Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Autentica gli utenti nelle aree di lavoro Amazon Managed Grafana
<a name="authentication-in-AMG"></a>

I singoli utenti accedono alle tue aree di lavoro per modificare e visualizzare le tue dashboard. Puoi assegnare utenti ai tuoi spazi di lavoro e [concedere loro autorizzazioni di utente, editor](AMG-manage-users-and-groups-AMG.md) o amministratore. Per iniziare, crei (o utilizzi un provider di identità esistente) per autenticare gli utenti.

Gli utenti vengono autenticati per utilizzare la console Grafana in un'area di lavoro Amazon Managed Grafana tramite Single Sign-On utilizzando il provider di identità dell'organizzazione, anziché tramite IAM. Ogni area di lavoro può utilizzare uno o entrambi i seguenti metodi di autenticazione:
+ Credenziali utente archiviate in provider di identità (IdPs) che supportano Security Assertion Markup Language 2.0 (SAML 2.0)
+ AWS IAM Identity Center. AWS Single-sign-on (**AWS SSO**) è stato rinominato **IAM Identity** Center. 

Per ciascuna delle tue aree di lavoro, puoi utilizzare SAML, IAM Identity Center o entrambi. Se inizi a utilizzare un metodo, puoi passare all'altro.

È necessario concedere agli utenti (o ai gruppi a cui appartengono) le autorizzazioni per accedere all'area di lavoro prima che possano accedere alle funzionalità all'interno dell'area di lavoro. Per ulteriori informazioni sulla concessione delle autorizzazioni agli utenti, consulta. [Gestisci l'accesso di utenti e gruppi alle aree di lavoro Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md)

**Topics**
+ [Usa SAML con il tuo spazio di lavoro Amazon Managed Grafana](authentication-in-AMG-SAML.md)
+ [Utilizzalo AWS IAM Identity Center con il tuo spazio di lavoro Amazon Managed Grafana](authentication-in-AMG-SSO.md)

# Usa SAML con il tuo spazio di lavoro Amazon Managed Grafana
<a name="authentication-in-AMG-SAML"></a>

**Nota**  
Amazon Managed Grafana attualmente non supporta l'accesso avviato da IdP per le aree di lavoro. È necessario configurare le applicazioni SAML con un Relay State vuoto.

Puoi utilizzare l'autenticazione SAML per utilizzare il tuo provider di identità esistente e offrire il single sign-on per accedere alla console Grafana delle tue aree di lavoro Amazon Managed Grafana. Invece di eseguire l'autenticazione tramite IAM, l'autenticazione SAML per Amazon Managed Grafana consente di utilizzare provider di identità di terze parti per accedere, gestire il controllo degli accessi, cercare dati e creare visualizzazioni. Amazon Managed Grafana supporta provider di identità che utilizzano lo standard SAML 2.0 e hanno creato e testato applicazioni di integrazione con Azure AD CyberArk, Okta e Ping Identity. OneLogin

Per i dettagli su come configurare l'autenticazione SAML durante la creazione dell'area di lavoro, consulta. [Creazione di uno spazio di lavoro](AMG-create-workspace.md#creating-workspace)

Nel flusso di autenticazione SAML, un'area di lavoro Amazon Managed Grafana funge da service provider (SP) e interagisce con l'IdP per ottenere informazioni sugli utenti. [Per ulteriori informazioni su SAML, consulta Security Assertion Markup Language.](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)

Puoi mappare i gruppi del tuo IdP ai team nell'area di lavoro Amazon Managed Grafana e impostare autorizzazioni di accesso granulari per tali team. Puoi anche mappare i ruoli dell'organizzazione definiti nell'IdP ai ruoli nell'area di lavoro Amazon Managed Grafana. Ad esempio, se hai un ruolo **Developer** definito nell'IdP, puoi mappare quel ruolo al ruolo di **amministratore Grafana** nell'area di lavoro Amazon Managed Grafana.

**Nota**  
Quando crei un'area di lavoro Amazon Managed Grafana che utilizza un IdP e SAML per l'autorizzazione, devi accedere a un principale IAM a cui è associata la policy. **AWSGrafanaAccountAdministrator**

**Per accedere all'area di lavoro Amazon Managed Grafana, un utente visita la home page della console Grafana dell'area di lavoro e sceglie Accedi utilizzando SAML.** L'area di lavoro legge la configurazione SAML e reindirizza l'utente all'IdP per l'autenticazione. L'utente inserisce le proprie credenziali di accesso nel portale IdP e, se è un utente valido, emette un'asserzione SAML e reindirizza l'utente all'area di lavoro Amazon Managed Grafana. Amazon Managed Grafana verifica che l'asserzione SAML sia valida, che l'utente abbia effettuato l'accesso e possa utilizzare l'area di lavoro.

