翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Managed Grafana ワークスペースで SAML を使用する
注記
Amazon Managed Grafana は現在、ワークスペースの IdP 開始ログインをサポートしていません。SAML アプリケーションは、空白のリレーステートで設定する必要があります。
SAML 認証を使用して既存の ID プロバイダーを使用し、Amazon Managed Grafana ワークスペースの Grafana コンソールにログインするためのシングルサインオンを提供できます。Amazon Managed Grafana の SAML 認証では、IAM による認証ではなく、サードパーティーの ID プロバイダーを使用してログイン、アクセスコントロールの管理、データの検索、視覚化の構築を行うことができます。Amazon Managed Grafana は、SAML 2.0 標準を使用し、Azure AD、、Okta CyberArk、Ping Identity との統合アプリケーションを構築 OneLoginおよびテストした ID プロバイダーをサポートしています。
ワークスペースの作成時に SAML 認証を設定する方法の詳細については、「」を参照してくださいワークスペースの作成。
SAML 認証フローでは、Amazon Managed Grafana ワークスペースがサービスプロバイダー (SP) として機能し、IdP とやり取りしてユーザー情報を取得します。SAML の詳細については、「Security Assertion Markup Language
IdP のグループを Amazon Managed Grafana ワークスペースのチームにマッピングし、それらのチームにきめ細かなアクセス許可を設定できます。IdP で定義されている組織ロールを Amazon Managed Grafana ワークスペースのロールにマッピングすることもできます。例えば、IdP でデベロッパーロールが定義されている場合、そのロールを Amazon Managed Grafana ワークスペースの Grafana 管理者ロールにマッピングできます。 IdP
注記
認証に IdP と SAML を使用する Amazon Managed Grafana ワークスペースを作成するときは、AWSGrafanaAccountAdministratorポリシーがアタッチされている IAM プリンシパルにサインオンする必要があります。
Amazon Managed Grafana ワークスペースにサインインするには、ユーザーはワークスペースの Grafana コンソールのホームページにアクセスし、SAML を使用してログインを選択します。ワークスペースは SAML 設定を読み取り、認証のためにユーザーを IdP にリダイレクトします。ユーザーは IdP ポータルにサインイン認証情報を入力し、有効なユーザーである場合、IdP は SAML アサーションを発行し、ユーザーを Amazon Managed Grafana ワークスペースにリダイレクトします。Amazon Managed Grafana は、SAML アサーションが有効であり、ユーザーがサインインしてワークスペースを使用できることを確認します。
Amazon Managed Grafana は、次の SAML 2.0 バインディングをサポートしています。
-
サービスプロバイダー (SP) から ID プロバイダー (IdP ) へ:
-
HTTP-POST バインディング
-
HTTP リダイレクトバインディング
-
-
ID プロバイダー (IdP ) からサービスプロバイダー (SP) へ:
-
HTTP-POST バインディング
-
Amazon Managed Grafana は、署名付きおよび暗号化されたアサーションをサポートしていますが、署名付きまたは暗号化されたリクエストはサポートしていません。
Amazon Managed Grafana は SP 開始リクエストをサポートしており、IdP 開始リクエストはサポートしていません。
アサーションマッピング
SAML 認証フロー中、Amazon Managed Grafana はアサーションコンシューマーサービス (ACS) コールバックを受け取ります。コールバックには、SAML レスポンスに埋め込まれた、認証対象のユーザーの関連情報がすべて含まれています。Amazon Managed Grafana はレスポンスを解析して、内部データベース内でユーザーを作成 (または更新) します。
Amazon Managed Grafana がユーザー情報をマッピングすると、アサーション内の個々の属性を調べます。これらの属性はキーと値のペアと考えることができますが、それよりも多くの情報が含まれています。
Amazon Managed Grafana には、これらの値を確認するキーを変更するための設定オプションが用意されています。
Amazon Managed Grafana コンソールを使用して、次の SAML アサーション属性を Amazon Managed Grafana の値にマッピングできます。
-
アサーション属性ロール では、ユーザーロールとして使用する SAML アサーション内の属性の名前を指定します。
-
アサーション属性名 には、SAML ユーザーの完全な「フレンドリ」名に使用する SAML アサーション内の属性名を指定します。
-
アサーション属性ログイン では、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。
-
アサーション属性 E メール では、SAML ユーザーのユーザー E メール名に使用する SAML アサーション内の属性の名前を指定します。
-
アサーション属性組織 では、ユーザー組織の「フレンドリ」名に使用する SAML アサーション内の属性の名前を指定します。
-
アサーション属性グループ では、ユーザーグループの「フレンドリ」名に使用する SAML アサーション内の属性の名前を指定します。
-
許可された組織 の場合、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。
-
エディタのロール値 には、IdP のユーザーロールを指定します。この
Editor
ロールはすべて Amazon Managed Grafana ワークスペースで付与されます。
ID プロバイダーへの接続
以下の外部 ID プロバイダーは Amazon Managed Grafana でテストされており、アプリケーションディレクトリまたはギャラリーで直接アプリケーションを提供し、Amazon Managed Grafana を SAML で設定するのに役立ちます。