Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengautentikasi pengguna di ruang kerja Grafana Terkelola Amazon
<a name="authentication-in-AMG"></a>

Pengguna individu masuk ke ruang kerja Anda, untuk mengedit dan melihat dasbor Anda. Anda dapat menetapkan pengguna ke ruang kerja Anda dan [memberi mereka izin pengguna, editor, atau administrator](AMG-manage-users-and-groups-AMG.md). Untuk memulai, Anda membuat (atau menggunakan penyedia identitas yang sudah ada) untuk mengautentikasi pengguna.

Pengguna diautentikasi untuk menggunakan konsol Grafana di ruang kerja Grafana Terkelola Amazon dengan sistem masuk tunggal menggunakan penyedia identitas organisasi Anda, bukan dengan menggunakan IAM. Setiap ruang kerja dapat menggunakan salah satu atau kedua metode otentikasi berikut:
+ Kredensi pengguna yang disimpan dalam penyedia identitas (IdPs) yang mendukung Security Assertion Markup Language 2.0 (SAFL 2.0)
+ AWS IAM Identity Center. AWS Single-sign-on (**AWS SSO**) diubah namanya menjadi IAM **Identity** Center. 

Untuk setiap ruang kerja Anda, Anda dapat menggunakan SALL, IAM Identity Center, atau keduanya. Jika Anda mulai dengan menggunakan satu metode, Anda dapat beralih menggunakan yang lain.

Anda harus memberikan izin kepada pengguna (atau grup tempat mereka berada) ke ruang kerja sebelum mereka dapat mengakses fungsionalitas di dalam ruang kerja. Untuk informasi selengkapnya tentang memberikan izin kepada pengguna Anda, lihat[Kelola akses pengguna dan grup ke ruang kerja Grafana yang Dikelola Amazon](AMG-manage-users-and-groups-AMG.md).

**Topics**
+ [

# Gunakan SAMP dengan ruang kerja Grafana yang Dikelola Amazon
](authentication-in-AMG-SAML.md)
+ [

# Gunakan AWS IAM Identity Center dengan ruang kerja Grafana Terkelola Amazon Anda
](authentication-in-AMG-SSO.md)

# Gunakan SAMP dengan ruang kerja Grafana yang Dikelola Amazon
<a name="authentication-in-AMG-SAML"></a>

**catatan**  
Grafana yang Dikelola Amazon saat ini tidak mendukung login yang dimulai IDP untuk ruang kerja. Anda harus mengatur aplikasi SAMP Anda dengan Status Relay kosong.

Anda dapat menggunakan otentikasi SAMP untuk menggunakan penyedia identitas yang ada dan menawarkan sistem masuk tunggal untuk masuk ke konsol Grafana di ruang kerja Grafana Amazon Managed Grafana Anda. Alih-alih mengautentikasi melalui IAM, autentikasi SAMP untuk Grafana Terkelola Amazon memungkinkan Anda menggunakan penyedia identitas pihak ketiga untuk masuk, mengelola kontrol akses, mencari data, dan membangun visualisasi. Grafana yang Dikelola Amazon mendukung penyedia identitas yang menggunakan standar SAMP 2.0 dan telah membangun serta menguji aplikasi integrasi dengan Azure AD, Okta CyberArk, OneLogin dan Ping Identity.

Untuk detail tentang cara mengatur otentikasi SAMP selama pembuatan ruang kerja, lihat. [Membuat ruang kerja](AMG-create-workspace.md#creating-workspace)

Dalam alur otentikasi SAMP, ruang kerja Grafana yang Dikelola Amazon bertindak sebagai penyedia layanan (SP), dan berinteraksi dengan IDP untuk mendapatkan informasi pengguna. Untuk informasi selengkapnya tentang SAMP, lihat Bahasa [Markup Pernyataan Keamanan](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language).

Anda dapat memetakan grup di IDP ke tim di ruang kerja Grafana Terkelola Amazon, dan menetapkan izin akses berbutir halus di tim tersebut. Anda juga dapat memetakan peran organisasi yang ditentukan di iDP ke peran di ruang kerja Grafana Terkelola Amazon. Misalnya, jika Anda memiliki peran **Developer** yang ditentukan di IDP, Anda dapat memetakan peran tersebut ke peran **Admin Grafana di ruang kerja Grafana** yang Dikelola Amazon.

**catatan**  
Saat membuat ruang kerja Grafana Terkelola Amazon yang menggunakan IDP dan SAMP untuk otorisasi, Anda harus masuk ke prinsipal IAM yang memiliki kebijakan terlampir. **AWSGrafanaAccountAdministrator**

**Untuk masuk ke ruang kerja Grafana Terkelola Amazon, pengguna mengunjungi halaman beranda konsol Grafana ruang kerja dan memilih Masuk menggunakan SAMP.** Ruang kerja membaca konfigurasi SAMP dan mengarahkan pengguna ke iDP untuk otentikasi. Pengguna memasukkan kredenal masuk mereka di portal iDP, dan jika mereka adalah pengguna yang valid, iDP mengeluarkan pernyataan SAMP dan mengarahkan pengguna kembali ke ruang kerja Grafana yang Dikelola Amazon. Grafana Terkelola Amazon memverifikasi bahwa pernyataan SAMP valid, dan pengguna masuk dan dapat menggunakan ruang kerja.