Amazon Managed Grafana supporta i seguenti binding SAML 2.0:
+ Dal service provider (SP) al provider di identità (IdP):
  + Associazione HTTP-POST
  + Associazione di reindirizzamento HTTP
+ Dal provider di identità (IdP) al provider di servizi (SP):
  + Associazione HTTP-POST

Amazon Managed Grafana supporta asserzioni firmate e crittografate, ma non supporta richieste firmate o crittografate.

Amazon Managed Grafana supporta le richieste avviate da SP e non supporta le richieste avviate da IdP.

## Mappatura delle asserzioni
<a name="AMG-SAML-Assertion-Mapping"></a>

Durante il flusso di autenticazione SAML, Amazon Managed Grafana riceve il callback ACS (Assertion Consumer Service). Il callback contiene tutte le informazioni pertinenti per l'utente da autenticare, incorporate nella risposta SAML. Amazon Managed Grafana analizza la risposta per creare (o aggiornare) l'utente all'interno del suo database interno.

Quando Amazon Managed Grafana mappa le informazioni dell'utente, esamina i singoli attributi all'interno dell'asserzione. Puoi pensare a questi attributi come coppie chiave-valore, sebbene contengano più informazioni di così.

Amazon Managed Grafana offre opzioni di configurazione che consentono di modificare le chiavi da utilizzare per questi valori. 

Puoi utilizzare la console Amazon Managed Grafana per mappare i seguenti attributi di asserzione SAML ai valori in Amazon Managed Grafana:
+ Per il **ruolo dell'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come ruoli utente.
+ Per **il nome dell'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per l'utente nomi «descrittivi» completi per gli utenti SAML.
+ Per l'**accesso all'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per i nomi di accesso degli utenti SAML.
+ Per l'**e-mail dell'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per i nomi e-mail degli utenti SAML.
+ Per l'**organizzazione degli attributi Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come nome «descrittivo» per le organizzazioni di utenti.
+ Per i **gruppi di attributi Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come nome «descrittivo» per i gruppi di utenti.
+ Per **le organizzazioni consentite**, puoi limitare l'accesso degli utenti solo agli utenti che sono membri di determinate organizzazioni nell'IdP.
+ Per **i valori del ruolo Editor**, specifica i ruoli utente del tuo IdP a cui dovrebbe essere assegnato il `Editor` ruolo nell'area di lavoro di Amazon Managed Grafana.

## Connessione al tuo provider di identità
<a name="authentication-in-AMG-SAML-providers"></a>

I seguenti provider di identità esterni sono stati testati con Amazon Managed Grafana e forniscono applicazioni direttamente nelle loro directory o gallerie di app per aiutarti a configurare Amazon Managed Grafana con SAML.

**Topics**
+ [Mappatura delle asserzioni](#AMG-SAML-Assertion-Mapping)
+ [Connessione al tuo provider di identità](#authentication-in-AMG-SAML-providers)
+ [Configura Amazon Managed Grafana per usare Azure AD](AMG-SAML-providers-Azure.md)
+ [Configura Amazon Managed Grafana per l'uso CyberArk](AMG-SAML-providers-CyberArk.md)
+ [Configura Amazon Managed Grafana per usare Okta](AMG-SAML-providers-okta.md)
+ [Configura Amazon Managed Grafana per l'uso OneLogin](AMG-SAML-providers-onelogin.md)
+ [Configura Amazon Managed Grafana per utilizzare Ping Identity](AMG-SAML-providers-pingone.md)

# Configura Amazon Managed Grafana per usare Azure AD
<a name="AMG-SAML-providers-Azure"></a>

Usa i seguenti passaggi per configurare Amazon Managed Grafana per usare Azure Active Directory come provider di identità. Questi passaggi presuppongono che tu abbia già creato il tuo spazio di lavoro Amazon Managed Grafana e che tu abbia preso nota dell'*ID* dell'area di lavoro, e. *URLs*Regione AWS**

## Passaggio 1: Passaggi da completare in Azure Active Directory
<a name="AMG-SAML-providers-Azure-step1"></a>

Completa i seguenti passaggi in Azure Active Directory.

