Amazon Managed Grafana ワークスペースで SAML を使用する

SAML 認証を使用して既存の ID プロバイダーを使用し、Amazon Managed Grafana ワークスペースの Grafana コンソールにログインするためのシングルサインオンを提供できます。Amazon Managed Grafana の SAML 認証では、IAM による認証ではなく、サードパーティーの ID プロバイダーを使用してログイン、アクセスコントロールの管理、データの検索、視覚化の構築を行うことができます。Amazon Managed Grafana は、SAML 2.0 標準を使用し、Azure AD、、Okta CyberArk、Ping Identity との統合アプリケーションを構築 OneLoginおよびテストした ID プロバイダーをサポートしています。

ワークスペースの作成時に SAML 認証を設定する方法の詳細については、「」を参照してくださいワークスペースの作成。

SAML 認証フローでは、Amazon Managed Grafana ワークスペースがサービスプロバイダー (SP) として機能し、IdP とやり取りしてユーザー情報を取得します。SAML の詳細については、「Security Assertion Markup Language」を参照してください。

IdP のグループを Amazon Managed Grafana ワークスペースのチームにマッピングし、それらのチームにきめ細かなアクセス許可を設定できます。IdP で定義されている組織ロールを Amazon Managed Grafana ワークスペースのロールにマッピングすることもできます。例えば、IdP でデベロッパーロールが定義されている場合、そのロールを Amazon Managed Grafana ワークスペースの Grafana 管理者ロールにマッピングできます。 IdP

Amazon Managed Grafana ワークスペースにサインインするには、ユーザーはワークスペースの Grafana コンソールのホームページにアクセスし、SAML を使用してログインを選択します。ワークスペースは SAML 設定を読み取り、認証のためにユーザーを IdP にリダイレクトします。ユーザーは IdP ポータルにサインイン認証情報を入力し、有効なユーザーである場合、IdP は SAML アサーションを発行し、ユーザーを Amazon Managed Grafana ワークスペースにリダイレクトします。Amazon Managed Grafana は、SAML アサーションが有効であり、ユーザーがサインインしてワークスペースを使用できることを確認します。

Amazon Managed Grafana は、次の SAML 2.0 バインディングをサポートしています。

Amazon Managed Grafana は、署名付きおよび暗号化されたアサーションをサポートしていますが、署名付きまたは暗号化されたリクエストはサポートしていません。

Amazon Managed Grafana は SP 開始リクエストをサポートしており、IdP 開始リクエストはサポートしていません。

アサーションマッピング

SAML 認証フロー中、Amazon Managed Grafana はアサーションコンシューマーサービス (ACS) コールバックを受け取ります。コールバックには、SAML レスポンスに埋め込まれた、認証対象のユーザーの関連情報がすべて含まれています。Amazon Managed Grafana はレスポンスを解析して、内部データベース内でユーザーを作成 (または更新) します。

Amazon Managed Grafana がユーザー情報をマッピングすると、アサーション内の個々の属性を調べます。これらの属性はキーと値のペアと考えることができますが、それよりも多くの情報が含まれています。

Amazon Managed Grafana には、これらの値を確認するキーを変更するための設定オプションが用意されています。

Amazon Managed Grafana コンソールを使用して、次の SAML アサーション属性を Amazon Managed Grafana の値にマッピングできます。

ID プロバイダーへの接続

以下の外部 ID プロバイダーは Amazon Managed Grafana でテストされており、アプリケーションディレクトリまたはギャラリーで直接アプリケーションを提供し、Amazon Managed Grafana を SAML で設定するのに役立ちます。