Grafana yang Dikelola Amazon mendukung binding SAMP 2.0 berikut:
+ Dari penyedia layanan (SP) ke penyedia identitas (iDP):
  + Pengikatan HTTP-POST
  + Pengikatan HTTP-redirect
+ Dari penyedia identitas (iDP) ke penyedia layanan (SP):
  + Pengikatan HTTP-POST

Grafana yang Dikelola Amazon mendukung pernyataan yang ditandatangani dan dienkripsi, tetapi tidak mendukung permintaan yang ditandatangani atau dienkripsi.

Grafana Terkelola Amazon mendukung permintaan yang diprakarsai SP, dan tidak mendukung permintaan yang diprakarsai IDP.

## Pemetaan pernyataan
<a name="AMG-SAML-Assertion-Mapping"></a>

Selama alur otentikasi SAMP, Amazon Managed Grafana menerima callback assertion consumer service (ACS). Callback berisi semua informasi yang relevan untuk pengguna yang diautentikasi, disematkan dalam respons SAMP. Grafana yang Dikelola Amazon mem-parsing respons untuk membuat (atau memperbarui) pengguna dalam database internalnya.

Saat Amazon Managed Grafana memetakan informasi pengguna, ia akan melihat atribut individual dalam pernyataan. Anda dapat menganggap atribut ini sebagai pasangan nilai kunci, meskipun mengandung lebih banyak informasi dari itu.

Grafana yang Dikelola Amazon menyediakan opsi konfigurasi sehingga Anda dapat memodifikasi kunci mana yang akan dilihat untuk nilai-nilai ini. 

Anda dapat menggunakan konsol Grafana Terkelola Amazon untuk memetakan atribut pernyataan SAMP berikut ke nilai di Grafana Terkelola Amazon:
+ Untuk **peran atribut Assertion**, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan sebagai peran pengguna.
+ Untuk **nama atribut Assertion**, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama “ramah” lengkap pengguna untuk pengguna SAMP.
+ Untuk **login atribut Assertion**, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama login pengguna untuk pengguna SAMP.
+ Untuk **email atribut Assertion**, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama email pengguna untuk pengguna SAMP.
+ Untuk **organisasi atribut Assertion**, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama “ramah” untuk organisasi pengguna.
+ Untuk **grup atribut Assertion**, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama “ramah” untuk grup pengguna.
+ Untuk **organisasi yang Diizinkan**, Anda dapat membatasi akses pengguna hanya ke pengguna yang merupakan anggota organisasi tertentu di IDP.
+ Untuk **nilai peran Editor**, tentukan peran pengguna dari IDP Anda yang semuanya harus diberikan `Editor` peran di ruang kerja Grafana Terkelola Amazon.

## Menghubungkan ke penyedia identitas Anda
<a name="authentication-in-AMG-SAML-providers"></a>

Penyedia identitas eksternal berikut telah diuji dengan Grafana Terkelola Amazon dan menyediakan aplikasi langsung di direktori aplikasi atau galeri mereka untuk membantu Anda mengonfigurasi Grafana Terkelola Amazon dengan SAMP.

**Topics**
+ [

## Pemetaan pernyataan
](#AMG-SAML-Assertion-Mapping)
+ [

## Menghubungkan ke penyedia identitas Anda
](#authentication-in-AMG-SAML-providers)
+ [

# Konfigurasikan Grafana Terkelola Amazon untuk menggunakan Azure AD
](AMG-SAML-providers-Azure.md)
+ [

# Konfigurasikan Grafana Terkelola Amazon untuk digunakan CyberArk
](AMG-SAML-providers-CyberArk.md)
+ [

# Konfigurasikan Grafana Terkelola Amazon untuk menggunakan Okta
](AMG-SAML-providers-okta.md)
+ [

# Konfigurasikan Grafana Terkelola Amazon untuk digunakan OneLogin
](AMG-SAML-providers-onelogin.md)
+ [

# Konfigurasikan Grafana Terkelola Amazon untuk menggunakan Identitas Ping
](AMG-SAML-providers-pingone.md)

# Konfigurasikan Grafana Terkelola Amazon untuk menggunakan Azure AD
<a name="AMG-SAML-providers-Azure"></a>

Gunakan langkah-langkah berikut untuk mengonfigurasi Grafana Terkelola Amazon agar menggunakan Azure Active Directory sebagai penyedia identitas. Langkah-langkah ini mengasumsikan bahwa Anda telah membuat ruang kerja Grafana Terkelola Amazon dan Anda telah mencatat *ID* ruang kerja,, dan. *URLs*Wilayah AWS**

## Langkah 1: Langkah-langkah untuk menyelesaikan di Azure Active Directory
<a name="AMG-SAML-providers-Azure-step1"></a>

Selesaikan langkah-langkah berikut di Azure Active Directory.