**Per configurare Azure Active Directory come provider di identità per Amazon Managed Grafana**

1. Accedi alla console di Azure come amministratore.

1. Scegli **Azure Active Directory**.

1. Scegli **Applicazioni aziendali.**

1. Cerca **Amazon Managed Grafana SAML2 2.0** e selezionalo.

1. **Seleziona l'applicazione e scegli Setup.**

1. Nella configurazione dell'applicazione Azure Active Directory, scegli **Utenti e gruppi**.

1. Assegna l'applicazione agli utenti e ai gruppi che desideri.

1. Scegli **Single Sign-On**.

1. Scegli **Avanti** per accedere alla pagina di configurazione SAML.

1. Specificate le impostazioni SAML:
   + Per **Identifier (Entity ID)**, incolla l'URL dell'**identificatore del fornitore** di servizi dall'area di lavoro Amazon Managed Grafana.
   + Per **l'URL di risposta (Assertion Consumer Service URL)**, incolla la **risposta del fornitore** di servizi dall'area di lavoro Amazon Managed Grafana.
   + Assicurati che **Sign Assertion** sia selezionato e che **Encrypt** Assertion non sia selezionato.

1. Nella sezione **Attributi utente e reclami**, assicurati che questi attributi siano mappati. Sono sensibili alle maiuscole.
   + la **posta** è impostata con **user.userprincipalname**.
   + **displayName** **è impostato con user.displayname.**
   + **L'identificatore utente univoco** **è impostato con user.userprincipalname.**
   + Aggiungi tutti gli altri attributi che vorresti passare. Per ulteriori informazioni sugli attributi che puoi trasmettere ad Amazon Managed Grafana nella mappatura delle asserzioni, consulta. [Mappatura delle asserzioni](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Copia l'**URL dei metadati SAML** da utilizzare nella configurazione dell'area di lavoro Amazon Managed Grafana.

## Fase 2: passaggi da completare in Amazon Managed Grafana
<a name="AMG-SAML-providers-Azure-step2"></a>

Completa i seguenti passaggi nella console Amazon Managed Grafana.

**Per completare la configurazione di Azure Active Directory come provider di identità per Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione, seleziona l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro.

1. Nella scheda **Autenticazione**, scegli **Configurazione della configurazione SAML.**

1. In **Importa i metadati**, scegli **Carica o copia/incolla e incolla** l'URL di Azure Active Directory che hai copiato dall'URL dei metadati **SAML** nella sezione precedente.

1. **In Assertion mapping, procedi come segue:**
   + Assicurati di **voler disattivare l'assegnazione di amministratori. La mia area di lavoro non è** selezionata.
**Nota**  
Se scegli di non **assegnare amministratori al mio spazio di lavoro, non potrai utilizzare la console dell'area di lavoro** di Amazon Managed Grafana per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. È possibile apportare modifiche amministrative all'area di lavoro solo utilizzando Grafana APIs.
   + Imposta il **ruolo dell'attributo Assertion** sul nome dell'attributo che hai scelto.
   + Imposta **i valori del ruolo di amministratore** sul valore corrispondente ai ruoli degli utenti amministratori.
   + (Facoltativo) Se hai modificato gli attributi predefiniti nell'applicazione Azure Active Directory, espandi **Impostazioni aggiuntive - opzionale** e quindi imposta i nuovi nomi degli attributi.

     **Per impostazione predefinita, l'attributo Azure **DisplayName** viene passato come attributo Name e **l'**attributo di posta Ping **Identity** viene passato sia all'attributo email che **all'**attributo login.**

1. Scegli **Salva configurazione SAML**.

# Configura Amazon Managed Grafana per l'uso CyberArk
<a name="AMG-SAML-providers-CyberArk"></a>

Utilizza i seguenti passaggi per configurare Amazon Managed Grafana da utilizzare CyberArk come provider di identità. Questi passaggi presuppongono che tu abbia già creato il tuo spazio di lavoro Amazon Managed Grafana e che tu abbia preso nota dell'ID e della regione dell'area di lavoro. URLs

## Fase 1: Passaggi da completare CyberArk
<a name="AMG-SAML-providers-cyberark-step1"></a>

Completa i seguenti passaggi in CyberArk.

