아마존 매니지드 Grafana 워크스페이스와 함께 SAML을 사용하세요

SAML 인증을 사용하여 기존 ID 공급자를 사용하고 Amazon Managed Grafana 작업 공간의 Grafana 콘솔에 로그인하기 위한 싱글 사인온을 제공할 수 있습니다. Amazon Managed Grafana의 SAML 인증을 사용하면 IAM을 통해 인증하는 대신 타사 ID 공급자를 사용하여 로그인하고, 액세스 제어를 관리하고, 데이터를 검색하고, 시각화를 구축할 수 있습니다. Amazon Managed Grafana는 SAML 2.0 표준을 사용하고 Azure AD CyberArk, Okta OneLogin 및 Ping Identity와의 통합 애플리케이션을 구축하고 테스트한 ID 공급자를 지원합니다.

작업 영역 생성 중에 SAML 인증을 설정하는 방법에 대한 자세한 내용은 을 참조하십시오. 워크스페이스 생성

SAML 인증 흐름에서 Amazon 관리형 Grafana 워크스페이스는 서비스 공급자 (SP) 역할을 하며 IdP와 상호 작용하여 사용자 정보를 얻습니다. SAML에 대한 자세한 내용은 보안 어설션 마크업 언어를 참조하십시오.

IdP의 그룹을 Amazon Managed Grafana 작업 공간의 팀에 매핑하고 해당 팀에 세분화된 액세스 권한을 설정할 수 있습니다. 또한 IdP에 정의된 조직 역할을 Amazon 관리형 Grafana 작업 공간의 역할에 매핑할 수 있습니다. 예를 들어 IdP에 개발자 역할이 정의되어 있는 경우 Amazon Managed Grafana 작업 영역의 Grafana 관리자 역할에 해당 역할을 매핑할 수 있습니다.

Amazon Managed Grafana 워크스페이스에 로그인하려면 사용자는 워크스페이스의 Grafana 콘솔 홈 페이지를 방문하여 SAML을 사용하여 로그인을 선택합니다. 작업 영역은 SAML 구성을 읽고 인증을 위해 사용자를 IdP로 리디렉션합니다. 사용자는 IdP 포털에 로그인 자격 증명을 입력하고 유효한 사용자인 경우 IdP는 SAML 어설션을 발행하고 사용자를 Amazon Managed Grafana 작업 공간으로 다시 리디렉션합니다. Amazon Managed Grafana는 SAML 어설션이 유효하고 사용자가 로그인하여 워크스페이스를 사용할 수 있는지 확인합니다.

아마존 매니지드 그라파나는 다음과 같은 SAML 2.0 바인딩을 지원합니다.

Amazon Managed Grafana는 서명된 어설션과 암호화된 어설션을 지원하지만 서명되거나 암호화된 요청은 지원하지 않습니다.

Amazon Managed Grafana는 SP에서 시작한 요청을 지원하지만 IdP에서 시작한 요청은 지원하지 않습니다.

어설션 매핑

SAML 인증 흐름 중에 Amazon Managed Grafana는 어설션 소비자 서비스 (ACS) 콜백을 수신합니다. 콜백에는 인증 대상 사용자와 관련된 모든 정보가 SAML 응답에 포함되어 있습니다. Amazon Managed Grafana는 응답을 파싱하여 내부 데이터베이스 내에 사용자를 생성 (또는 업데이트) 합니다.

Amazon Managed Grafana는 사용자 정보를 매핑할 때 어설션 내의 개별 속성을 살펴봅니다. 이러한 속성에는 이보다 더 많은 정보가 포함되어 있지만 키-값 쌍으로 생각할 수 있습니다.

Amazon Managed Grafana는 구성 옵션을 제공하므로 이러한 값에 대해 살펴볼 키를 수정할 수 있습니다.

아마존 매니지드 그라파나 콘솔을 사용하여 다음 SAML 어설션 속성을 아마존 매니지드 그라파나의 값에 매핑할 수 있습니다.

ID 제공자에 연결

다음 외부 ID 공급자는 Amazon Managed Grafana로 테스트되었으며, SAML을 사용하여 Amazon Managed Grafana를 구성하는 데 도움이 되는 애플리케이션을 앱 디렉터리 또는 갤러리에 직접 제공합니다.