**Untuk menyiapkan Azure Active Directory sebagai penyedia identitas untuk Grafana Terkelola Amazon**

1. Masuk ke konsol Azure sebagai admin.

1. Pilih **Azure Active Directory**.

1. Pilih **Aplikasi Perusahaan**.

1. Cari **Grafana Terkelola Amazon SAML2 .0**, dan pilih.

1. Pilih aplikasi dan pilih **Setup**.

1. Dalam konfigurasi aplikasi Azure Active Directory, pilih **Pengguna dan grup**.

1. Tetapkan aplikasi ke pengguna dan grup yang Anda inginkan.

1. Pilih **Single sign-on**.

1. Pilih **Berikutnya** untuk sampai ke halaman konfigurasi SAFL.

1. Tentukan pengaturan SAFL Anda:
   + Untuk **Identifier (ID Entitas)**, tempel URL **pengenal penyedia Layanan** Anda dari ruang kerja Grafana Terkelola Amazon.
   + Untuk URL **Balasan (URL Layanan Konsumen Pernyataan)**, tempel **balasan penyedia Layanan** Anda dari ruang kerja Grafana Terkelola Amazon.
   + Pastikan bahwa **Sign Assertion** dipilih dan **Encrypt Assertion** tidak dipilih.

1. Di bagian **Atribut & Klaim Pengguna**, pastikan bahwa atribut ini dipetakan. Mereka peka huruf besar/kecil.
   + **mail** diatur dengan **user.userprincipalname.**
   + **DisplayName diatur** **dengan user.displayname.**
   + **Unique User Identifier** diatur dengan **user.userprincipalname**.
   + Tambahkan atribut lain yang akan Anda lewati. Untuk informasi selengkapnya tentang atribut yang dapat diteruskan ke Grafana Terkelola Amazon dalam pemetaan pernyataan, lihat. [Pemetaan pernyataan](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Salin **URL Metadata SAM** untuk digunakan dalam konfigurasi ruang kerja Grafana Amazon Managed.

## Langkah 2: Langkah-langkah yang harus diselesaikan di Amazon Managed Grafana
<a name="AMG-SAML-providers-Azure-step2"></a>

Selesaikan langkah-langkah berikut di konsol Grafana Terkelola Amazon.

**Untuk menyelesaikan pengaturan Azure Active Directory sebagai penyedia identitas untuk Grafana Terkelola Amazon**

1. Buka konsol Grafana Terkelola Amazon di. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Di panel navigasi, pilih ikon menu.

1. Pilih **Semua ruang kerja**.

1. Pilih nama ruang kerja.

1. Di tab **Authentication**, pilih **Setup konfigurasi SALL**.

1. Di bawah **Impor metadata**, pilih **Unggah atau salin/tempel dan tempel** URL Direktori Aktif Azure yang Anda salin dari URL Metadata **SAM** di bagian sebelumnya.

1. Di bawah **pemetaan Assertion**, lakukan hal berikut:
   + Pastikan bahwa **saya ingin memilih keluar dari menetapkan admin ke ruang kerja saya** tidak dipilih.
**catatan**  
Jika Anda memilih **Saya ingin berhenti menetapkan admin ke ruang kerja saya, Anda tidak akan dapat menggunakan konsol ruang kerja** Amazon Managed Grafana untuk mengelola ruang kerja, termasuk tugas-tugas seperti mengelola sumber data, pengguna, dan izin dasbor. Anda dapat membuat perubahan administratif pada ruang kerja hanya dengan menggunakan Grafana APIs.
   + Tetapkan **peran atribut Assertion** ke nama atribut yang Anda pilih.
   + Tetapkan **nilai peran Admin** ke nilai yang sesuai dengan peran pengguna admin Anda.
   + (Opsional) Jika Anda mengubah atribut default dalam aplikasi Azure Active Directory Anda, perluas **Pengaturan tambahan - opsional** dan kemudian atur nama atribut baru.

     ******Secara default, atribut Azure **displayName** diteruskan sebagai atribut Name dan atribut email Ping **Identity** diteruskan ke atribut email dan login.******

1. Pilih **Simpan Konfigurasi SAFL**.

# Konfigurasikan Grafana Terkelola Amazon untuk digunakan CyberArk
<a name="AMG-SAML-providers-CyberArk"></a>

Gunakan langkah-langkah berikut untuk mengonfigurasi Grafana Terkelola Amazon agar digunakan CyberArk sebagai penyedia identitas. Langkah-langkah ini mengasumsikan bahwa Anda telah membuat ruang kerja Grafana Terkelola Amazon dan Anda telah mencatat ID,, URLs dan Wilayah ruang kerja.

## Langkah 1: Langkah-langkah untuk menyelesaikan CyberArk
<a name="AMG-SAML-providers-cyberark-step1"></a>

Selesaikan langkah-langkah berikut di CyberArk.