**Per configurare CyberArk come provider di identità per Amazon Managed Grafana**

1. Accedi all' CyberArk Identity Admin Portal. 

1. Scegli **App**, **App Web**.

1. Scegli **Aggiungi app Web**.

1. **Cerca **Amazon Managed Grafana per SAML2 1.0** e scegli Aggiungi.**

1. Nella configurazione dell' CyberArk applicazione, vai alla sezione **Trust**.

1. In **Configurazione del provider di identità**, scegli **Metadati**.

1. Scegli **Copia URL** e salva l'URL da utilizzare più avanti in questi passaggi.

1. In **Configurazione del fornitore di servizi**, scegli **Configurazione manuale**.

1. Specificate le impostazioni SAML:
   + Per **SP Entity ID**, incolla l'URL dell'**identificatore del fornitore** di servizi dall'area di lavoro Amazon Managed Grafana.
   + Per l'**URL di Assertion Consumer Service (ACS)**, incolla la **risposta del fornitore di servizi** dall'area di lavoro di Amazon Managed Grafana.
   + **Imposta **Sign Response Assertion su Assertion**.**
   + **Assicurati che il formato **NameID sia EmailAddress.****

1. Scegli **Save** (Salva).

1. Nella sezione **SAML Response**, assicurati che l'attributo Amazon Managed Grafana sia **in Application** Name e che CyberArk l'attributo sia **in** Attribute Value. Quindi assicurati che i seguenti attributi siano mappati. Sono sensibili alle maiuscole.
   + **DisplayName** **è impostato con. LoginUser DisplayName**.
   + la **posta** è impostata con **LoginUser.Email.**
   + Aggiungi qualsiasi altro attributo che vorresti passare. Per ulteriori informazioni sugli attributi che puoi trasmettere ad Amazon Managed Grafana nella mappatura delle asserzioni, consulta. [Mappatura delle asserzioni](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Scegli **Save** (Salva).

1. **Nella sezione **Autorizzazioni**, scegli a quali utenti e gruppi assegnare questa applicazione, quindi scegli Salva.**

## Fase 2: passaggi da completare in Amazon Managed Grafana
<a name="AMG-SAML-providers-cyberark-step2"></a>

Completa i seguenti passaggi nella console Amazon Managed Grafana.

**Per completare la configurazione CyberArk come provider di identità per Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione, seleziona l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro.

1. Nella scheda **Autenticazione**, scegli **Configurazione della configurazione SAML.**

1. In **Importa i metadati**, scegli **Carica o copia/incolla e incolla** l' CyberArk URL che hai copiato nella procedura precedente.

1. In **Assertion mapping**, effettuate le seguenti operazioni:
   + Assicurati di **voler disattivare l'assegnazione di amministratori. La mia area di lavoro non è** selezionata.
**Nota**  
Se scegli di non **assegnare amministratori al mio spazio di lavoro, non potrai utilizzare la console dell'area di lavoro** di Amazon Managed Grafana per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. È possibile apportare modifiche amministrative all'area di lavoro solo utilizzando Grafana APIs.
   + Imposta il **ruolo dell'attributo Assertion** sul nome dell'attributo che hai scelto.
   + Imposta **i valori del ruolo di amministratore** sul valore corrispondente ai ruoli degli utenti amministratori.
   + (Facoltativo) Se hai modificato gli attributi predefiniti nell' CyberArk applicazione, espandi **Impostazioni aggiuntive - opzionale** e quindi imposta i nuovi nomi degli attributi.

     ****Per impostazione predefinita, l'attributo CyberA displayName viene passato all'attributo name e ** CyberArk **l'****attributo mail viene passato a entrambi **gli** attributi email e login.****

1. Scegli **Salva configurazione SAML**.

# Configura Amazon Managed Grafana per usare Okta
<a name="AMG-SAML-providers-okta"></a>

Utilizza i seguenti passaggi per configurare Amazon Managed Grafana per utilizzare Okta come provider di identità. Questi passaggi presuppongono che tu abbia già creato il tuo spazio di lavoro Amazon Managed Grafana e che tu abbia preso nota dell'ID e della regione dell'area di lavoro. URLs

## Passaggio 1: passaggi da completare in Okta
<a name="AMG-SAML-providers-okta-step1"></a>

Completa i seguenti passaggi in Okta.

