Amazon Managed Grafana ワークスペースで SAML を使用する - Amazon Managed Grafana
アサートマッピングID プロバイダーへの接続

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana ワークスペースで SAML を使用する

注記

現在、Amazon Managed Grafana はワークスペースに対する IdP 開始のログインをサポートしていません。SAML アプリケーションは、Relay State を空白で設定する必要があります。

SAML 認証を使用すると、既存の ID プロバイダーを使用して Amazon Managed Grafana ワークスペースの Grafana コンソールにシングルサインオンでログインできるようになります。IAM を介して認証する代わりに Amazon Managed Grafana の SAML 認証を使用すると、サードパーティーの ID プロバイダーを使用したログイン、アクセスコントロールの管理、データの検索、視覚的表現の構築を行うことができます。Amazon Managed Grafana は、SAML 2.0 標準を使用し、Azure AD、CyberArk、Okta、OneLogin、および Ping Identity と連携したアプリケーションを構築およびテストした ID プロバイダーをサポートします。

ワークスペース作成時の SAML 認証の設定方法の詳細については、「ワークスペースの作成」を参照してください。

SAML 認証フローでは、Amazon Managed Grafana ワークスペースがサービスプロバイダー (SP) として機能し、IdP と対話してユーザー情報を取得します。SAML の詳細については、「Security Assertion Markup Language」を参照してください。

IdP のグループを Amazon Managed Grafana ワークスペースのチームにマッピングし、それらのチームにきめ細かなアクセス権限を設定することができます。また、IdP で定義されている組織ロールを Amazon Managed Grafana ワークスペースのロールにマッピングすることもできます。例えば、IdP で開発者ロールが定義されている場合、そのロールを Amazon Managed Grafana ワークスペースの Grafana 管理者ロールにマッピングすることができます。

注記

IdP と SAML を認証に使用する Amazon Managed Grafana ワークスペースを作成する際は、AWSGrafanaAccountAdministrator ポリシーがアタッチされている IAM プリンシパルにサインインしている必要があります。

Amazon Managed Grafana ワークスペースにサインインするには、ユーザーはワークスペースの Grafana コンソールのホームページにアクセスし、[SAML を使用してログイン] を選択します。ワークスペースは SAML 設定を読み込み、認証のためにユーザーを IdP にリダイレクトします。ユーザーは IdP ポータルにサインイン認証情報を入力し、有効なユーザーである場合、IdP は SAML アサーションを発行し、ユーザーを Amazon Managed Grafana ワークスペースにリダイレクトします。Amazon Managed Grafana は、SAML アサーションが有効であることを確認し、ユーザーはサインインしてワークスペースを使用できるようになります。

Amazon Managed Grafana は、次の SAML 2.0 バインディングをサポートしています。

  • サービスプロバイダー (SP) から ID プロバイダー (IdP):

    • HTTP-POST バインディング

    • HTTP-Redirect バインディング

  • ID プロバイダー (IdP) からサービスプロバイダー (SP):

    • HTTP-POST バインディング

Amazon Managed Grafana は、署名および暗号化されたアサーションをサポートしていますが、署名または暗号化されたリクエストはサポートしていません。

Amazon Managed Grafana は SP 開始のリクエストをサポートしており、IdP 開始のリクエストはサポートしていません。

アサーションマッピング

SAML 認証フロー中、Amazon Managed Grafana はアサーションコンシューマーサービス (ACS) コールバックを受け取ります。このコールバックには、認証されるユーザーに関連するすべての情報が埋め込まれた SAML レスポンスが含まれています。Amazon Managed Grafana はそのレスポンスを解析して、内部データベース内でユーザーを作成 (または更新) します。

Amazon Managed Grafana がユーザー情報をマッピングする際、アサーション内の個々の属性が表示されます。これらの属性はキーと値のペアと考えることができますが、それ以上の情報も含んでいます。

Amazon Managed Grafana は、これらの値をどのキーから取得するかを変更できる設定オプションを提供しています。

Amazon Managed Grafana コンソールを使用して、次の SAML アサーション属性を Amazon Managed Grafana の値にマッピングできます。

  • [アサーション属性ロール]に、ユーザーロールとして使用する SAML アサーション内の属性の名前を指定します。

  • [アサーション属性名] で、SAML ユーザーの完全な「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。

  • [アサーション属性ログイン] で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。

  • [アサーション属性電子メール] で、SAML ユーザーの電子メール名として使用する SAML アサーション内の属性の名前を指定します。

  • [アサーション属性組織] で、ユーザー組織の「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。

  • [アサーション属性グループ] で、ユーザーグループの「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。

  • [許可される組織] では、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。

  • [エディタロールの値] に、Amazon Managed Grafana ワークスペースで Editor ロールをすべて付与する必要がある IdP のユーザーロールを入力します。

ID プロバイダーへの接続

次の外部 ID プロバイダーは Amazon Managed Grafana でテストされており、SAML で Amazon Managed Grafana を設定するのに役立つアプリケーションをアプリケーションディレクトリまたはギャラリーで直接提供しています。

トピック