Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Gunakan SAMP dengan ruang kerja Grafana yang Dikelola Amazon
catatan
Grafana yang Dikelola Amazon saat ini tidak mendukung login yang dimulai IDP untuk ruang kerja. Anda harus mengatur aplikasi SAMP Anda dengan Status Relay kosong.
Anda dapat menggunakan otentikasi SAMP untuk menggunakan penyedia identitas yang ada dan menawarkan sistem masuk tunggal untuk masuk ke konsol Grafana di ruang kerja Grafana Amazon Managed Grafana Anda. Alih-alih mengautentikasi melalui IAM, autentikasi SAMP untuk Grafana Terkelola Amazon memungkinkan Anda menggunakan penyedia identitas pihak ketiga untuk masuk, mengelola kontrol akses, mencari data, dan membangun visualisasi. Grafana yang Dikelola Amazon mendukung penyedia identitas yang menggunakan standar SAMP 2.0 dan telah membangun serta menguji aplikasi integrasi dengan Azure AD, Okta CyberArk, OneLogin dan Ping Identity.
Untuk detail tentang cara mengatur otentikasi SAMP selama pembuatan ruang kerja, lihat. Membuat ruang kerja
Dalam alur otentikasi SAMP, ruang kerja Grafana yang Dikelola Amazon bertindak sebagai penyedia layanan (SP), dan berinteraksi dengan IDP untuk mendapatkan informasi pengguna. Untuk informasi selengkapnya tentang SAMP, lihat Bahasa Markup Pernyataan Keamanan
Anda dapat memetakan grup di IDP ke tim di ruang kerja Grafana Terkelola Amazon, dan menetapkan izin akses berbutir halus di tim tersebut. Anda juga dapat memetakan peran organisasi yang ditentukan di iDP ke peran di ruang kerja Grafana Terkelola Amazon. Misalnya, jika Anda memiliki peran Developer yang ditentukan di IDP, Anda dapat memetakan peran tersebut ke peran Admin Grafana di ruang kerja Grafana yang Dikelola Amazon.
catatan
Saat membuat ruang kerja Grafana Terkelola Amazon yang menggunakan IDP dan SAMP untuk otorisasi, Anda harus masuk ke prinsipal IAM yang memiliki kebijakan terlampir. AWSGrafanaAccountAdministrator
Untuk masuk ke ruang kerja Grafana Terkelola Amazon, pengguna mengunjungi halaman beranda konsol Grafana ruang kerja dan memilih Masuk menggunakan SAMP. Ruang kerja membaca konfigurasi SAMP dan mengarahkan pengguna ke iDP untuk otentikasi. Pengguna memasukkan kredenal masuk mereka di portal iDP, dan jika mereka adalah pengguna yang valid, iDP mengeluarkan pernyataan SAMP dan mengarahkan pengguna kembali ke ruang kerja Grafana yang Dikelola Amazon. Grafana Terkelola Amazon memverifikasi bahwa pernyataan SAMP valid, dan pengguna masuk dan dapat menggunakan ruang kerja.
Grafana yang Dikelola Amazon mendukung binding SAMP 2.0 berikut:
-
Dari penyedia layanan (SP) ke penyedia identitas (iDP):
-
Pengikatan HTTP-POST
-
Pengikatan HTTP-redirect
-
-
Dari penyedia identitas (iDP) ke penyedia layanan (SP):
-
Pengikatan HTTP-POST
-
Grafana yang Dikelola Amazon mendukung pernyataan yang ditandatangani dan dienkripsi, tetapi tidak mendukung permintaan yang ditandatangani atau dienkripsi.
Grafana Terkelola Amazon mendukung permintaan yang diprakarsai SP, dan tidak mendukung permintaan yang diprakarsai IDP.
Pemetaan pernyataan
Selama alur otentikasi SAMP, Amazon Managed Grafana menerima callback assertion consumer service (ACS). Callback berisi semua informasi yang relevan untuk pengguna yang diautentikasi, disematkan dalam respons SAMP. Grafana yang Dikelola Amazon mem-parsing respons untuk membuat (atau memperbarui) pengguna dalam database internalnya.
Saat Amazon Managed Grafana memetakan informasi pengguna, ia akan melihat atribut individual dalam pernyataan. Anda dapat menganggap atribut ini sebagai pasangan nilai kunci, meskipun mengandung lebih banyak informasi dari itu.
Grafana yang Dikelola Amazon menyediakan opsi konfigurasi sehingga Anda dapat memodifikasi kunci mana yang akan dilihat untuk nilai-nilai ini.
Anda dapat menggunakan konsol Grafana Terkelola Amazon untuk memetakan atribut pernyataan SAMP berikut ke nilai di Grafana Terkelola Amazon:
-
Untuk peran atribut Assertion, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan sebagai peran pengguna.
-
Untuk nama atribut Assertion, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama “ramah” lengkap pengguna untuk pengguna SAMP.
-
Untuk login atribut Assertion, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama login pengguna untuk pengguna SAMP.
-
Untuk email atribut Assertion, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama email pengguna untuk pengguna SAMP.
-
Untuk organisasi atribut Assertion, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama “ramah” untuk organisasi pengguna.
-
Untuk grup atribut Assertion, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama “ramah” untuk grup pengguna.
-
Untuk organisasi yang Diizinkan, Anda dapat membatasi akses pengguna hanya ke pengguna yang merupakan anggota organisasi tertentu di IDP.
-
Untuk nilai peran Editor, tentukan peran pengguna dari IDP Anda yang semuanya harus diberikan
Editor
peran di ruang kerja Grafana Terkelola Amazon.
Menghubungkan ke penyedia identitas Anda
Penyedia identitas eksternal berikut telah diuji dengan Grafana Terkelola Amazon dan menyediakan aplikasi langsung di direktori aplikasi atau galeri mereka untuk membantu Anda mengonfigurasi Grafana Terkelola Amazon dengan SAMP.
Topik
- Konfigurasikan Grafana Terkelola Amazon untuk menggunakan Azure AD
- Konfigurasikan Grafana Terkelola Amazon untuk digunakan CyberArk
- Konfigurasikan Grafana Terkelola Amazon untuk menggunakan Okta
- Konfigurasikan Grafana Terkelola Amazon untuk digunakan OneLogin
- Konfigurasikan Grafana Terkelola Amazon untuk menggunakan Identitas Ping