**Per configurare Okta come provider di identità per Amazon Managed Grafana**

1. Accedi alla console Okta come amministratore. 

1. Nel pannello di sinistra, scegli **Applicazioni, **Applicazioni****.

1. Scegli **Browse App Catalog** e cerca **Amazon Managed Grafana**.

1. **Scegli **Amazon Managed Grafana** e scegli **Aggiungi**, Fatto.**

1. Scegli l'applicazione per iniziare a configurarla.

1. **Nella scheda Accedi**, scegli **Modifica**.

1. **In **Impostazioni di accesso avanzate, inserisci il** tuo ID dello spazio di lavoro Amazon Managed Grafana e la tua regione rispettivamente nei campi **Name Space** e Regione.** **L'ID e la regione del tuo spazio di lavoro Amazon Managed Grafana sono disponibili nell'URL del tuo spazio di lavoro Amazon Managed Grafana, nel formato .grafana-workspace. *workspace-id* *Region*.amazonaws.com.**

1. Scegli **Save** (Salva).

1. **In **SAML 2.0**, copia l'URL per i metadati dell'Identity Provider.** Puoi utilizzarlo più avanti in questa procedura nella console Amazon Managed Grafana.

1. Nella scheda **Assegnazioni**, scegli le **persone** e **i gruppi** che desideri possano utilizzare Amazon Managed Grafana.

## Fase 2: passaggi da completare in Amazon Managed Grafana
<a name="AMG-SAML-providers-okta-step2"></a>

Completa i seguenti passaggi nella console Amazon Managed Grafana.

**Per completare la configurazione di Okta come provider di identità per Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione, seleziona l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro.

1. Nella scheda **Autenticazione**, scegli **Configurazione completa**.

1. In **Importa i metadati**, scegli **Carica o copia/incolla e incolla** l'URL Okta che hai copiato nella procedura precedente.

1. In **Assertion mapping**, procedi come segue:
   + Assicurati di **voler disattivare l'assegnazione di amministratori. La mia area di lavoro non è** selezionata.
**Nota**  
Se scegli di non **assegnare amministratori al mio spazio di lavoro, non potrai utilizzare la console dell'area di lavoro** di Amazon Managed Grafana per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. È possibile apportare modifiche amministrative all'area di lavoro solo utilizzando Grafana APIs.
   + Imposta il **ruolo dell'attributo Assertion** sul nome dell'attributo che hai scelto.
   + Imposta **i valori del ruolo di amministratore** sul valore corrispondente ai ruoli degli utenti amministratori.
   + (Facoltativo) Se hai modificato gli attributi predefiniti nell'applicazione Okta, espandi **Impostazioni aggiuntive - opzionale** e quindi imposta i nuovi nomi degli attributi.

     ******Per impostazione predefinita, l'attributo Okta displayName viene passato all'attributo name e **l'**attributo **Okta** mail viene passato a entrambi gli attributi email e login.******

1. **Scegli Salva configurazione SAML.**

# Configura Amazon Managed Grafana per l'uso OneLogin
<a name="AMG-SAML-providers-onelogin"></a>

Utilizza i seguenti passaggi per configurare Amazon Managed Grafana da utilizzare OneLogin come provider di identità. Questi passaggi presuppongono che tu abbia già creato il tuo spazio di lavoro Amazon Managed Grafana e che tu abbia preso nota dell'ID e della regione dell'area di lavoro. URLs

## Passaggio 1: passaggi da completare OneLogin
<a name="AMG-SAML-providers-onelogin-step1"></a>

Completa i seguenti passaggi in OneLogin.

**Per configurare OneLogin come provider di identità per Amazon Managed Grafana**

1. Accedi al OneLogin portale come amministratore. 

1. Scegli **Applicazioni**, **Applicazioni**, **Aggiungi app**.

1. Cerca **Amazon Managed Service for Grafana**.

1. **Assegna un **nome visualizzato** a tua scelta e scegli Salva.**

1. Vai a **Configurazione** e inserisci l'ID dello spazio di lavoro Amazon Managed Grafana in **Namespace**, quindi inserisci la regione del tuo spazio di lavoro Amazon Managed Grafana.

