搭配 Amazon Managed Grafana 工作區使用 SAML

您可以使用 SAML 身分驗證來使用現有的身分提供者，並提供單一登入來登入 Amazon Managed Grafana 工作區的 Grafana 主控台。Amazon Managed Grafana 的 SAML 身分驗證不是透過 IAM 驗證，而是可讓您使用第三方身分提供者登入、管理存取控制、搜尋資料，以及建置視覺化效果。Amazon Managed Grafana 支援使用 SAML 2.0 標準的身分提供者，並已使用 Azure AD、CyberArk、Okta、OneLogin 和 Ping Identity 建置和測試整合應用程式。

如需如何在工作區建立期間設定 SAML 身分驗證的詳細資訊，請參閱 建立工作區。

在 SAML 身分驗證流程中，Amazon Managed Grafana 工作區充當服務提供者 (SP)，並與 IdP 互動以取得使用者資訊。如需 SAML 的詳細資訊，請參閱安全聲明標記語言。

您可以將 IdP 中的群組映射至 Amazon Managed Grafana 工作區中的團隊，並設定這些團隊的精細存取許可。您也可以將 IdP 中定義的組織角色映射至 Amazon Managed Grafana 工作區中的角色。例如，如果您在 IdP 中定義了開發人員角色，您可以將該角色映射到 Amazon Managed Grafana 工作區中的 Grafana Admin 角色。

若要登入 Amazon Managed Grafana 工作區，使用者會造訪工作區的 Grafana 主控台首頁，並選擇使用 SAML 登入。工作區會讀取 SAML 組態，並將使用者重新導向至 IdP 以進行身分驗證。使用者在 IdP 入口網站中輸入其登入憑證，如果他們是有效的使用者，IdP 會發出 SAML 聲明，並將使用者重新導向回 Amazon Managed Grafana 工作區。Amazon Managed Grafana 會驗證 SAML 聲明是否有效，且使用者已登入且可以使用工作區。

Amazon Managed Grafana 支援下列 SAML 2.0 繫結：

Amazon Managed Grafana 支援已簽署和加密的聲明，但不支援已簽署或加密的請求。

Amazon Managed Grafana 支援 SP 啟動的請求，且不支援 IdP 啟動的請求。

宣告映射

在 SAML 身分驗證流程中，Amazon Managed Grafana 會收到聲明消費者服務 (ACS) 回呼。回呼包含正在驗證之使用者的所有相關資訊，內嵌於 SAML 回應中。Amazon Managed Grafana 會剖析回應，以在內部資料庫中建立 （或更新） 使用者。

當 Amazon Managed Grafana 映射使用者資訊時，它會查看聲明中的個別屬性。您可以將這些屬性視為鍵值對，但它們包含比這還多的資訊。

Amazon Managed Grafana 提供組態選項，讓您可以修改要查看哪些索引鍵來尋找這些值。

您可以使用 Amazon Managed Grafana 主控台，將下列 SAML 聲明屬性對應至 Amazon Managed Grafana 中的值：

連線至您的身分提供者

下列外部身分提供者已使用 Amazon Managed Grafana 進行測試，並直接在其應用程式目錄或程式庫中提供應用程式，以協助您使用 SAML 設定 Amazon Managed Grafana。