本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将亚马逊托管 Grafana 配置为使用 Azure AD
使用以下步骤将亚马逊托管 Grafana 配置为使用 Azure Active Directory 作为身份提供商。这些步骤假设您已经创建了 Amazon Managed Grafana 工作空间,并且记下了工作空间 ID 、网址和。AWS 区域
步骤 1:在 Azure 活动目录中完成的步骤
在 Azure 活动目录中完成以下步骤。
将 Azure Active Directory 设置为亚马逊托管 Grafana 的身份提供商
-
以管理员身份登录 Azure 控制台。
-
选择 Azure Active Directory。
-
选择 “企业应用程序”。
-
搜索亚马逊托管 Grafana SAML2.0,然后将其选中。
-
选择应用程序,然后选择 “设置”。
-
在 Azure 活动目录应用程序配置中,选择用户和群组。
-
将应用程序分配给所需的用户和群组。
-
选择 Single sign-on(单点登录)。
-
选择 “下一步” 进入 SAML 配置页面。
-
指定您的 SAML 设置:
-
在标识符(实体 ID)中,粘贴亚马逊托管 Grafana 工作区中的服务提供商标识符 URL。
-
对于回复 URL(断言消费者服务 URL),请粘贴来自亚马逊托管 Grafana 工作区的服务提供商回复。
-
确保选中 “签名断言”,未选中 “加密断言”。
-
-
在 “用户属性和声明” 部分,确保映射了这些属性。它们区分大小写。
-
邮件设置为用户.userprincipalName。
-
显示名称设置为用户.displayname。
-
唯一的用户标识符是使用 user.userprincip alName 设置的。
-
添加您要传递的任何其他属性。有关可以在断言映射中传递给 Amazon Managed Grafana 的属性的更多信息,请参阅。断言映射
-
-
复制 SAML 元数据网址,以便在亚马逊托管 Grafana 工作空间配置中使用。
第 2 步:在亚马逊托管 Grafana 中完成的步骤
在亚马逊托管 Grafana 控制台中完成以下步骤。
完成将 Azure Active Directory 设置为亚马逊托管 Grafana 的身份提供商
-
打开 Amazon Managed Grafana 控制台,网址为 https://console.aws.amazon.com/grafana/。
-
在导航窗格中,选择菜单图标。
-
选择所有工作区。
-
选择工作区的名称。
-
在 “身份验证” 选项卡中,选择 “设置 SAML 配置”。
-
在 “导入元数据” 下,选择 “上传” 或 “复制/粘贴”,然后粘贴您在上一节中从 SAML 元数据 URL 中复制的 Azure Active Directory 网址。
-
在 “断言映射” 下,执行以下操作:
-
确保未选中 “我想选择不向我的工作区分配管理员”。
注意
如果您选择不为我的工作区分配管理员,则您将无法使用 Amazon Managed Grafana 工作区控制台来管理工作空间,包括管理数据源、用户和控制面板权限等任务。您只能通过使用 Grafana API 对工作空间进行管理更改。
-
将断言属性角色设置为您选择的属性名称。
-
将管理员角色值设置为与管理员用户角色相对应的值。
-
(可选)如果您更改了 Azure Active Directory 应用程序中的默认属性,请展开 “其他设置-可选”,然后设置新的属性名称。
默认情况下,Azure displayNam e 属性作为名称属性传递,Ping Identity 邮件属性同时传递给电子邮件和登录属性。
-
-
选择 “保存 SAML 配置”。
