Blog · 7 min de leitura

Embedding de dashboards Metabase em SaaS: os três modos e o isolamento multi-tenant

Colocar um dashboard dentro do seu produto é fácil. Garantir que cada cliente veja só os próprios dados — sem vazamento — é o que separa a demo da produção.
Por · publicado em

Você construiu um produto SaaS e o cliente quer ver os próprios números lá dentro — não em outra ferramenta, atrás de outro login. O Metabase resolve isso com embedding, mas "embarcar um dashboard" esconde três modos bem diferentes e uma pergunta que decide tudo: como garantir que cada cliente veja estritamente os seus dados.

Por que embarcar o analytics no produto

Mandar o cliente para uma ferramenta separada custa contexto, login e adoção. Analytics embarcado — dashboards dentro da sua própria interface, com a sua marca — vira parte do produto: o dado aparece onde a decisão acontece. A questão nunca é se, é como — e o "como" no Metabase tem três formas.

Os três modos de embedding do Metabase

O problema que decide tudo: isolamento multi-tenant

Em um produto multi-tenant, o pior erro possível é um cliente ver o dado de outro. O isolamento seguro depende do modo:

Seu produtobackendJWT assinadotenant_id travadoMetabase embedDashboardsó do clienteassinado no servidor → o cliente não forja outro tenant
Isolamento seguro: o identificador do tenant vai travado dentro do JWT assinado no seu servidor; o cliente não consegue forjar outro.

O que nunca fazer

Escolhendo o modo certo

Regra prática: se o cliente só precisa ver um painel por tenant, static embedding assinado resolve — e roda no open source. Se ele precisa explorar e criar perguntas com isolamento por linha, é interactive embedding + data sandboxing (Enterprise). Se a exploração é necessária mas o orçamento é OSS, separe o dado por tenant na arquitetura. O erro é escolher pelo brilho da demo, não pelo requisito real de isolamento.

Sistemas que conectamos aqui

Perguntas frequentes

Dá para fazer embedding multi-tenant seguro no Metabase open source?

Sim, para painéis fixos por cliente: o static embedding usa um JWT assinado no seu servidor com o identificador do tenant travado como parâmetro. O cliente não consegue forjar outro. Para exploração aberta com isolamento por linha automático, aí sim é preciso o data sandboxing do Pro/Enterprise — ou separar o dado por conexão/schema por tenant no open source.

O cliente consegue burlar o filtro e ver dados de outro tenant?

Não, se o identificador do tenant estiver como parâmetro travado dentro do token assinado (ou aplicado por data sandboxing). Como a assinatura é feita com um segredo do servidor, alterar o token invalida o embed. O vazamento só acontece quando o filtro é passado por URL editável ou aplicado só no front-end — exatamente o que a arquitetura correta evita.

Comece sem custo

Quer analytics embarcado no seu produto, com isolamento por cliente à prova de vazamento? Diagnóstico gratuito em 48h.

Mapeamos seus sistemas atuais, apontamos os maiores gargalos e entregamos um plano priorizado por risco × esforço. Você sai com clareza — usando ou não a Meta Dados.

Quero meu diagnóstico → Falar no WhatsApp Sem compromisso, sem cartão.
Respondemos em até 2 horas úteis.
←  Voltar para Blog