Usando o SAML com seu espaço de trabalho Amazon Managed Grafana - Amazon Managed Grafana

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando o SAML com seu espaço de trabalho Amazon Managed Grafana

nota

Atualmente, o Amazon Managed Grafana não oferece suporte ao login iniciado pelo IdP para espaços de trabalho. Você deve configurar seus aplicativos SAML com um estado de retransmissão em branco.

O suporte à autenticação SAML permite que você use seu provedor de identidade existente para oferecer login único para fazer login no console Grafana de seus espaços de trabalho do Amazon Managed Grafana. Em vez de se autenticar por meio do IAM, a autenticação SAML para Amazon Managed Grafana permite que você use provedores de identidade terceirizados para fazer login, gerenciar o controle de acesso, pesquisar seus dados e criar visualizações. O Amazon Managed Grafana oferece suporte a provedores de identidade que usam o padrão SAML 2.0 e criaram e testaram aplicativos de integração com Azure AD CyberArk, Okta e Ping Identity. OneLogin

No fluxo de autenticação SAML, um espaço de trabalho Amazon Managed Grafana atua como provedor de serviços (SP) e interage com o IdP para obter informações do usuário. Para obter mais informações sobre SAML, consulte Security Assertion Markup Language.

Você pode mapear grupos em seu IdP para equipes no espaço de trabalho Amazon Managed Grafana e definir permissões de acesso refinadas para essas equipes. Você também pode mapear funções organizacionais definidas no IdP para funções no espaço de trabalho Amazon Managed Grafana. Por exemplo, se você tiver uma função de Desenvolvedor definida no IdP, você pode mapear essa função para a função de administrador do Grafana no espaço de trabalho do Amazon Managed Grafana.

Para entrar no espaço de trabalho Amazon Managed Grafana, um usuário visita a página inicial do console Grafana do espaço de trabalho e escolhe Fazer login usando SAML. O espaço de trabalho lê a configuração do SAML e redireciona o usuário para o IdP para autenticação. O usuário insere suas credenciais de login no portal do IdP e, se for um usuário válido, o IdP emite uma declaração de SAML e redireciona o usuário de volta ao espaço de trabalho Amazon Managed Grafana. O Amazon Managed Grafana verifica se a declaração do SAML é válida e se o usuário está conectado e pode usar o espaço de trabalho.

O Amazon Managed Grafana é compatível com as seguintes vinculações do SAML 2.0:

  • Do provedor de serviços (SP) ao provedor de identidade (IdP):

    • Vinculação HTTP-POST

    • Vinculação de redirecionamento HTTP

  • Do provedor de identidade (IdP) ao provedor de serviços (SP):

    • Vinculação HTTP-POST

O Amazon Managed Grafana oferece suporte a afirmações assinadas e criptografadas, mas não oferece suporte a solicitações assinadas ou criptografadas.

O Amazon Managed Grafana oferece suporte a solicitações iniciadas pelo SP e não oferece suporte a solicitações iniciadas pelo IDP.

Mapeamento de asserções

Durante o fluxo de autenticação SAML, o Amazon Managed Grafana recebe o retorno de chamada do assertion consumer service (ACS). O retorno de chamada contém todas as informações relevantes para o usuário que está sendo autenticado, incorporadas na resposta do SAML. O Amazon Managed Grafana analisa a resposta para criar (ou atualizar) o usuário em seu banco de dados interno.

Quando o Amazon Managed Grafana mapeia as informações do usuário, ele analisa os atributos individuais dentro da afirmação. Você pode pensar nesses atributos como pares de valores-chave, embora eles contenham mais informações do que isso.

O Amazon Managed Grafana fornece opções de configuração para que você possa modificar as chaves a serem examinadas para esses valores.

Você pode usar o console Amazon Managed Grafana para mapear os seguintes atributos de asserção do SAML para valores no Amazon Managed Grafana:

  • Para a função do atributo Assertion, especifique o nome do atributo na asserção SAML para usar como funções de usuário.

  • Em Nome do atributo Assertion, especifique o nome do atributo na asserção SAML a ser usado para o usuário com nomes “amigáveis” completos para usuários SAML.

  • Para login do atributo Assertion, especifique o nome do atributo na asserção SAML a ser usado para os nomes de login dos usuários do SAML.

  • Para e-mail de atributo de afirmação, especifique o nome do atributo na declaração SAML a ser usado para os nomes de e-mail de usuário para usuários SAML.

  • Para Organização do atributo Assertion, especifique o nome do atributo na asserção SAML a ser usado como nome “amigável” para organizações de usuários.

  • Para grupos de atributos de asserção, especifique o nome do atributo na declaração SAML a ser usado como nome “amigável” para grupos de usuários.

  • Para organizações permitidas, você pode limitar o acesso do usuário somente aos usuários que são membros de determinadas organizações no IdP.

  • Para valores da função Editor, especifique as funções de usuário do seu IdP, que devem receber a Editor função no espaço de trabalho Amazon Managed Grafana.

Permissões do IAM necessárias para criar um espaço de trabalho que usa SAML

Ao criar um espaço de trabalho Amazon Managed Grafana que usa um IdP e SAML para autorização, você deve estar conectado a um diretor do IAM que tenha a política anexada. AWSGrafanaAccountAdministrator

Conectando-se ao seu provedor de identidade

Os seguintes provedores de identidade externos foram testados com o Amazon Managed Grafana e fornecem aplicativos diretamente em seus diretórios ou galerias de aplicativos para ajudá-lo a configurar o Amazon Managed Grafana com SAML.