**Untuk mengatur CyberArk sebagai penyedia identitas untuk Grafana yang Dikelola Amazon**

1. Masuk ke Portal Admin CyberArk Identitas. 

1. Pilih **Aplikasi**, **Aplikasi Web**.

1. Pilih **Tambahkan Aplikasi Web**.

1. **Cari **Grafana Terkelola Amazon SAML2 untuk.0**, dan pilih Tambah.**

1. Dalam konfigurasi CyberArk aplikasi, buka bagian **Trust**.

1. Di bawah **Konfigurasi Penyedia Identitas**, pilih **Metadata**.

1. Pilih **Salin URL** dan simpan URL untuk digunakan nanti dalam langkah-langkah ini.

1. Di bawah **Konfigurasi Penyedia Layanan**, pilih **Konfigurasi Manual**.

1. Tentukan pengaturan SAMP Anda:
   + Untuk **ID Entitas SP**, tempel URL **pengenal penyedia Layanan** Anda dari ruang kerja Grafana Terkelola Amazon.
   + Untuk **URL Assertion Consumer Service (ACS)**, rekatkan **balasan penyedia Layanan** Anda dari ruang kerja Grafana Terkelola Amazon.
   + **Atur **Pernyataan Respons Tanda ke Pernyataan**.**
   + **Pastikan bahwa Format **NameID** adalah EmailAddress.**

1. Pilih **Simpan**.

1. Di bagian **Saml Response**, pastikan bahwa atribut Grafana yang Dikelola Amazon ada **di Nama Aplikasi** dan atribut tersebut berada **di CyberArk ** Nilai Atribut. Kemudian pastikan bahwa atribut berikut dipetakan. Mereka peka huruf besar/kecil.
   + **DisplayName** **diatur dengan. LoginUser DisplayName**.
   + **mail** diatur **LoginUserdengan.Email**.
   + Tambahkan atribut lain yang akan Anda lewati. Untuk informasi selengkapnya tentang atribut yang dapat diteruskan ke Grafana Terkelola Amazon dalam pemetaan pernyataan, lihat. [Pemetaan pernyataan](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Pilih **Simpan**.

1. **Di bagian **Izin**, pilih pengguna dan grup mana yang akan ditetapkan aplikasi ini, lalu pilih Simpan.**

## Langkah 2: Langkah-langkah yang harus diselesaikan di Amazon Managed Grafana
<a name="AMG-SAML-providers-cyberark-step2"></a>

Selesaikan langkah-langkah berikut di konsol Grafana Terkelola Amazon.

**Untuk menyelesaikan penyiapan CyberArk sebagai penyedia identitas untuk Grafana yang Dikelola Amazon**

1. Buka konsol Grafana Terkelola Amazon di. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Di panel navigasi, pilih ikon menu.

1. Pilih **Semua ruang kerja**.

1. Pilih nama ruang kerja.

1. Di tab **Otentikasi**, pilih **Pengaturan konfigurasi SAMP**.

1. Di bawah **Impor metadata**, pilih **Unggah atau salin/tempel** dan tempel CyberArk URL yang Anda salin di prosedur sebelumnya.

1. Di bawah **pemetaan Assertion**, lakukan hal berikut:
   + Pastikan bahwa **saya ingin memilih keluar dari menetapkan admin ke ruang kerja saya** tidak dipilih.
**catatan**  
Jika Anda memilih **Saya ingin berhenti menetapkan admin ke ruang kerja saya, Anda tidak akan dapat menggunakan konsol ruang kerja** Amazon Managed Grafana untuk mengelola ruang kerja, termasuk tugas-tugas seperti mengelola sumber data, pengguna, dan izin dasbor. Anda dapat membuat perubahan administratif pada ruang kerja hanya dengan menggunakan Grafana APIs.
   + Tetapkan **peran atribut Assertion** ke nama atribut yang Anda pilih.
   + Tetapkan **nilai peran Admin** ke nilai yang sesuai dengan peran pengguna admin Anda.
   + (Opsional) Jika Anda mengubah atribut default dalam CyberArk aplikasi Anda, memperluas **Pengaturan tambahan - opsional** dan kemudian mengatur nama atribut baru.

     ********Secara default, atribut **displayName** CyberA diteruskan ke atribut name dan CyberArk atribut mail diteruskan ke atribut email dan login.********

1. Pilih **Simpan Konfigurasi SAMP**.

# Konfigurasikan Grafana Terkelola Amazon untuk menggunakan Okta
<a name="AMG-SAML-providers-okta"></a>

Gunakan langkah-langkah berikut untuk mengonfigurasi Grafana Terkelola Amazon agar menggunakan Okta sebagai penyedia identitas. Langkah-langkah ini mengasumsikan bahwa Anda telah membuat ruang kerja Grafana Terkelola Amazon dan Anda telah mencatat ID,, URLs dan Wilayah ruang kerja.

## Langkah 1: Langkah-langkah untuk diselesaikan di Okta
<a name="AMG-SAML-providers-okta-step1"></a>

Selesaikan langkah-langkah berikut di Okta.

