搭配 Amazon Managed Grafana 工作區使用 SAML - Amazon Managed Grafana

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配 Amazon Managed Grafana 工作區使用 SAML

注意

Amazon Managed Grafana 目前不支援工作區的 IdP 起始登入。您應該將 SAML 應用程式設定為空白轉送狀態。

您可以使用 SAML 身分驗證來使用現有的身分提供者,並提供單一登入來登入 Amazon Managed Grafana 工作區的 Grafana 主控台。Amazon Managed Grafana 的 SAML 身分驗證不是透過 IAM 驗證,而是可讓您使用第三方身分提供者登入、管理存取控制、搜尋資料,以及建置視覺化效果。Amazon Managed Grafana 支援使用 SAML 2.0 標準的身分提供者,並已使用 Azure AD、CyberArk、Okta、OneLogin 和 Ping Identity 建置和測試整合應用程式。

如需如何在工作區建立期間設定 SAML 身分驗證的詳細資訊,請參閱 建立工作區

在 SAML 身分驗證流程中,Amazon Managed Grafana 工作區充當服務提供者 (SP),並與 IdP 互動以取得使用者資訊。如需 SAML 的詳細資訊,請參閱安全聲明標記語言

您可以將 IdP 中的群組映射至 Amazon Managed Grafana 工作區中的團隊,並設定這些團隊的精細存取許可。您也可以將 IdP 中定義的組織角色映射至 Amazon Managed Grafana 工作區中的角色。例如,如果您在 IdP 中定義了開發人員角色,您可以將該角色映射到 Amazon Managed Grafana 工作區中的 Grafana Admin 角色。

注意

當您建立使用 IdP 和 SAML 進行授權的 Amazon Managed Grafana 工作區時,您必須登入已連接 AWSGrafanaAccountAdministrator 政策的 IAM 主體。

若要登入 Amazon Managed Grafana 工作區,使用者會造訪工作區的 Grafana 主控台首頁,並選擇使用 SAML 登入。工作區會讀取 SAML 組態,並將使用者重新導向至 IdP 以進行身分驗證。使用者在 IdP 入口網站中輸入其登入憑證,如果他們是有效的使用者,IdP 會發出 SAML 聲明,並將使用者重新導向回 Amazon Managed Grafana 工作區。Amazon Managed Grafana 會驗證 SAML 聲明是否有效,且使用者已登入且可以使用工作區。

Amazon Managed Grafana 支援下列 SAML 2.0 繫結:

  • 從服務提供者 (SP) 到身分提供者 (IdP):

    • HTTP-POST 繫結

    • HTTP-Redirect 繫結

  • 從身分提供者 (IdP) 到服務提供者 (SP):

    • HTTP-POST 繫結

Amazon Managed Grafana 支援已簽署和加密的聲明,但不支援已簽署或加密的請求。

Amazon Managed Grafana 支援 SP 啟動的請求,且不支援 IdP 啟動的請求。

宣告映射

在 SAML 身分驗證流程中,Amazon Managed Grafana 會收到聲明消費者服務 (ACS) 回呼。回呼包含正在驗證之使用者的所有相關資訊,內嵌於 SAML 回應中。Amazon Managed Grafana 會剖析回應,以在內部資料庫中建立 (或更新) 使用者。

當 Amazon Managed Grafana 映射使用者資訊時,它會查看聲明中的個別屬性。您可以將這些屬性視為鍵值對,但它們包含比這還多的資訊。

Amazon Managed Grafana 提供組態選項,讓您可以修改要查看哪些索引鍵來尋找這些值。

您可以使用 Amazon Managed Grafana 主控台,將下列 SAML 聲明屬性對應至 Amazon Managed Grafana 中的值:

  • 對於 Assertion 屬性角色,請在 SAML 聲明中指定屬性的名稱,以用作使用者角色。

  • 對於 Assertion 屬性名稱,請在 SAML 聲明中指定屬性的名稱,以用於 SAML 使用者的完整「易用」名稱。

  • 針對 Assertion 屬性登入,請在 SAML 聲明中指定屬性的名稱,以用於 SAML 使用者的使用者登入名稱。

  • 對於 Assertion 屬性電子郵件,請在 SAML 聲明中指定屬性的名稱,以用於 SAML 使用者的使用者電子郵件名稱。

  • 對於 Assertion 屬性組織,請在 SAML 聲明中指定屬性的名稱,以用於使用者組織的「易用」名稱。

  • 對於 Assertion 屬性群組,請在 SAML 聲明中指定屬性的名稱,以用於使用者群組的「易記」名稱。

  • 對於允許的組織,您只能將使用者存取權限制為 IdP 中特定組織的成員。

  • 對於編輯器角色值,請指定 IdP 中的使用者Editor角色,這些角色應該在 Amazon Managed Grafana 工作區中授予角色。

連線至您的身分提供者

下列外部身分提供者已使用 Amazon Managed Grafana 進行測試,並直接在其應用程式目錄或程式庫中提供應用程式,以協助您使用 SAML 設定 Amazon Managed Grafana。