1. Nella scheda **Configurazione**, inserisci l'URL del tuo spazio di lavoro Amazon Managed Grafana.

1. Puoi lasciare il parametro **AdminRole** come **predefinito No** Default e compilarlo utilizzando la scheda **Regole**, se un amministratore richiede un valore corrispondente in Amazon Managed Grafana. In questo esempio, il **ruolo dell'attributo Assertion** verrebbe impostato su **AdminRole in** Amazon Managed Grafana, con il valore true. Puoi indicare questo valore a qualsiasi attributo del tuo tenant. Fai clic sul **\$1** per aggiungere e configurare i parametri per soddisfare i requisiti della tua organizzazione.

1. Scegli la scheda **Regole**, scegli **Aggiungi regola** e dai un nome alla regola. Nel campo **Condizioni** (l'istruzione if), aggiungiamo **Email contains [indirizzo email]**. **Nel campo **Azioni** (l'istruzione then), selezioniamo **Set AdminRole in Amazon Managed Service** e selezioniamo **Macro** nel menu a discesa **Set adminRole** to, con il valore true.** La tua organizzazione può scegliere regole diverse per risolvere diversi casi d'uso.

1. Scegli **Save** (Salva). Vai a **Altre azioni** e scegli **Riapplica le mappature dei diritti**. È necessario riapplicare le mappature ogni volta che si creano o si aggiornano le regole.

1. Prendi nota dell'**URL dell'emittente**, che utilizzerai successivamente nella configurazione nella console Amazon Managed Grafana. Quindi scegli **Save** (Salva).

1. Scegli la scheda **Accesso** per assegnare i OneLogin ruoli che devono accedere ad Amazon Managed Grafana e seleziona una policy di sicurezza dell'app. 

## Fase 2: passaggi da completare in Amazon Managed Grafana
<a name="AMG-SAML-providers-onelogin-step2"></a>

Completa i seguenti passaggi nella console Amazon Managed Grafana.

**Per completare la configurazione OneLogin come provider di identità per Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione, seleziona l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro.

1. Nella scheda **Autenticazione**, scegli **Configurazione della configurazione SAML.**

1. In **Importa i metadati**, scegli **Carica o copia/incolla e incolla** l'URL dell' OneLoginemittente che hai copiato dalla console nella OneLogin procedura precedente.

1. In **Assertion mapping**, procedi come segue:
   + Assicurati di **voler disattivare l'assegnazione di amministratori. La mia area di lavoro non è** selezionata.
**Nota**  
Se scegli di non **assegnare amministratori al mio spazio di lavoro, non potrai utilizzare la console dell'area di lavoro** di Amazon Managed Grafana per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. È possibile apportare modifiche amministrative all'area di lavoro solo utilizzando Grafana APIs.
   + Imposta il **ruolo dell'attributo Assertion** sul nome dell'attributo che hai scelto. Il valore predefinito per OneLogin è **AdminRole**.
   + Imposta **i valori del ruolo di amministratore** sul valore corrispondente ai ruoli degli utenti amministratori.
   + (Facoltativo) Se hai modificato gli attributi predefiniti nell' OneLogin applicazione, espandi **Impostazioni aggiuntive - opzionale** e quindi imposta i nuovi nomi degli attributi.

     ****Per impostazione predefinita, l' OneLogin attributo displayName viene passato all'attributo name e ** OneLogin **l'****attributo mail viene passato a entrambi **gli** attributi email e login.****

1. Scegli **Salva configurazione SAML**.

# Configura Amazon Managed Grafana per utilizzare Ping Identity
<a name="AMG-SAML-providers-pingone"></a>

Utilizza i seguenti passaggi per configurare Amazon Managed Grafana per utilizzare Ping Identity come provider di identità. Questi passaggi presuppongono che tu abbia già creato il tuo spazio di lavoro Amazon Managed Grafana e che tu abbia preso nota dell'ID e della regione dell'area di lavoro. URLs

## Passaggio 1: passaggi da completare in Ping Identity
<a name="AMG-SAML-providers-pingone-step1"></a>

Completa i seguenti passaggi in Ping Identity.

**Per configurare Ping Identity come provider di identità per Amazon Managed Grafana**

1. Accedi alla console Ping Identity come amministratore. 

1. Selezionare **Applications (Applicazioni)**.

1. Scegli **Aggiungi applicazione**, **Cerca nel catalogo delle applicazioni**.

1. **Cerca l'applicazione **Amazon Managed Grafana for SAML**, quindi selezionala e scegli Setup.**

1. Nell'applicazione Ping Identity, scegli **Avanti** per accedere alla pagina di configurazione SAML. Quindi esegui le seguenti impostazioni SAML:
   + Per **Assertion Consumer Service**, incolla **l'URL di risposta del fornitore** di servizi dall'area di lavoro Amazon Managed Grafana.
   + Per **Entity ID**, incolla l'**identificativo del fornitore** di servizi dall'area di lavoro Amazon Managed Grafana.
   + Assicurati che **Sign Assertion** sia selezionato e che **Encrypt** Assertion non sia selezionato.

