始终可以访问该数据库中的所有表和字段。
图1.选择不包括将在GUI接口中隐藏字段(尽管在SQL查询中仍然可以访问字段)。
如图1中的描述所示,将字段的可见性设置为不包括将从中的菜单和表中排除该字段GUI问题。在数据模型级别更改字段可见性的缺点是操作是全局的,因此不太灵活。但是,如果你想有选择地将对行或列的访问权限授予不同的人员组,则需要对数据进行沙箱处理。
数据沙盒
数据沙盒是一个付费功能,当与单一登录(SSO),允许您根据用户属性限制对行或列的访问。可以在Metabase中手动添加这些属性,也可以通过身份验证服务添加这些属性。你可以设置行级别访问设置为用户属性的关键帧,或者可以限制对列的访问通过创建排除某些字段的表的自定义视图。请注意,沙箱仅适用于GUI问题,这将使我们:
SQL编辑器访问和沙盒是互斥的
关于权限,您需要知道的一件重要事情是,对数据库具有SQL访问权限的组可以访问全部的数据库中的数据。即使在GUI菜单或数据浏览器,具有SQL访问权限的用户仍可以查询数据库中的表(以及所有行和列)。更具体地说,它们将能够查询数据库中用户帐户可用的任何数据,这些数据用于将Metabase连接到该数据库。这让我们想到:
SQL权限
Metabase缺少表级的SQL权限:要么授予组SQL编辑器对数据库的访问权限,要么不授予。但是,由于可以在数据库级别设置SQL编辑器权限,因此可以创建两个(或更多)到同一数据库的连接,每个连接都为该数据库中的不同用户帐户使用不同的连接字符串。例如,可以设置:
• 连接1可访问整个数据库
• 只能访问表A、B和C的连接2
然后,您可以向大多数组授予对连接2(较低权限的连接)的访问权限,并授予选定用户(如专用数据分析员)对连接1(整个数据库)的访问权限。Metabase会将这些连接视为两个独立的数据库,即使它们只是同一数据库的两个不同访问级别。然而,从每个人的角度来看,他们只能看到一个数据库(他们的小组可以访问的数据库)。
应用程序权限
付费版本,您可以分配应用程序权限让人们可以随意使用管理工具,而不允许他们访问数据。
3.在Metabase中设置SSO
虽然我们希望Metabase在你心中永远有一个特殊的位置,但我们知道它并不是你使用的唯一软件。如果您的组织开始增长,那么您很可能正在使用单点登录(SSO)身份提供程序,例如奥克塔,授权0,或一次登录它允许人们进行一次身份验证并访问你的组织使用的所有应用程序。Metabase与使用SAML和JWT标准的服务集成,这将为您提供对数据访问的细粒度控制。
身份验证选项
目前在Metabase中有四个基本的身份验证选项。在开源版本中,您有:
• Google Sign-In
• LDAP
付费版本,您还有:
• SAML
• JWT
SAML是一个使用XML在身份和服务提供商之间交换数据的开放协议。JWT与之类似,虽然不那么正式,但它只是一个令牌,而不是一个协议。像Okta和Auth0这样的身份提供者使用这两个标准来创建身份验证服务(本质上是组织中人员的全局密码管理器)。例如,使用Okta,可以登录到您的身份提供商一次,然后他们就可以使用他们可以访问的所有服务,而不必经常重新输入他们的登录名和密码或不同的登录名和密码。身份提供者(在本例中是Okta)将处理与每个服务提供者的握手。要了解更多信息,请查看Auth0SAML概述.
使用SAML或JWT设置SSO的最大优点是可以将用户属性传递给Metabase,这允许您根据用户的身份对数据进行沙箱处理,从而限制对表中行和/或列的访问。
4.同步SSO和Metabase组
现在您已经创建了组、设置了权限并将SSO提供程序连接到了Metabase,现在是同步组的时候了。查看我们的文档了解如何将组成员身份与身份提供程序同步。请注意,您也可以使用LDAP同步组(Metabase的免费开源版本提供的一个选项)。
5.告诉人们只要登录就可以创建Metabase帐户
在这一点上,你应该准备好一切。人们应该能够登录到Metabase,看到他们需要看到的一切,而不是更多。
6.使用“审核”部分监视人们如何使用Metabase
最后,付费版本,您可以浏览审核日志以验证人们正在查看的内容,并确认您的权限是否按预期工作。您可以查看用户查看的仪表板和问题、他们运行的SQL查询的内容以及他们下载的数据。这也是一个很好的方式来查看你的发布进展情况,比如随着时间的推移有多少新用户登录,以及每个人都在看多少东西。
审核对于检查您的主要控制面板和问题的性能也很有用。数据民主化的一个问题是,所有技能范围的人都会提出问题,这有时会导致一些效率较低的查询。您可以使用审计日志来查找运行缓慢的常见查看项,然后查看我们的帖子以获取有关使仪表板更快和编写SQL查询的最佳实践.
要了解有关审计功能如何工作的更多信息,请查看我们的文章审核用户和数据.