在您的亚马逊托管 Grafana 工作空间中使用 SAML - Amazon Managed Grafana

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在您的亚马逊托管 Grafana 工作空间中使用 SAML

注意

Amazon Managed Grafana 目前不支持 IdP 启动的工作空间登录。您应将 SAML 应用程序设置为空白 “中继状态”。

您可以使用 SAML 身份验证使用现有的身份提供商,并提供单点登录以登录亚马逊托管 Grafana 工作空间的 Grafana 控制台。Amazon Managed Grafana 的 SAML 身份验证允许您使用第三方身份提供商登录、管理访问控制、搜索数据和构建可视化效果,而不是通过 IAM 进行身份验证。Amazon Managed Grafana 支持使用 SAML 2.0 标准并已与 Azure AD CyberArk、Okta 和 Ping Ident OneLogin ity 构建和测试集成应用程序的身份提供商。

有关如何在创建工作区期间设置 SAML 身份验证的详细信息,请参阅创建工作空间

在 SAML 身份验证流程中,Amazon Managed Grafana 工作空间充当服务提供商 (SP),并与 IdP 交互以获取用户信息。有关 SAML 的更多信息,请参阅安全断言标记语言。

您可以将 IdP 中的群组映射到 Amazon Managed Grafana 工作空间中的团队,并对这些团队设置精细的访问权限。您还可以将 IdP 中定义的组织角色映射到 Amazon Managed Grafana 工作空间中的角色。例如,如果您在 IdP 中定义了开发者角色,则可以将该角色映射到亚马逊托管 Grafana 工作区中的 Grafana 管理员角色

注意

当您创建使用 IdP 和 SAML 进行授权的 Amazon Managed Grafana 工作空间时,您必须登录已附加策略的 IAM 委托人。AWSGrafanaAccountAdministrator

要登录亚马逊托管 Grafana 工作区,用户需要访问该工作区的 Grafana 控制台主页,然后选择使用 SAML 登录。工作空间读取 SAML 配置并将用户重定向到 IdP 进行身份验证。用户在 IdP 门户中输入其登录凭证,如果他们是有效用户,则身份提供商会发出 SAML 断言并将用户重定向回 Amazon Managed Grafana 工作空间。Amazon Managed Grafana 会验证 SAML 断言是否有效,并且用户已登录并可以使用工作空间。

亚马逊 Managed Grafana 支持以下 SAML 2.0 绑定:

  • 从服务提供商 (SP) 到身份提供商 (IdP):

    • HTTP-POST 绑定

    • HTTP 重定向绑定

  • 从身份提供商 (IdP) 到服务提供商 (SP):

    • HTTP-POST 绑定

Amazon Managed Grafana 支持签名和加密断言,但不支持已签名或加密的请求。

Amazon Managed Grafana 支持 SP 发起的请求,不支持 IDP 发起的请求。

断言映射

在 SAML 身份验证流程中,Amazon Managed Grafana 会收到断言消费者服务 (ACS) 回调。回调包含正在进行身份验证的用户的所有相关信息,这些信息嵌入在 SAML 响应中。Amazon Managed Grafana 解析响应以在其内部数据库中创建(或更新)用户。

当 Amazon Managed Grafana 映射用户信息时,它会查看断言中的各个属性。你可以将这些属性视为键值对,尽管它们包含的信息不止于此。

Amazon Managed Grafana 提供了配置选项,因此您可以修改要查看哪些密钥以获取这些值。

您可以使用亚马逊托管 Grafana 控制台将以下 SAML 断言属性映射到亚马逊托管 Grafana 中的值:

  • 对于断言属性角色,请在 SAML 断言中指定要用作用户角色的属性的名称。

  • 断言属性名称中,指定 SAML 断言中要用于用户完整 “友好” 名称的 SAML 用户的属性名称。

  • 对于断言属性登录,请在 SAML 断言中指定要用作 SAML 用户的用户登录名的属性的名称。

  • 对于断言属性电子邮件,在 SAML 断言中指定要用于 SAML 用户的用户电子邮件名称的属性的名称。

  • 对于断言属性组织,在 SAML 断言中指定要用作用户组织的 “友好” 名称的属性的名称。

  • 对于断言属性组,在 SAML 断言中指定要用作用户组的 “友好” 名称的属性的名称。

  • 对于允许的组织,您可以将用户访问权限限制为仅限身为 IdP 中某些组织成员的用户。

  • 对于编辑角色值,请指定来自您的 IdP 的用户角色,他们都应在 Amazon Managed Grafana 工作区中获得该Editor角色。

连接到您的身份提供商

以下外部身份提供商已经过亚马逊托管 Grafana 的测试,可直接在其应用程序目录或库中提供应用程序,以帮助您使用 SAML 配置亚马逊托管 Grafana。