**Untuk mengatur Okta sebagai penyedia identitas untuk Grafana yang Dikelola Amazon**

1. Masuk ke konsol Okta sebagai admin. 

1. Di panel kiri, pilih **Aplikasi**, **Aplikasi**.

1. Pilih **Jelajahi Katalog Aplikasi** dan cari **Grafana Terkelola Amazon**.

1. **Pilih **Grafana Terkelola Amazon** dan pilih **Tambah**, Selesai.**

1. Pilih aplikasi untuk mulai mengaturnya.

1. **Di tab Masuk**, pilih **Edit**.

1. **Di bawah **Pengaturan Masuk Lanjutan**, masukkan id ruang kerja Grafana Terkelola Amazon dan Wilayah Anda masing-masing di bidang **Nama Ruang** dan Wilayah.** **ID dan Wilayah ruang kerja Grafana Terkelola Amazon Anda dapat ditemukan di url ruang kerja Grafana Amazon Managed yang berformat .grafana-workspace. *workspace-id* *Region*.amazonaws.com**.

1. Pilih **Simpan**.

1. Di bawah **SALL 2.0**, salin URL untuk **metadata Penyedia Identitas**. Anda menggunakan ini nanti dalam prosedur ini di konsol Grafana yang Dikelola Amazon.

1. Di tab **Penugasan**, pilih **Orang** dan **Grup** yang ingin Anda gunakan Grafana Terkelola Amazon.

## Langkah 2: Langkah-langkah yang harus diselesaikan di Amazon Managed Grafana
<a name="AMG-SAML-providers-okta-step2"></a>

Selesaikan langkah-langkah berikut di konsol Grafana Terkelola Amazon.

**Untuk menyelesaikan pengaturan Okta sebagai penyedia identitas untuk Grafana yang Dikelola Amazon**

1. Buka konsol Grafana Terkelola Amazon di. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Di panel navigasi, pilih ikon menu.

1. Pilih **Semua ruang kerja**.

1. Pilih nama ruang kerja.

1. Di tab **Authentication**, pilih **Complete Setup**.

1. Di bawah **Impor data meta**, pilih **Unggah atau salin/tempel** dan tempel URL Okta yang Anda salin di prosedur sebelumnya.

1. Di bawah **pemetaan Assertion**, lakukan hal berikut:
   + Pastikan bahwa **saya ingin memilih keluar dari menetapkan admin ke ruang kerja saya** tidak dipilih.
**catatan**  
Jika Anda memilih **Saya ingin berhenti menetapkan admin ke ruang kerja saya, Anda tidak akan dapat menggunakan konsol ruang kerja** Amazon Managed Grafana untuk mengelola ruang kerja, termasuk tugas-tugas seperti mengelola sumber data, pengguna, dan izin dasbor. Anda dapat membuat perubahan administratif pada ruang kerja hanya dengan menggunakan Grafana APIs.
   + Tetapkan **peran atribut Assertion** ke nama atribut yang Anda pilih.
   + Tetapkan **nilai peran Admin** ke nilai yang sesuai dengan peran pengguna admin Anda.
   + (Opsional) Jika Anda mengubah atribut default di aplikasi Okta Anda, perluas **Pengaturan tambahan - opsional** dan kemudian atur nama atribut baru.

     ******Secara default, atribut **DisplayName** Okta diteruskan ke atribut name dan atribut email **Okta** diteruskan ke atribut email dan login.******

1. Pilih **Simpan Konfigurasi SAFL**.

# Konfigurasikan Grafana Terkelola Amazon untuk digunakan OneLogin
<a name="AMG-SAML-providers-onelogin"></a>

Gunakan langkah-langkah berikut untuk mengonfigurasi Grafana Terkelola Amazon agar digunakan OneLogin sebagai penyedia identitas. Langkah-langkah ini mengasumsikan bahwa Anda telah membuat ruang kerja Grafana Terkelola Amazon dan Anda telah mencatat ID,, URLs dan Wilayah ruang kerja.

## Langkah 1: Langkah-langkah untuk menyelesaikan OneLogin
<a name="AMG-SAML-providers-onelogin-step1"></a>

Selesaikan langkah-langkah berikut di OneLogin.

**Untuk mengatur OneLogin sebagai penyedia identitas untuk Grafana yang Dikelola Amazon**

1. Masuk ke OneLogin portal sebagai administrator. 

1. Pilih **Aplikasi**, **Aplikasi**, **Tambahkan aplikasi**.

1. Cari **Amazon Managed Service for Grafana**.

1. Tetapkan **nama Tampilan** pilihan Anda dan pilih **Simpan**.

1. Arahkan ke **Konfigurasi** dan masukkan ID ruang kerja Grafana Terkelola Amazon di **Namespace**, lalu masukkan Wilayah ruang kerja Grafana Terkelola Amazon Anda.

