在 Amazon Managed Grafana 工作区中使用 SAML

您可以使用 SAML 身份验证来使用现有的身份提供者，并提供单点登录，以登录 Amazon Managed Grafana 工作区的 Grafana 控制台。Amazon Managed Grafana 的 SAML 身份验证不是通过 IAM 进行身份验证，而是让您使用第三方身份提供者进行登录、管理访问控制、搜索数据和构建可视化。Amazon Managed Grafana 支持使用 SAML 2.0 标准并已与 Azure AD CyberArk、Okta 和 Ping Ident OneLogin ity 构建和测试集成应用程序的身份提供商。

有关如何在创建工作区期间设置 SAML 身份验证的详细信息，请参阅 创建工作区。

在 SAML 身份验证流程中，Amazon Managed Grafana 工作区充当服务提供商（SP），并与 IdP 交互，以获取用户信息。有关 SAML 的更多信息，请参阅安全断言标记语言。

您可以将 IdP 中的组映射到 Amazon Managed Grafana 工作区中的团队，并对这些团队设置细粒度的访问权限。您还可以将 IdP 中定义的组织角色映射为 Amazon Managed Grafana 工作区中的角色。例如，如果您在 IdP 中定义了开发人员角色，您可以将该角色映射为 Amazon Managed Grafana 工作区中的 Grafana 管理员角色。

要登录到 Amazon Managed Grafana 工作区，用户需要访问工作区的 Grafana 控制台主页，并选择使用 SAML 登录。工作区会读取 SAML 配置，并将用户重定向到 IdP 进行身份验证。用户在 IdP 门户中输入登录凭证，如果是有效用户，IdP 将发出 SAML 断言，并将用户重定向回 Amazon Managed Grafana 工作区。Amazon Managed Grafana 会验证 SAML 断言是否有效，然后用户即可登录并使用工作区。

Amazon Managed Grafana 支持以下 SAML 2.0 绑定：

Amazon Managed Grafana 支持已签名和加密的断言，但不支持已签名或加密的请求。

Amazon Managed Grafana 支持由 SP 发起的请求，但不支持由 IdP 发起的请求。

断言映射

在 SAML 身份验证流程中，Amazon Managed Grafana 会接收断言使用者服务（ACS）回调。回调包含正在进行身份验证的用户的所有相关信息，这些信息嵌入在 SAML 响应中。Amazon Managed Grafana 会解析该响应，以便在其内部数据库中创建（或更新）用户。

当 Amazon Managed Grafana 映射用户信息时，它会查看断言中的各个属性。您可以将这些属性视为键值对，但它们包含的信息比键值对多。

Amazon Managed Grafana 提供了配置选项，您可以修改查看这些值所依据的键。

您可以使用 Amazon Managed Grafana 控制台将以下 SAML 断言属性映射到 Amazon Managed Grafana 中的值：

连接到身份提供者

以下外部身份提供者已通过 Amazon Managed Grafana 进行测试，并直接在其应用程序目录或库中提供应用程序，以帮助您使用 SAML 配置 Amazon Managed Grafana。