將 SAML 與您的 Amazon 受管 Grafana 工作區搭配使用 - Amazon Managed Grafana

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 SAML 與您的 Amazon 受管 Grafana 工作區搭配使用

注意

Amazon 受管的 Grafana 目前不支援 IdP 針對工作區啟動的登入。您應該將 SAML 應用程式設定為空白的「轉送狀態」。

您可以使用 SAML 身分驗證來使用現有的身分供應商,並提供單一登入,以便登入 Amazon 受管 Grafana 工作區的 Grafana 主控台。Amazon Managed Grafana 的 SAML 身份驗證不是透過 IAM 進行驗證,可讓您使用第三方身分識別供應商登入、管理存取控制、搜尋資料以及建立視覺效果。Amazon 受管的 Grafana 支援使用 SAML 2.0 標準的身分識別提供者,並已建置和測試整合應用程式與 Azure AD CyberArk、Okta 和 Ping 身分識別。 OneLogin

如需有關如何在建立工作區期間設定 SAML 驗證的詳細資訊,請參閱建立工作區

在 SAML 身份驗證流程中,Amazon 受管的 Grafana 工作區充當服務提供者 (SP),並與 IdP 互動以取得使用者資訊。如需有關 SAML 的詳細資訊,請參閱安全性宣告標記語言

您可以將 IdP 中的群組對應至 Amazon Managed Grafana 工作區中的團隊,並在這些團隊上設定精細的存取權限。您也可以將 IdP 中定義的組織角色對應至 Amazon 受管 Grafana 工作區中的角色。例如,如果您在 IdP 中定義了開發人員角色,則可以將該角色對應至 Amazon 受管 Grafana 工作區中的 Grafana 管理員角色。

注意

當您建立使用 IdP 和 SAML 進行授權的 Amazon 受管 Grafana 工作區時,您必須登入已附加政策的 IAM 主體。AWSGrafanaAccountAdministrator

若要登入 Amazon 受管的 Grafana 工作區,使用者會造訪工作區的 Grafana 主控台首頁,並選擇使用 SAML 登入。工作區會讀取 SAML 組態,並將使用者重新導向至 IdP 以進行驗證。使用者在 IdP 入口網站中輸入其登入認證,如果他們是有效的使用者,IdP 會發出 SAML 宣告,並將使用者重新導向回 Amazon 受管的 Grafana 工作區。Amazon 受管的 Grafana 會驗證 SAML 宣告是否有效,而且使用者已登入且可以使用工作區。

Amazon 受管 Grafana 支援下列 SAML 2.0 繫結:

  • 從服務提供者 (SP) 到身分識別提供者 (IdP):

    • HTTP-後綁定

    • HTTP 重定向綁定

  • 從身分識別提供者 (IdP) 到服務提供者 (SP):

    • HTTP-後綁定

Amazon 受管的 Grafana 支援已簽署和加密的宣告,但不支援已簽署或加密的請求。

Amazon 受管 Grafana 支援 SP 發起的請求,且不支援 IDP 發起的請求。

宣告映射

在 SAML 身分驗證流程期間,Amazon 受管的 Grafana 會收到宣告消費者服務 (ACS) 回呼。回呼包含正在驗證之使用者的所有相關資訊,內嵌在 SAML 回應中。Amazon 受管的 Grafana 會剖析在其內部資料庫中建立 (或更新) 使用者的回應。

當 Amazon 受管 Grafana 對應使用者資訊時,它會查看宣告中的個別屬性。您可以將這些屬性視為鍵值對,儘管它們包含的信息比這更多。

Amazon 受管的 Grafana 提供組態選項,讓您可以修改要查看這些值的金鑰。

您可以使用 Amazon 受管的 Grafana 主控台,將下列 SAML 宣告屬性對應至 Amazon 受管 Grafana 中的值:

  • 對於宣告屬性角色,請在 SAML 宣告中指定要用作使用者角色的屬性名稱。

  • 對於宣告屬性名稱,請在 SAML 宣告中指定要用於 SAML 使用者完整「易記」名稱的屬性名稱。

  • 對於宣告屬性登入,請在 SAML 宣告中指定屬性的名稱,以用於 SAML 使用者的使用者登入名稱。

  • 對於宣告屬性電子郵件,請在 SAML 宣告中指定要用於 SAML 使用者的使用者電子郵件名稱的屬性名稱。

  • 對於宣告屬性組織,請在 SAML 宣告中指定要用於使用者組織「易記」名稱的屬性名稱。

  • 對於宣告屬性群組,請在 SAML 宣告中指定要用於使用者群組「易記」名稱的屬性名稱。

  • 對於「允許的組織」,您可以將使用者存取限制為只有身為 IdP 中某些組織成員的使用者。

  • 對於編輯者角色值,請指定 IdP 中的使用者角色,這些使用者角色都應該被授與 Amazon 受管 Grafana 工Editor作區中的角色。

連線至您的身分提供者

下列外部身分識別供應商已通過 Amazon Managed Grafana 測試,並直接在其應用程式目錄或圖庫中提供應用程式,以協助您使用 SAML 設定 Amazon 受管 Grafana。