翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Managed Grafana ワークスペースで SAML を使用する
<a name="authentication-in-AMG-SAML"></a>

**注記**  
現在、Amazon Managed Grafana はワークスペースに対する IdP 開始のログインをサポートしていません。SAML アプリケーションは、Relay State を空白で設定する必要があります。

SAML 認証を使用すると、既存の ID プロバイダーを使用して Amazon Managed Grafana ワークスペースの Grafana コンソールにシングルサインオンでログインできるようになります。IAM を介して認証する代わりに Amazon Managed Grafana の SAML 認証を使用すると、サードパーティーの ID プロバイダーを使用したログイン、アクセスコントロールの管理、データの検索、視覚的表現の構築を行うことができます。Amazon Managed Grafana は、SAML 2.0 標準を使用し、Azure AD、CyberArk、Okta、OneLogin、および Ping Identity と連携したアプリケーションを構築およびテストした ID プロバイダーをサポートします。

ワークスペース作成時の SAML 認証の設定方法の詳細については、「[ワークスペースの作成](AMG-create-workspace.md#creating-workspace)」を参照してください。

SAML 認証フローでは、Amazon Managed Grafana ワークスペースがサービスプロバイダー (SP) として機能し、IdP と対話してユーザー情報を取得します。SAML の詳細については、「[Security Assertion Markup Language](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)」を参照してください。

IdP のグループを Amazon Managed Grafana ワークスペースのチームにマッピングし、それらのチームにきめ細かなアクセス権限を設定することができます。また、IdP で定義されている組織ロールを Amazon Managed Grafana ワークスペースのロールにマッピングすることもできます。例えば、IdP で**開発者**ロールが定義されている場合、そのロールを Amazon Managed Grafana ワークスペースの **Grafana 管理者**ロールにマッピングすることができます。

**注記**  
IdP と SAML を認証に使用する Amazon Managed Grafana ワークスペースを作成する際は、**AWSGrafanaAccountAdministrator** ポリシーがアタッチされている IAM プリンシパルにサインインしている必要があります。

Amazon Managed Grafana ワークスペースにサインインするには、ユーザーはワークスペースの Grafana コンソールのホームページにアクセスし、[**SAML を使用してログイン**] を選択します。ワークスペースは SAML 設定を読み込み、認証のためにユーザーを IdP にリダイレクトします。ユーザーは IdP ポータルにサインイン認証情報を入力し、有効なユーザーである場合、IdP は SAML アサーションを発行し、ユーザーを Amazon Managed Grafana ワークスペースにリダイレクトします。Amazon Managed Grafana は、SAML アサーションが有効であることを確認し、ユーザーはサインインしてワークスペースを使用できるようになります。

Amazon Managed Grafana は、次の SAML 2.0 バインディングをサポートしています。
+ サービスプロバイダー (SP) から ID プロバイダー (IdP):
  + HTTP-POST バインディング
  + HTTP-Redirect バインディング
+ ID プロバイダー (IdP) からサービスプロバイダー (SP):
  + HTTP-POST バインディング

Amazon Managed Grafana は、署名および暗号化されたアサーションをサポートしていますが、署名または暗号化されたリクエストはサポートしていません。

Amazon Managed Grafana は SP 開始のリクエストをサポートしており、IdP 開始のリクエストはサポートしていません。

## アサーションマッピング
<a name="AMG-SAML-Assertion-Mapping"></a>

SAML 認証フロー中、Amazon Managed Grafana はアサーションコンシューマーサービス (ACS) コールバックを受け取ります。このコールバックには、認証されるユーザーに関連するすべての情報が埋め込まれた SAML レスポンスが含まれています。Amazon Managed Grafana はそのレスポンスを解析して、内部データベース内でユーザーを作成 (または更新) します。

Amazon Managed Grafana がユーザー情報をマッピングする際、アサーション内の個々の属性が表示されます。これらの属性はキーと値のペアと考えることができますが、それ以上の情報も含んでいます。

Amazon Managed Grafana は、これらの値をどのキーから取得するかを変更できる設定オプションを提供しています。

Amazon Managed Grafana コンソールを使用して、次の SAML アサーション属性を Amazon Managed Grafana の値にマッピングできます。
+ [**アサーション属性ロール**]に、ユーザーロールとして使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性名]** で、SAML ユーザーの完全な「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性ログイン]** で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性電子メール]** で、SAML ユーザーの電子メール名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性組織]** で、ユーザー組織の「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性グループ]** で、ユーザーグループの「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[許可される組織]** では、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。
+ **[エディタロールの値]** に、Amazon Managed Grafana ワークスペースで `Editor` ロールをすべて付与する必要がある IdP のユーザーロールを入力します。

## ID プロバイダーへの接続
<a name="authentication-in-AMG-SAML-providers"></a>

次の外部 ID プロバイダーは Amazon Managed Grafana でテストされており、SAML で Amazon Managed Grafana を設定するのに役立つアプリケーションをアプリケーションディレクトリまたはギャラリーで直接提供しています。

**Topics**
+ [アサーションマッピング](#AMG-SAML-Assertion-Mapping)
+ [ID プロバイダーへの接続](#authentication-in-AMG-SAML-providers)
+ [Azure AD を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-Azure.md)
+ [CyberArk を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-CyberArk.md)
+ [Okta を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-okta.md)
+ [OneLogin を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-onelogin.md)
+ [Ping Identity を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-pingone.md)