Verwenden Sie SAML mit Ihrem Amazon Managed Grafana-Workspace

Anmerkung

Amazon Managed Grafana unterstützt derzeit keine von IdP initiierte Anmeldung für Workspaces. Sie sollten Ihre SAML-Anwendungen mit einem leeren Relay-Status einrichten.

Sie können die SAML-Authentifizierung verwenden, um Ihren vorhandenen Identitätsanbieter zu verwenden, und Single Sign-On für die Anmeldung an der Grafana-Konsole Ihrer Amazon Managed Grafana-Workspaces anbieten. Anstatt sich über IAM zu authentifizieren, können Sie mit der SAML-Authentifizierung für Amazon Managed Grafana externe Identitätsanbieter verwenden, um sich anzumelden, die Zugriffskontrolle zu verwalten, Ihre Daten zu durchsuchen und Visualisierungen zu erstellen. Amazon Managed Grafana unterstützt Identitätsanbieter, die den SAML 2.0-Standard verwenden und Integrationsanwendungen mit Azure AD CyberArk, Okta und Ping Identity entwickelt und getestet haben. OneLogin

Einzelheiten zur Einrichtung der SAML-Authentifizierung bei der Workspace-Erstellung finden Sie unter. Einen Workspace erstellen

Im SAML-Authentifizierungsablauf fungiert ein Amazon Managed Grafana-Workspace als Service Provider (SP) und interagiert mit dem IdP, um Benutzerinformationen abzurufen. Weitere Informationen zu SAML finden Sie unter Security Assertion Markup Language.

Sie können Gruppen in Ihrem IdP Teams im Amazon Managed Grafana-Arbeitsbereich zuordnen und detaillierte Zugriffsberechtigungen für diese Teams festlegen. Sie können auch Organisationsrollen, die im IdP definiert sind, Rollen im Amazon Managed Grafana-Arbeitsbereich zuordnen. Wenn Sie beispielsweise eine Entwicklerrolle im IdP definiert haben, können Sie diese Rolle der Grafana-Administratorrolle im Amazon Managed Grafana-Arbeitsbereich zuordnen.

Anmerkung

Wenn Sie einen Amazon Managed Grafana-Workspace erstellen, der einen IdP und SAML für die Autorisierung verwendet, müssen Sie bei einem IAM-Prinzipal angemeldet sein, dem die Richtlinie angehängt ist. AWSGrafanaAccountAdministrator

Um sich im Amazon Managed Grafana-Workspace anzumelden, besucht ein Benutzer die Startseite der Grafana-Konsole des Workspace und wählt Mit SAML anmelden aus. Der Workspace liest die SAML-Konfiguration und leitet den Benutzer zur Authentifizierung an den IdP weiter. Der Benutzer gibt seine Anmeldeinformationen im IdP-Portal ein. Wenn er ein gültiger Benutzer ist, gibt der IdP eine SAML-Assertion aus und leitet den Benutzer zurück zum Amazon Managed Grafana-Arbeitsbereich. Amazon Managed Grafana überprüft, ob die SAML-Assertion gültig ist und der Benutzer angemeldet ist und den Workspace verwenden kann.

Amazon Managed Grafana unterstützt die folgenden SAML 2.0-Bindungen:

• Vom Service Provider (SP) zum Identity Provider (IdP):

  • HTTP-POST-Bindung

  • HTTP-Umleitungsbindung

• Vom Identity Provider (IdP) zum Service Provider (SP):

  • HTTP-POST-Bindung

Amazon Managed Grafana unterstützt signierte und verschlüsselte Assertionen, unterstützt jedoch keine signierten oder verschlüsselten Anfragen.

Amazon Managed Grafana unterstützt SP-initiierte Anfragen und keine IdP-initiierten Anfragen.

Zuordnung von Assertionen

Während des SAML-Authentifizierungsvorgangs erhält Amazon Managed Grafana den Rückruf des Assertion Consumer Service (ACS). Der Rückruf enthält alle relevanten Informationen für den zu authentifizierenden Benutzer, eingebettet in die SAML-Antwort. Amazon Managed Grafana analysiert die Antwort, um den Benutzer in seiner internen Datenbank zu erstellen (oder zu aktualisieren).

Wenn Amazon Managed Grafana die Benutzerinformationen zuordnet, werden die einzelnen Attribute innerhalb der Assertion betrachtet. Sie können sich diese Attribute als Schlüssel-Wert-Paare vorstellen, obwohl sie mehr Informationen enthalten.

Amazon Managed Grafana bietet Konfigurationsoptionen, mit denen Sie ändern können, welche Schlüssel für diese Werte berücksichtigt werden sollen.

Sie können die Amazon Managed Grafana-Konsole verwenden, um die folgenden SAML-Assertion-Attribute Werten in Amazon Managed Grafana zuzuordnen:

• Geben Sie für die Rolle des Assertion-Attributs den Namen des Attributs innerhalb der SAML-Assertion an, das als Benutzerrollen verwendet werden soll.

• Geben Sie unter Name des Assertion-Attributs den Namen des Attributs innerhalb der SAML-Assertion an, das für den Benutzer verwendet werden soll. Vollständige „benutzerfreundliche“ Namen für SAML-Benutzer.

• Geben Sie für die Anmeldung mit dem Assertion-Attribut den Namen des Attributs innerhalb der SAML-Assertion an, das für die Benutzeranmeldenamen für SAML-Benutzer verwendet werden soll.

• Geben Sie für E-Mail mit Assertion-Attributen den Namen des Attributs innerhalb der SAML-Assertion an, das für die Benutzer-E-Mail-Namen für SAML-Benutzer verwendet werden soll.

• Geben Sie unter Organisation des Assertion-Attributs den Namen des Attributs innerhalb der SAML-Assertion an, das als „benutzerfreundlicher“ Name für Benutzerorganisationen verwendet werden soll.

• Geben Sie für Assertion-Attributgruppen den Namen des Attributs innerhalb der SAML-Assertion an, das als „benutzerfreundlicher“ Name für Benutzergruppen verwendet werden soll.

• Für zugelassene Organisationen können Sie den Benutzerzugriff auf Benutzer beschränken, die Mitglieder bestimmter Organisationen im IdP sind.

• Geben Sie für Editor-Rollenwerte die Benutzerrollen Ihres IdP an, denen alle die Editor Rolle im Amazon Managed Grafana-Workspace zugewiesen werden sollen.

Verbindung zu Ihrem Identitätsanbieter herstellen

Die folgenden externen Identitätsanbieter wurden mit Amazon Managed Grafana getestet und stellen Anwendungen direkt in ihren App-Verzeichnissen oder Galerien bereit, um Sie bei der Konfiguration von Amazon Managed Grafana mit SAML zu unterstützen.

Themen

• Amazon Managed Grafana für die Verwendung von Azure AD konfigurieren
• Konfigurieren Sie Amazon Managed Grafana für die Verwendung CyberArk
• Amazon Managed Grafana für die Verwendung von Okta konfigurieren
• Konfigurieren Sie Amazon Managed Grafana für die Verwendung OneLogin
• Amazon Managed Grafana für die Verwendung von Ping Identity konfigurieren