Usa SAML con il tuo spazio di lavoro Amazon Managed Grafana - Grafana gestito da Amazon
Asserzione della mappaturaConnessione al tuo provider di identità

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usa SAML con il tuo spazio di lavoro Amazon Managed Grafana

Nota

Amazon Managed Grafana attualmente non supporta l'accesso avviato da IdP per le aree di lavoro. È necessario configurare le applicazioni SAML con un Relay State vuoto.

Puoi utilizzare l'autenticazione SAML per utilizzare il tuo provider di identità esistente e offrire il single sign-on per accedere alla console Grafana delle tue aree di lavoro Amazon Managed Grafana. Invece di eseguire l'autenticazione tramite IAM, l'autenticazione SAML per Amazon Managed Grafana consente di utilizzare provider di identità di terze parti per accedere, gestire il controllo degli accessi, cercare dati e creare visualizzazioni. Amazon Managed Grafana supporta provider di identità che utilizzano lo standard SAML 2.0 e hanno creato e testato applicazioni di integrazione con Azure AD CyberArk, Okta e Ping Identity. OneLogin

Per i dettagli su come configurare l'autenticazione SAML durante la creazione dell'area di lavoro, consulta. Creare uno spazio di lavoro

Nel flusso di autenticazione SAML, un'area di lavoro Amazon Managed Grafana funge da service provider (SP) e interagisce con l'IdP per ottenere informazioni sugli utenti. Per ulteriori informazioni su SAML, consulta Security Assertion Markup Language.

Puoi mappare i gruppi del tuo IdP ai team nell'area di lavoro Amazon Managed Grafana e impostare autorizzazioni di accesso granulari per tali team. Puoi anche mappare i ruoli dell'organizzazione definiti nell'IdP ai ruoli nell'area di lavoro Amazon Managed Grafana. Ad esempio, se hai un ruolo Developer definito nell'IdP, puoi mappare quel ruolo al ruolo di amministratore Grafana nell'area di lavoro Amazon Managed Grafana.

Nota

Quando crei un'area di lavoro Amazon Managed Grafana che utilizza un IdP e SAML per l'autorizzazione, devi accedere a un principale IAM a cui è associata la policy. AWSGrafanaAccountAdministrator

Per accedere all'area di lavoro Amazon Managed Grafana, un utente visita la home page della console Grafana dell'area di lavoro e sceglie Accedi utilizzando SAML. L'area di lavoro legge la configurazione SAML e reindirizza l'utente all'IdP per l'autenticazione. L'utente inserisce le proprie credenziali di accesso nel portale IdP e, se è un utente valido, emette un'asserzione SAML e reindirizza l'utente all'area di lavoro Amazon Managed Grafana. Amazon Managed Grafana verifica che l'asserzione SAML sia valida, che l'utente abbia effettuato l'accesso e possa utilizzare l'area di lavoro.

Amazon Managed Grafana supporta i seguenti binding SAML 2.0:

  • Dal service provider (SP) al provider di identità (IdP):

    • Associazione HTTP-POST

    • Associazione di reindirizzamento HTTP

  • Dal provider di identità (IdP) al provider di servizi (SP):

    • Associazione HTTP-POST

Amazon Managed Grafana supporta asserzioni firmate e crittografate, ma non supporta richieste firmate o crittografate.

Amazon Managed Grafana supporta le richieste avviate da SP e non supporta le richieste avviate da IdP.

Mappatura delle asserzioni

Durante il flusso di autenticazione SAML, Amazon Managed Grafana riceve il callback ACS (Assertion Consumer Service). Il callback contiene tutte le informazioni pertinenti per l'utente da autenticare, incorporate nella risposta SAML. Amazon Managed Grafana analizza la risposta per creare (o aggiornare) l'utente all'interno del suo database interno.

Quando Amazon Managed Grafana mappa le informazioni dell'utente, esamina i singoli attributi all'interno dell'asserzione. Puoi pensare a questi attributi come coppie chiave-valore, sebbene contengano più informazioni di così.

Amazon Managed Grafana offre opzioni di configurazione che consentono di modificare le chiavi da utilizzare per questi valori.

Puoi utilizzare la console Amazon Managed Grafana per mappare i seguenti attributi di asserzione SAML ai valori in Amazon Managed Grafana:

  • Per il ruolo dell'attributo Assertion, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come ruoli utente.

  • Per il nome dell'attributo Assertion, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per l'utente nomi «descrittivi» completi per gli utenti SAML.

  • Per l'accesso all'attributo Assertion, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per i nomi di accesso degli utenti SAML.

  • Per l'e-mail dell'attributo Assertion, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per i nomi e-mail degli utenti SAML.

  • Per l'organizzazione degli attributi Assertion, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come nome «descrittivo» per le organizzazioni di utenti.

  • Per i gruppi di attributi Assertion, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come nome «descrittivo» per i gruppi di utenti.

  • Per le organizzazioni consentite, puoi limitare l'accesso degli utenti solo agli utenti che sono membri di determinate organizzazioni nell'IdP.

  • Per i valori del ruolo Editor, specifica i ruoli utente del tuo IdP a cui dovrebbe essere assegnato il Editor ruolo nell'area di lavoro di Amazon Managed Grafana.

Connessione al tuo provider di identità

I seguenti provider di identità esterni sono stati testati con Amazon Managed Grafana e forniscono applicazioni direttamente nelle loro directory o gallerie di app per aiutarti a configurare Amazon Managed Grafana con SAML.

Argomenti