Uso de SAML con su espacio de trabajo de Amazon Managed Grafana

Puede usar la autenticación SAML para usar su proveedor de identidades actual y ofrecer un inicio de sesión único para iniciar sesión en la consola de Grafana de sus espacios de trabajo de Amazon Managed Grafana. En lugar de autenticarse a través de IAM, la autenticación SAML para Amazon Managed Grafana permite utilizar proveedores de identidades de terceros a fin de iniciar sesión en Grafana, administrar el control de acceso, buscar sus datos y crear visualizaciones. Amazon Managed Grafana es compatible con los proveedores de identidades que utilizan el estándar SAML 2.0 y que han creado y probado aplicaciones de integración con Azure AD, CyberArk, Okta, OneLogin y Ping Identity.

Para obtener información detallada acerca de cómo configurar la autenticación SAML durante la creación del espacio de trabajo, consulte Creación de un espacio de trabajo.

En el flujo de autenticación SAML, un espacio de trabajo de Amazon Managed Grafana actúa como proveedor de servicios (SP) e interactúa con el IdP para obtener información del usuario. Para obtener más información sobre SAML, consulte Security Assertion Markup Language.

Puede asignar grupos de su IdP a los equipos del espacio de trabajo de Amazon Managed Grafana y establecer permisos de acceso detallados para esos equipos. También puede asignar los roles de la organización definidos en el IdP a los roles del espacio de trabajo de Amazon Managed Grafana. Por ejemplo, si tiene un rol de desarrollador definido en el IdP, puede asignar ese rol al rol de administrador de Grafana en el espacio de trabajo de Amazon Managed Grafana.

Para iniciar sesión en el espacio de trabajo de Amazon Managed Grafana, el usuario visita la página de inicio de la consola de Grafana del espacio de trabajo y selecciona Iniciar sesión con SAML. El espacio de trabajo lee la configuración de SAML y redirige al usuario al IdP para su autenticación. El usuario ingresa sus credenciales de inicio de sesión en el portal del IdP y, si es un usuario válido, el IdP emite una aserción de SAML y redirige al usuario de vuelta al espacio de trabajo de Amazon Managed Grafana. Amazon Managed Grafana verifica que la aserción de SAML sea válida y que el usuario haya iniciado sesión y pueda usar el espacio de trabajo.

Amazon Managed Grafana admite los siguientes enlaces de SAML 2.0:

Amazon Managed Grafana admite aserciones firmadas y cifradas, pero no admite solicitudes firmadas o cifradas.

Amazon Managed Grafana admite las solicitudes iniciadas por el SP y no admite las solicitudes iniciadas por el IdP.

Asignación de aserciones

Durante el flujo de autenticación SAML, Amazon Managed Grafana recibe la devolución llamada del servicio de consumidor de aserciones (ACS). La devolución de llamada contiene toda la información pertinente del usuario que se está autenticando incrustada en la respuesta de SAML. Amazon Managed Grafana analiza la respuesta para crear (o actualizar) el usuario en su base de datos interna.

Cuando Amazon Managed Grafana asigna la información del usuario, examina los atributos individuales de la aserción. Puede pensar en estos atributos como pares de clave-valor, aunque contienen más información que esa.

Amazon Managed Grafana ofrece opciones de configuración para que pueda modificar las claves que debe buscar para estos valores.

Puede utilizar la consola de Amazon Managed Grafana para asignar los siguientes atributos de aserción de SAML a valores de Amazon Managed Grafana:

Conexión a su proveedor de identidades

Los siguientes proveedores de identidades externos se han probado con Amazon Managed Grafana y proporcionan aplicaciones directamente en sus directorios o galerías de aplicaciones para ayudarlo a configurar Amazon Managed Grafana con SAML.