Amazon Managed Grafana ワークスペースでの SAML の使用 - Amazon Managed Grafana
アサーションマッピングID プロバイダーへの接続

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana ワークスペースでの SAML の使用

注記

Amazon Managed Grafana は現在、ワークスペースの IdP 開始ログインをサポートしていません。SAML アプリケーションには、空白のリレーステートを設定する必要があります。

SAML 認証のサポートにより、既存の ID プロバイダーを使用して、Amazon Managed Grafana ワークスペースの Grafana コンソールにログインするためのシングルサインオンを提供できます。Amazon Managed Grafana の SAML 認証では、IAM による認証ではなく、サードパーティーの ID プロバイダーを使用してログイン、アクセスコントロールの管理、データの検索、可視化の構築を行うことができます。Amazon Managed Grafana は、SAML 2.0 標準を使用する ID プロバイダーをサポートしており、Azure AD、、Okta OneLogin、Ping Identity CyberArkとの統合アプリケーションを構築およびテストしています。

SAML 認証フローでは、Amazon Managed Grafana ワークスペースがサービスプロバイダー (SP) として機能し、IdP とやり取りしてユーザー情報を取得します。SAML の詳細については、「Security Assertion Markup Language」を参照してください。

IdP のグループを Amazon Managed Grafana ワークスペースのチームにマッピングし、それらのチームにきめ細かなアクセス許可を設定できます。IdP で定義されている組織ロールを Amazon Managed Grafana ワークスペースのロールにマッピングすることもできます。例えば、IdP で定義されたデベロッパーロールがある場合、そのロールを Amazon Managed Grafana ワークスペースの Grafana 管理者ロールにマッピングできます。

Amazon Managed Grafana ワークスペースにサインインするには、ユーザーはワークスペースの Grafana コンソールのホームページにアクセスし、SAML を使用してログインを選択します。ワークスペースは SAML 設定を読み取り、認証のためにユーザーを IdP にリダイレクトします。ユーザーは IdP ポータルにサインイン認証情報を入力し、有効なユーザーである場合、IdP は SAML アサーションを発行し、ユーザーを Amazon Managed Grafana ワークスペースにリダイレクトします。Amazon Managed Grafana は、SAML アサーションが有効であり、ユーザーがサインインしてワークスペースを使用できることを確認します。

Amazon Managed Grafana では、次の SAML 2.0 バインディングがサポートされています。

  • サービスプロバイダー (SP) から ID プロバイダー (IdP ) へ:

    • HTTP-POST バインディング

    • HTTP リダイレクトバインディング

  • ID プロバイダー (IdP ) からサービスプロバイダー (SP) へ:

    • HTTP-POST バインディング

Amazon Managed Grafana は、署名付きおよび暗号化されたアサーションをサポートしますが、署名付きまたは暗号化されたリクエストはサポートしません。

Amazon Managed Grafana は SP 開始リクエストをサポートしており、IdP 開始リクエストはサポートしていません。

アサーションマッピング

SAML 認証フロー中に、Amazon Managed Grafana はアサーションコンシューマーサービス (ACS) コールバックを受け取ります。コールバックには、SAML レスポンスに埋め込まれ、認証されるユーザーに関するすべての関連情報が含まれます。Amazon Managed Grafana はレスポンスを解析して、内部データベース内でユーザーを作成 (または更新) します。

Amazon Managed Grafana がユーザー情報をマッピングすると、アサーション内の個々の属性を調べます。これらの属性はキーと値のペアと考えることができますが、それよりも多くの情報が含まれています。

Amazon Managed Grafana には設定オプションが用意されているため、これらの値を確認するキーを変更できます。

Amazon Managed Grafana コンソールを使用して、次の SAML アサーション属性を Amazon Managed Grafana の値にマッピングできます。

  • アサーション属性ロール には、ユーザーロールとして使用する SAML アサーション内の属性の名前を指定します。

  • アサーション属性名 には、SAML ユーザーのユーザー完全な「わかりやすい」名前に使用する SAML アサーション内の属性の名前を指定します。

  • アサーション属性ログイン で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。

  • アサーション属性 E メール で、SAML ユーザーのユーザー E メール名に使用する SAML アサーション内の属性の名前を指定します。

  • アサーション属性組織 で、ユーザー組織の「フレンドリ」名に使用する SAML アサーション内の属性の名前を指定します。

  • アサーション属性グループ で、ユーザーグループの「フレンドリ」名に使用する SAML アサーション内の属性の名前を指定します。

  • 許可された組織 の場合、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。

  • エディタロール値 には、IdP のユーザーロールを指定します。Amazon Managed Grafana ワークスペースでEditorロールをすべて付与する必要があります。

SAML を使用するワークスペースを作成するために必要な IAM アクセス許可

認証に IdP と SAML を使用する Amazon Managed Grafana ワークスペースを作成する場合は、 AWSGrafanaAccountAdministratorポリシーがアタッチされている IAM プリンシパルにサインオンする必要があります。

ID プロバイダーへの接続

以下の外部 ID プロバイダーは、Amazon Managed Grafana でテストされ、アプリケーションディレクトリまたはコンソールでアプリケーションを直接提供し、SAML で Amazon Managed Grafana を設定するのに役立ちます。

トピック