1. Di tab **Konfigurasi**, masukkan URL ruang kerja Grafana Terkelola Amazon Anda.

1. Anda dapat membiarkan parameter **AdminRole** sebagai **default Tidak Default** dan mengisinya menggunakan tab **Aturan**, jika admin memerlukan nilai yang sesuai di Grafana Terkelola Amazon. Dalam contoh ini, **peran atribut Assertion** akan disetel ke **AdminRole** di Amazon Managed Grafana, dengan nilai true. Anda dapat mengarahkan nilai ini ke atribut apa pun di penyewa Anda. Klik tombol **\$1** untuk menambahkan dan mengonfigurasi parameter untuk memenuhi persyaratan organisasi Anda.

1. Pilih tab **Aturan**, pilih **Tambahkan Aturan**, dan beri nama Aturan Anda. Di bidang **Kondisi** (pernyataan if), kami menambahkan **Email berisi [alamat email]**. **Di bidang **Tindakan** (pernyataan kemudian), kami memilih **Set AdminRole di Amazon Managed Service** dan kami memilih **Makro** di **Set adminRole** ke dropdown, dengan nilai true.** Organisasi Anda dapat memilih aturan yang berbeda untuk menyelesaikan kasus penggunaan yang berbeda.

1. Pilih **Simpan**. Buka **Tindakan Lainnya** dan pilih **Terapkan kembali pemetaan hak**. Anda harus mengubah pemetaan setiap kali Anda membuat atau memperbarui aturan.

1. Catat **URL Penerbit**, yang Anda gunakan nanti dalam konfigurasi di konsol Grafana Terkelola Amazon. Lalu, pilih **Simpan**.

1. Pilih tab **Access** untuk menetapkan OneLogin peran yang akan mengakses Grafana Terkelola Amazon dan pilih kebijakan keamanan aplikasi. 

## Langkah 2: Langkah-langkah yang harus diselesaikan di Amazon Managed Grafana
<a name="AMG-SAML-providers-onelogin-step2"></a>

Selesaikan langkah-langkah berikut di konsol Grafana Terkelola Amazon.

**Untuk menyelesaikan pengaturan OneLogin sebagai penyedia identitas untuk Grafana yang Dikelola Amazon**

1. Buka konsol Grafana Terkelola Amazon di. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Di panel navigasi, pilih ikon menu.

1. Pilih **Semua ruang kerja**.

1. Pilih nama ruang kerja.

1. Di tab **Authentication**, pilih **Setup konfigurasi SALL**.

1. Di bawah **Impor metadata**, pilih **Unggah atau salin/tempel** dan tempel URL OneLogin Penerbit yang Anda salin dari konsol di OneLogin prosedur sebelumnya.

1. Di bawah **pemetaan Assertion**, lakukan hal berikut:
   + Pastikan bahwa **saya ingin memilih keluar dari menetapkan admin ke ruang kerja saya** tidak dipilih.
**catatan**  
Jika Anda memilih **Saya ingin berhenti menetapkan admin ke ruang kerja saya, Anda tidak akan dapat menggunakan konsol ruang kerja** Amazon Managed Grafana untuk mengelola ruang kerja, termasuk tugas-tugas seperti mengelola sumber data, pengguna, dan izin dasbor. Anda dapat membuat perubahan administratif pada ruang kerja hanya dengan menggunakan Grafana APIs.
   + Tetapkan **peran atribut Assertion** ke nama atribut yang Anda pilih. Nilai default untuk OneLogin adalah **AdminRole**.
   + Tetapkan **nilai peran Admin** ke nilai yang sesuai dengan peran pengguna admin Anda.
   + (Opsional) Jika Anda mengubah atribut default dalam OneLogin aplikasi Anda, memperluas **Pengaturan tambahan - opsional** dan kemudian mengatur nama atribut baru.

     ******Secara default, atribut OneLogin **displayName** diteruskan ke atribut name dan OneLogin atribut mail diteruskan ke atribut email dan **login**.******

1. Pilih **Simpan Konfigurasi SAFL**.

# Konfigurasikan Grafana Terkelola Amazon untuk menggunakan Identitas Ping
<a name="AMG-SAML-providers-pingone"></a>

Gunakan langkah-langkah berikut untuk mengonfigurasi Grafana Terkelola Amazon agar menggunakan Identitas Ping sebagai penyedia identitas. Langkah-langkah ini mengasumsikan bahwa Anda telah membuat ruang kerja Grafana Terkelola Amazon dan Anda telah mencatat ID,, URLs dan Wilayah ruang kerja.

## Langkah 1: Langkah-langkah yang harus diselesaikan di Ping Identity
<a name="AMG-SAML-providers-pingone-step1"></a>

Selesaikan langkah-langkah berikut di Ping Identity.

