Amazon Managed Grafana 워크스페이스에서 SAML 사용

SAML 인증을 사용하여 기존 ID 제공업체를 사용하고 Amazon Managed Grafana 워크스페이스의 Grafana 콘솔에 로그인하기 위한 Single Sign-On을 제공할 수 있습니다. IAM을 통해 인증하는 대신 Amazon Managed Grafana에 대한 SAML 인증을 사용하면 서드파티 ID 제공업체를 사용하여 대시보드에 로그인하고 세분화된 액세스 제어를 관리하며 데이터를 검색하고 시각화를 구축할 수 있습니다. Amazon Managed Grafana는 SAML 2.0 표준을 사용하고 Azure AD, CyberArk , Okta, OneLogin 및 Ping Identity와 통합 애플리케이션을 구축하고 테스트한 ID 제공업체를 지원합니다.

워크스페이스 생성 중에 SAML 인증을 설정하는 방법에 대한 자세한 내용은 워크스페이스 생성 섹션을 참조하세요.

SAML 인증 흐름에서 Amazon Managed Grafana 워크스페이스는 서비스 제공업체(SP) 역할을 하며 IdP와 상호 작용하여 사용자 정보를 가져옵니다. SAML에 대한 자세한 내용은 Security Assertion Markup Language를 참조하세요.

IdP의 그룹을 Amazon Managed Grafana 워크스페이스의 팀에 매핑하고 해당 팀에 대해 세분화된 액세스 권한을 설정할 수 있습니다. IdP에 정의된 조직 역할을 Amazon Managed Grafana 워크스페이스의 역할에 매핑할 수도 있습니다. 예를 들어 IdP에 정의된 개발자 역할이 있는 경우 Amazon Managed Grafana 워크스페이스의 Grafana 관리자 역할에 해당 역할을 매핑할 수 있습니다.

Amazon Managed Grafana 워크스페이스에 로그인하려면 사용자가 워크스페이스의 Grafana 콘솔 홈 페이지를 방문하고 SAML을 사용하여 로그인을 선택합니다. 워크스페이스는 SAML 구성을 읽고 인증을 위해 사용자를 IdP로 리디렉션합니다. 사용자는 IdP 포털에 로그인 자격 증명을 입력합니다. 유효한 사용자인 경우 IdP는 SAML 어설션을 발급하고 사용자를 Amazon Managed Grafana 워크스페이스로 다시 리디렉션합니다. Amazon Managed Grafana는 SAML 어설션이 유효한지, 사용자가 로그인되어 있고 워크스페이스를 사용할 수 있는지 확인합니다.

Amazon Managed Grafana는 다음과 같은 SAML 2.0 바인딩을 지원합니다.

Amazon Managed Grafana는 서명 및 암호화된 어설션을 지원하지만 서명 또는 암호화된 요청은 지원하지 않습니다.

Amazon Managed Grafana는 SP 시작 요청을 지원하지만 IdP 시작 요청을 지원하지 않습니다.

어설션 매핑

SAML 인증 흐름 중에 Amazon Managed Grafana는 어설션 소비자 서비스(ACS) 콜백을 수신합니다. 콜백에는 인증되어 SAML 응답에 포함된 사용자에 대한 모든 관련 정보가 포함됩니다. Amazon Managed Grafana는 응답을 구문 분석하여 내부 데이터베이스 내에서 사용자를 생성(또는 업데이트)합니다.

Amazon Managed Grafana에서 사용자 정보를 매핑하는 경우 어설션 내의 개별 속성을 살펴봅니다. 이러한 속성은 키-값 페어로 생각할 수 있지만 그보다 많은 정보가 포함되어 있습니다.

Amazon Managed Grafana에서는 이러한 값을 확인할 키를 수정할 수 있도록 구성 옵션을 제공합니다.

Amazon Managed Grafana 콘솔을 사용하여 다음 SAML 어설션 속성을 Amazon Managed Grafana의 값에 매핑할 수 있습니다.

ID 제공업체에 연결

다음 외부 ID 제공업체는 Amazon Managed Grafana를 사용하여 테스트를 거쳤으며 SAML을 사용하여 Amazon Managed Grafana를 구성하는 데 도움이 되도록 앱 디렉터리 또는 갤러리에서 직접 애플리케이션을 제공합니다.