1. Scegli **Continua al passaggio successivo.**

1. **Nella **mappatura degli attributi SSO**, assicurati che l'attributo Amazon Managed Grafana sia nell'attributo **Application e che l'attributo** Ping Identity sia nell'attributo Identity Bridge.** Quindi effettua le seguenti impostazioni:
   + la **posta** deve essere **Email (Work)**.
   + **DisplayName** **deve essere Display Name.**
   + **SAML\$1SUBJECT** **deve essere Email (Work).** **Quindi, per questo attributo, scegli **Avanzato**, imposta il **formato Name ID da inviare a SP su **URN:oasis:names:TC:SAML:2.0:NameID-Format:Transient**** e scegli Salva.** 
   + Aggiungi qualsiasi altro attributo che desideri passare.
   + Aggiungi qualsiasi altro attributo che desideri passare. Per ulteriori informazioni sugli attributi che puoi trasmettere ad Amazon Managed Grafana nella mappatura delle asserzioni, consulta. [Mappatura delle asserzioni](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Scegli **Continua al passaggio successivo.**

1. In **Group Access**, scegli a quali gruppi assegnare questa applicazione.

1. Scegli **Continua al passaggio successivo**.

1. Copia l'**URL dei metadati SAML** che inizia con. `https://admin- api.pingone.com/latest/metadata/` Lo utilizzerai più avanti nella configurazione.

1. Scegli **Fine**.

## Fase 2: passaggi da completare in Amazon Managed Grafana
<a name="AMG-SAML-providers-pingone-step2"></a>

Completa i seguenti passaggi nella console Amazon Managed Grafana.

**Per completare la configurazione di Ping Identity come provider di identità per Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione, seleziona l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro.

1. Nella scheda **Autenticazione**, scegli **Configurazione della configurazione SAML.**

1. In **Importa i metadati**, scegli **Carica o copia/incolla e incolla** l'URL Ping che hai copiato nella procedura precedente.

1. In **Assertion mapping**, effettuate le seguenti operazioni:
   + Assicurati di **voler disattivare l'assegnazione di amministratori. La mia area di lavoro non è** selezionata.
**Nota**  
Se scegli di non **assegnare amministratori al mio spazio di lavoro, non potrai utilizzare la console dell'area di lavoro** di Amazon Managed Grafana per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. È possibile apportare modifiche amministrative all'area di lavoro solo utilizzando Grafana APIs.
   + Imposta il **ruolo dell'attributo Assertion** sul nome dell'attributo che hai scelto.
   + Imposta **i valori del ruolo di amministratore** sul valore corrispondente ai ruoli degli utenti amministratori.
   + (Facoltativo) Se hai modificato gli attributi predefiniti nell'applicazione Ping Identity, espandi **Impostazioni aggiuntive - opzionale** e quindi imposta i nuovi nomi degli attributi.

     **Per impostazione predefinita, l'attributo Ping Identity **displayName** viene passato all'attributo name e **l'**attributo Ping **Identity** mail viene passato sia all'attributo email che **all'**attributo login.**

1. Scegli **Salva configurazione SAML**.

# Utilizzalo AWS IAM Identity Center con il tuo spazio di lavoro Amazon Managed Grafana
<a name="authentication-in-AMG-SSO"></a>

Amazon Managed Grafana si integra con AWS IAM Identity Center per fornire la federazione delle identità per la tua forza lavoro. Utilizzando Amazon Managed Grafana e IAM Identity Center, gli utenti vengono reindirizzati all'elenco aziendale esistente per accedere con le credenziali esistenti. Quindi, accedono senza problemi al loro spazio di lavoro Amazon Managed Grafana. Ciò garantisce l'applicazione di impostazioni di sicurezza come le politiche sulle password e l'autenticazione a due fattori. L'utilizzo di IAM Identity Center non influisce sulla configurazione IAM esistente.