**Untuk mengatur Ping Identity sebagai penyedia identitas untuk Grafana yang Dikelola Amazon**

1. Masuk ke konsol Ping Identity sebagai admin. 

1. Pilih **Aplikasi**.

1. Pilih **Tambah Aplikasi**, **Cari Katalog Aplikasi**.

1. **Cari **Grafana Terkelola Amazon untuk aplikasi SAFL**, lalu pilih dan pilih Pengaturan.**

1. Dalam aplikasi Ping Identity, pilih **Next** untuk sampai ke halaman konfigurasi SAFL. Kemudian buat pengaturan SAFL berikut:
   + Untuk **Layanan Konsumen Pernyataan**, tempel **URL balasan penyedia Layanan** Anda dari ruang kerja Grafana yang Dikelola Amazon.
   + Untuk **ID Entitas**, tempel di **pengenal penyedia Layanan Anda dari ruang** kerja Grafana Terkelola Amazon.
   + Pastikan bahwa **Sign Assertion** dipilih dan **Encrypt Assertion** tidak dipilih.

1. Pilih **Lanjutkan ke Langkah Berikutnya**.

1. **Dalam **Pemetaan Atribut SSO, pastikan bahwa atribut** Grafana Terkelola Amazon ada di Atribut **Aplikasi dan atribut** Ping Identity ada di Atribut Jembatan Identitas.** Kemudian buat pengaturan berikut:
   + **surat** harus **Email (Kerja)**.
   + **DisplayName** **harus berupa Nama Tampilan.**
   + **SAML\$1SUBJECT** harus **Email (Kerja)**. **Dan kemudian untuk atribut ini, pilih **Advanced**, atur **Format ID Nama untuk dikirim ke SP ke **urn:OASIS:Names:tc:Saml:2.0:NameID-format:transient**** dan pilih Simpan.** 
   + Tambahkan atribut lain yang ingin Anda lewati.
   + Tambahkan atribut lain yang ingin Anda lewati. Untuk informasi selengkapnya tentang atribut yang dapat diteruskan ke Grafana Terkelola Amazon dalam pemetaan pernyataan, lihat. [Pemetaan pernyataan](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Pilih **Lanjutkan ke Langkah Berikutnya**.

1. Di **Akses Grup**, pilih grup mana yang akan ditetapkan aplikasi ini.

1. Pilih **Lanjutkan ke Langkah Berikutnya**.

1. Salin **URL Metadata SAM yang dimulai** dengan. `https://admin- api.pingone.com/latest/metadata/` Anda menggunakan ini nanti dalam konfigurasi.

1. Pilih **Selesai**.

## Langkah 2: Langkah-langkah yang harus diselesaikan di Amazon Managed Grafana
<a name="AMG-SAML-providers-pingone-step2"></a>

Selesaikan langkah-langkah berikut di konsol Grafana Terkelola Amazon.

**Untuk menyelesaikan pengaturan Ping Identity sebagai penyedia identitas untuk Grafana yang Dikelola Amazon**

1. Buka konsol Grafana Terkelola Amazon di. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Di panel navigasi, pilih ikon menu.

1. Pilih **Semua ruang kerja**.

1. Pilih nama ruang kerja.

1. Di tab **Authentication**, pilih **Setup konfigurasi SALL**.

1. Di bawah **Impor metadata**, pilih **Unggah atau salin/tempel** dan tempel URL Ping yang Anda salin di prosedur sebelumnya.

1. Di bawah **pemetaan Assertion**, lakukan hal berikut:
   + Pastikan bahwa **saya ingin memilih keluar dari menetapkan admin ke ruang kerja saya** tidak dipilih.
**catatan**  
Jika Anda memilih **Saya ingin berhenti menetapkan admin ke ruang kerja saya, Anda tidak akan dapat menggunakan konsol ruang kerja** Amazon Managed Grafana untuk mengelola ruang kerja, termasuk tugas-tugas seperti mengelola sumber data, pengguna, dan izin dasbor. Anda dapat membuat perubahan administratif pada ruang kerja hanya dengan menggunakan Grafana APIs.
   + Tetapkan **peran atribut Assertion** ke nama atribut yang Anda pilih.
   + Tetapkan **nilai peran Admin** ke nilai yang sesuai dengan peran pengguna admin Anda.
   + (Opsional) Jika Anda mengubah atribut default dalam aplikasi Identitas Ping Anda, perluas **Pengaturan tambahan - opsional** dan kemudian atur nama atribut baru.

     ****Secara default, atribut Ping Identity **displayName** diteruskan ke atribut name dan atribut email Ping **Identity** diteruskan ke atribut email dan **login**.****

1. Pilih **Simpan Konfigurasi SAFL**.

# Gunakan AWS IAM Identity Center dengan ruang kerja Grafana Terkelola Amazon Anda
<a name="authentication-in-AMG-SSO"></a>

Grafana yang Dikelola Amazon terintegrasi dengan AWS IAM Identity Center untuk memberikan federasi identitas bagi tenaga kerja Anda. Menggunakan Grafana Terkelola Amazon dan Pusat Identitas IAM, pengguna diarahkan ke direktori perusahaan yang ada untuk masuk dengan kredensialnya yang ada. Kemudian, mereka masuk dengan mulus ke ruang kerja Grafana yang Dikelola Amazon mereka. Ini memastikan bahwa pengaturan keamanan seperti kebijakan kata sandi dan otentikasi dua faktor diberlakukan. Menggunakan IAM Identity Center tidak memengaruhi konfigurasi IAM Anda yang ada.

