Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Note
Amazon Managed Grafana ne prend actuellement pas en charge la connexion initiée par l'IdP pour les espaces de travail. Vous devez configurer vos applications SAML avec un état relais vide.
Vous pouvez utiliser l'authentification SAML pour utiliser votre fournisseur d'identité existant et proposer une authentification unique pour vous connecter à la console Grafana de vos espaces de travail Amazon Managed Grafana. Plutôt que de vous authentifier via IAM, l'authentification SAML pour Amazon Managed Grafana vous permet d'utiliser des fournisseurs d'identité tiers pour vous connecter, gérer le contrôle d'accès, rechercher vos données et créer des visualisations. Amazon Managed Grafana prend en charge les fournisseurs d'identité qui utilisent la norme SAML 2.0 et qui ont créé et testé des applications d'intégration avec Azure AD CyberArk, Okta et Ping Identity. OneLogin
Pour plus de détails sur la configuration de l'authentification SAML lors de la création de l'espace de travail, consultezCréation d'un espace de travail.
Dans le flux d'authentification SAML, un espace de travail Amazon Managed Grafana agit en tant que fournisseur de services (SP) et interagit avec l'IdP pour obtenir des informations sur les utilisateurs. Pour plus d'informations sur le SAML, consultez Security Assertion Markup Language.
Vous pouvez associer les groupes de votre IdP aux équipes de l'espace de travail Amazon Managed Grafana et définir des autorisations d'accès précises pour ces équipes. Vous pouvez également mapper les rôles organisationnels définis dans l'IdP à des rôles dans l'espace de travail Amazon Managed Grafana. Par exemple, si un rôle de développeur est défini dans l'IdP, vous pouvez associer ce rôle au rôle d'administrateur Grafana dans l'espace de travail Grafana géré par Amazon.
Note
Lorsque vous créez un espace de travail Amazon Managed Grafana qui utilise un IdP et un SAML pour l'autorisation, vous devez être connecté à un principal IAM auquel la politique est attachée. AWSGrafanaAccountAdministrator
Pour se connecter à l'espace de travail Amazon Managed Grafana, un utilisateur se rend sur la page d'accueil de la console Grafana de l'espace de travail et choisit Se connecter en utilisant SAML. L'espace de travail lit la configuration SAML et redirige l'utilisateur vers l'IdP pour l'authentification. L'utilisateur saisit ses informations de connexion sur le portail IdP, et s'il s'agit d'un utilisateur valide, l'IdP émet une assertion SAML et redirige l'utilisateur vers l'espace de travail Amazon Managed Grafana. Amazon Managed Grafana vérifie que l'assertion SAML est valide, que l'utilisateur est connecté et peut utiliser l'espace de travail.
Amazon Managed Grafana prend en charge les liaisons SAML 2.0 suivantes :
-
Du fournisseur de services (SP) au fournisseur d'identité (IdP) :
-
liaison HTTP-POST
-
Liaison de redirection HTTP
-
-
Du fournisseur d'identité (IdP) au fournisseur de services (SP) :
-
liaison HTTP-POST
-
Amazon Managed Grafana prend en charge les assertions signées et chiffrées, mais ne prend pas en charge les demandes signées ou chiffrées.
Amazon Managed Grafana prend en charge les demandes initiées par le fournisseur de services Internet, mais pas les demandes initiées par l'IdP.
mappage des assertions
Pendant le flux d'authentification SAML, Amazon Managed Grafana reçoit le rappel ACS (Assertion Consumer Service). Le rappel contient toutes les informations pertinentes pour l'utilisateur authentifié, intégrées dans la réponse SAML. Amazon Managed Grafana analyse la réponse pour créer (ou mettre à jour) l'utilisateur dans sa base de données interne.
Lorsqu'Amazon Managed Grafana mappe les informations utilisateur, il examine les attributs individuels de l'assertion. Vous pouvez considérer ces attributs comme des paires clé-valeur, bien qu'ils contiennent plus d'informations que cela.
Amazon Managed Grafana propose des options de configuration qui vous permettent de modifier les clés à prendre en compte pour ces valeurs.
Vous pouvez utiliser la console Amazon Managed Grafana pour mapper les attributs d'assertion SAML suivants aux valeurs d'Amazon Managed Grafana :
-
Pour le rôle d'attribut Assertion, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme rôles utilisateur.
-
Pour le nom de l'attribut d'assertion, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms complets « conviviaux » pour les utilisateurs SAML.
-
Pour la connexion à l'attribut Assertion, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms de connexion des utilisateurs SAML.
-
Pour l'e-mail d'attribut d'assertion, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms d'e-mail des utilisateurs SAML.
-
Pour l'organisation de l'attribut Assertion, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les organisations d'utilisateurs.
-
Pour les groupes d'attributs Assertion, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les groupes d'utilisateurs.
-
Pour les organisations autorisées, vous pouvez limiter l'accès des utilisateurs aux seuls utilisateurs membres de certaines organisations de l'IdP.
-
Pour les valeurs des rôles d'éditeur, spécifiez les rôles utilisateur de votre IdP qui devraient tous se voir attribuer le
Editorrôle dans l'espace de travail Amazon Managed Grafana.
Connexion à votre fournisseur d'identité
Les fournisseurs d'identité externes suivants ont été testés avec Amazon Managed Grafana et fournissent des applications directement dans leurs répertoires ou galeries d'applications pour vous aider à configurer Amazon Managed Grafana avec SAML.
Rubriques
