Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Usa SAML con tu espacio de trabajo de Grafana gestionado por Amazon
nota
Actualmente, Amazon Managed Grafana no admite el inicio de sesión iniciado por el IdP en los espacios de trabajo. Debe configurar sus aplicaciones SAML con un estado de retransmisión vacío.
Puedes usar la autenticación SAML para usar tu proveedor de identidad actual y ofrecer un inicio de sesión único para iniciar sesión en la consola de Grafana de tus espacios de trabajo de Grafana gestionados por Amazon. En lugar de autenticarse mediante IAM, la autenticación SAML para Amazon Managed Grafana le permite utilizar proveedores de identidad de terceros para iniciar sesión, gestionar el control de acceso, buscar sus datos y crear visualizaciones. Amazon Managed Grafana es compatible con los proveedores de identidad que utilizan el estándar SAML 2.0 y que han creado y probado aplicaciones de integración con Azure AD CyberArk, Okta y Ping Identity. OneLogin
Para obtener más información sobre cómo configurar la autenticación SAML durante la creación del espacio de trabajo, consulte. Crear un espacio de trabajo
En el flujo de autenticación SAML, un espacio de trabajo de Grafana gestionado por Amazon actúa como proveedor de servicios (SP) e interactúa con el iDP para obtener información del usuario. Para obtener más información sobre SAML, consulte Security Assertion Markup Language.
Puedes asignar grupos de tu IdP a los equipos del espacio de trabajo de Grafana gestionado por Amazon y establecer permisos de acceso detallados para esos equipos. También puede asignar las funciones de la organización definidas en el IdP a las funciones del espacio de trabajo de Grafana gestionado por Amazon. Por ejemplo, si tienes un rol de desarrollador definido en el IdP, puedes asignar ese rol al rol de administrador de Grafana en el espacio de trabajo de Grafana gestionado por Amazon.
nota
Cuando creas un espacio de trabajo de Grafana gestionado por Amazon que utiliza un IdP y un SAML para la autorización, debes iniciar sesión con un director de IAM que tenga la política adjunta. AWSGrafanaAccountAdministrator
Para iniciar sesión en el espacio de trabajo de Grafana gestionado por Amazon, el usuario visita la página de inicio de la consola Grafana del espacio de trabajo y selecciona Iniciar sesión con SAML. El espacio de trabajo lee la configuración de SAML y redirige al usuario al IdP para su autenticación. El usuario introduce sus credenciales de inicio de sesión en el portal de IdP y, si es un usuario válido, el IdP emite una afirmación de SAML y redirige al usuario de vuelta al espacio de trabajo de Grafana gestionado por Amazon. Amazon Managed Grafana verifica que la afirmación de SAML sea válida y que el usuario haya iniciado sesión y pueda usar el espacio de trabajo.
Amazon Managed Grafana admite los siguientes enlaces de SAML 2.0:
-
Del proveedor de servicios (SP) al proveedor de identidad (IdP):
-
Enlace HTTP-POST
-
Enlace de redireccionamiento HTTP
-
-
Del proveedor de identidad (IdP) al proveedor de servicios (SP):
-
Enlace HTTP-POST
-
Amazon Managed Grafana admite afirmaciones firmadas y cifradas, pero no admite solicitudes firmadas o cifradas.
Amazon Managed Grafana admite las solicitudes iniciadas por el SP y no admite las solicitudes iniciadas por el IdP.
Mapeo de aserciones
Durante el flujo de autenticación SAML, Amazon Managed Grafana recibe la llamada del servicio de confirmación al consumidor (ACS). La devolución de llamada contiene toda la información relevante del usuario que se está autenticando, incluida en la respuesta de SAML. Amazon Managed Grafana analiza la respuesta para crear (o actualizar) el usuario en su base de datos interna.
Cuando Amazon Managed Grafana mapea la información del usuario, examina los atributos individuales de la afirmación. Puede pensar en estos atributos como pares clave-valor, aunque contienen más información que eso.
Amazon Managed Grafana ofrece opciones de configuración para que pueda modificar las claves que debe buscar para estos valores.
Puede utilizar la consola de Amazon Managed Grafana para asignar los siguientes atributos de aserción de SAML a valores de Amazon Managed Grafana:
-
En el caso del rol de atributo de aserción, especifique el nombre del atributo dentro de la aserción de SAML que se va a usar como roles de usuario.
-
En el caso del nombre del atributo de aserción, especifique el nombre del atributo dentro de la aserción de SAML para usar nombres completos «fáciles de entender» para los usuarios de SAML.
-
Para iniciar sesión con el atributo de aserción, especifique el nombre del atributo de la aserción de SAML que se va a utilizar como nombre de inicio de sesión para los usuarios de SAML.
-
En el caso del correo electrónico con el atributo de aserción, especifique el nombre del atributo de la aserción de SAML que se va a utilizar como nombre de correo electrónico de usuario para los usuarios de SAML.
-
Para la organización de los atributos de aserción, especifique el nombre del atributo dentro de la aserción de SAML para usarlo como nombre «descriptivo» para las organizaciones de usuarios.
-
En el caso de los grupos de atributos de aserción, especifique el nombre del atributo dentro de la aserción de SAML que se utilizará como nombre «descriptivo» para los grupos de usuarios.
-
En el caso de las organizaciones permitidas, puede limitar el acceso de los usuarios únicamente a los usuarios que son miembros de determinadas organizaciones del IdP.
-
En cuanto a los valores del rol de editor, especifique los roles de usuario de su IdP, a los que se les debe conceder el
Editor
rol en el espacio de trabajo de Grafana gestionado por Amazon.
Conectarse a su proveedor de identidad
Los siguientes proveedores de identidad externos se han probado con Amazon Managed Grafana y proporcionan aplicaciones directamente en sus directorios o galerías de aplicaciones para ayudarle a configurar Amazon Managed Grafana con SAML.
Temas
- Configuración de Grafana gestionada por Amazon para usar Azure AD
- Configure Grafana gestionada por Amazon para usar CyberArk
- Configurar Grafana gestionada por Amazon para usar Okta
- Configurar Amazon Managed Grafana para usar OneLogin
- Configuración de Grafana gestionada por Amazon para usar Ping Identity