Jika Anda tidak memiliki direktori pengguna yang ada atau memilih untuk tidak bergabung, IAM Identity Center menawarkan direktori pengguna terintegrasi yang dapat Anda gunakan untuk membuat pengguna dan grup untuk Grafana Terkelola Amazon. Grafana Terkelola Amazon tidak mendukung penggunaan pengguna dan peran IAM untuk menetapkan izin dalam ruang kerja Grafana Terkelola Amazon. 

Untuk informasi selengkapnya tentang Pusat Identitas IAM, lihat [Apa itu AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Untuk informasi selengkapnya tentang memulai dengan IAM Identity Center, lihat [Memulai](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html).

Untuk menggunakan Pusat Identitas IAM, Anda juga harus AWS Organizations mengaktifkan akun tersebut. Jika diperlukan, Grafana Terkelola Amazon dapat mengaktifkan Organizations untuk Anda saat Anda membuat ruang kerja pertama yang dikonfigurasi untuk menggunakan IAM Identity Center.

## Izin yang diperlukan untuk skenario menggunakan IAM Identity Center
<a name="SSO-permission-scenarios"></a>

Bagian ini menjelaskan kebijakan yang diperlukan untuk menggunakan Grafana Terkelola Amazon dengan Pusat Identitas IAM. Kebijakan yang diperlukan untuk mengelola Grafana Terkelola Amazon berbeda berdasarkan apakah akun AWS Anda merupakan bagian dari organisasi atau bukan.

### Buat administrator Grafana di akun AWS Organizations
<a name="SSO-policy-org"></a>

Untuk memberikan izin untuk membuat dan mengelola ruang kerja Grafana Terkelola Amazon di organisasi, dan untuk mengizinkan dependensi AWS IAM Identity Center seperti, tetapkan kebijakan berikut ke peran.
+ Tetapkan kebijakan **AWSGrafanaAccountAdministrator**IAM untuk mengizinkan pengelolaan ruang kerja Grafana yang Dikelola Amazon.
+ **AWSSSODirectoryAdministrator** mengizinkan peran untuk menggunakan Pusat Identitas IAM saat menyiapkan ruang kerja Grafana yang Dikelola Amazon.
+ Untuk memungkinkan pembuatan dan pengelolaan ruang kerja Grafana yang Dikelola Amazon di seluruh organisasi, berikan peran kebijakan IAM. **AWSSSOMasterAccountAdministrator** Sebagai alternatif, berikan peran kebijakan **AWSSSOMemberAccountAdministrator**IAM untuk memungkinkan pembuatan dan pengelolaan ruang kerja dalam satu akun anggota organisasi.
+ Anda juga dapat memberikan peran kebijakan **AWSMarketplaceManageSubscriptions**IAM (atau izin yang setara) secara opsional jika Anda ingin mengizinkan peran untuk meningkatkan ruang kerja Grafana Terkelola Amazon ke perusahaan Grafana.

Jika Anda ingin menggunakan izin yang dikelola layanan saat membuat ruang kerja Grafana Terkelola Amazon, peran yang membuat ruang kerja juga harus memiliki,, dan izin. `iam:CreateRole` `iam:CreatePolicy` `iam:AttachRolePolicy` Ini wajib digunakan CloudFormation StackSets untuk menerapkan kebijakan yang memungkinkan Anda membaca sumber data di akun organisasi.

**penting**  
Memberikan `iam:CreateRole`, `iam:CreatePolicy`, dan `iam:AttachRolePolicy` kepada pengguna akan memberikan akses administratif penuh ke akun AWS Anda kepada pengguna tersebut. Misalnya, pengguna dengan izin ini dapat membuat kebijakan yang memiliki izin penuh untuk semua sumber daya, dan melampirkan kebijakan tersebut ke peran apa pun. Berhati-hati dengan siapa Anda memberikan izin ini. 

Untuk melihat izin yang diberikan **AWSGrafanaAccountAdministrator**, lihat [AWS kebijakan terkelola: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

### Membuat dan mengelola ruang kerja dan pengguna Grafana yang Dikelola Amazon dalam satu akun mandiri
<a name="SSO-examples-standalone"></a>

 AWS Akun mandiri adalah akun yang bukan anggota organisasi. Untuk informasi lebih lanjut tentang AWS Organizations, lihat [Apa itu AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)

Untuk memberikan izin untuk membuat dan mengelola ruang kerja Grafana Terkelola Amazon dan pengguna di akun mandiri, tetapkan kebijakan IAM berikut ke peran:
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAdministrator**

**penting**  
Pemberian peran **AWSOrganizationsFullAccess**kebijakan memberikan peran tersebut akses administratif penuh ke AWS akun Anda. Berhati-hatilah dengan orang yang Anda berikan izin ini.

Untuk melihat izin yang diberikan **AWSGrafanaAccountAdministrator**, lihat [AWS kebijakan terkelola: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)