Se non disponi di una directory utenti esistente o preferisci non eseguire la federazione, IAM Identity Center offre una directory utenti integrata che puoi utilizzare per creare utenti e gruppi per Amazon Managed Grafana. Amazon Managed Grafana non supporta l'uso di utenti e ruoli IAM per assegnare autorizzazioni all'interno di uno spazio di lavoro Amazon Managed Grafana. 

[Per ulteriori informazioni su IAM Identity Center, consulta What is. AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) Per ulteriori informazioni su come iniziare a usare IAM Identity Center, consulta [Guida introduttiva](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html).

Per utilizzare IAM Identity Center, devi aver AWS Organizations attivato anche l'account. Se necessario, Amazon Managed Grafana può attivare Organizations for you quando crei il tuo primo spazio di lavoro configurato per utilizzare IAM Identity Center.

## Autorizzazioni richieste per scenari che utilizzano IAM Identity Center
<a name="SSO-permission-scenarios"></a>

Questa sezione spiega le politiche necessarie per utilizzare Amazon Managed Grafana con IAM Identity Center. Le politiche necessarie per amministrare Amazon Managed Grafana variano a seconda che l' AWS account faccia parte di un'organizzazione o meno.

### Crea un amministratore Grafana negli account AWS Organizations
<a name="SSO-policy-org"></a>

Per concedere le autorizzazioni per creare e gestire aree di lavoro Amazon Managed Grafana in un'organizzazione e per consentire dipendenze AWS IAM Identity Center come, assegna le seguenti politiche a un ruolo.
+ Assegna la policy **AWSGrafanaAccountAdministrator**IAM per consentire l'amministrazione degli spazi di lavoro Amazon Managed Grafana.
+ **AWSSSODirectoryL'amministratore** consente al ruolo di utilizzare IAM Identity Center durante la configurazione degli spazi di lavoro Amazon Managed Grafana.
+ Per consentire la creazione e la gestione di aree di lavoro Amazon Managed Grafana in tutta l'organizzazione, assegna al ruolo la **AWSSSOMasterAccountAdministrator**policy IAM. In alternativa, assegna al ruolo la policy **AWSSSOMemberAccountAdministrator**IAM per consentire la creazione e la gestione di spazi di lavoro all'interno di un unico account membro dell'organizzazione.
+ Facoltativamente, puoi anche assegnare al ruolo la policy **AWSMarketplaceManageSubscriptions**IAM (o autorizzazioni equivalenti) se desideri consentire al ruolo di aggiornare uno spazio di lavoro Amazon Managed Grafana a Grafana enterprise.

Se desideri utilizzare le autorizzazioni gestite dal servizio quando crei un'area di lavoro Amazon Managed Grafana, il ruolo che crea l'area di lavoro deve avere anche le autorizzazioni, e. `iam:CreateRole` `iam:CreatePolicy` `iam:AttachRolePolicy` Questi sono necessari per implementare politiche che consentano di leggere le fonti di dati negli account dell'organizzazione. CloudFormation StackSets 

**Importante**  
Se si concedono a un utente le autorizzazioni `iam:AttachRolePolicy`, `iam:CreateRole` e `iam:CreatePolicy`, questo disporrà dell'accesso amministrativo completo all'account AWS . Ad esempio, un utente con queste autorizzazioni può creare una policy che dispone di autorizzazioni complete per tutte le risorse e collegare tale policy a qualsiasi ruolo. Presta molta attenzione a chi concedi queste autorizzazioni. 

Per vedere le autorizzazioni concesse a **AWSGrafanaAccountAdministrator**, vedi [AWS politica gestita: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

### Crea e gestisci gli spazi di lavoro e gli utenti di Amazon Managed Grafana in un unico account indipendente
<a name="SSO-examples-standalone"></a>

Un AWS account autonomo è un account che non è membro di un'organizzazione. Per ulteriori informazioni su AWS Organizations, vedi [Cos'è AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)

Per concedere l'autorizzazione a creare e gestire gli spazi di lavoro e gli utenti di Amazon Managed Grafana in un account autonomo, assegna le seguenti politiche IAM a un ruolo:
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAmministratore**

**Importante**  
Concedendo un ruolo, la **AWSOrganizationsFullAccess**policy offre a tale ruolo l'accesso amministrativo completo al tuo account. AWS Presta molta attenzione a chi concedi queste autorizzazioni.

Per vedere le autorizzazioni concesse a **AWSGrafanaAccountAdministrator**, vedi [AWS politica gestita: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)