翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Managed Grafana ワークスペースでユーザーを認証する
個々のユーザーはワークスペースにサインインし、ダッシュボードの編集や表示を行います。ワークスペースにユーザーを割り当てた後、そのユーザーには[ユーザー、編集者、または管理者権限を付与](AMG-manage-users-and-groups-AMG.md)することができます。最初に、ID プロバイダーを作成して (既存の ID プロバイダーがあればこれを使用して) ユーザーを認証します。
ユーザーは、IAM を使用するのではなく、組織の ID プロバイダーを使ったシングルサインオンによって、Amazon Managed Grafana ワークスペースの Grafana コンソールを使用するように認証されます。各ワークスペースでは、次の認証方法のいずれかまたは両方を使用できます。
+ Security Assertion Markup Language 2.0 (SAML 2.0) をサポートする ID プロバイダー (IdP) に保存されたユーザー認証情報
+ AWS IAM アイデンティティセンター. AWS Single-sign-on (**AWS SSO**) が **IAM アイデンティティセンター**にブランド変更されました。
SAML、IAM Identity Center、またはその両方を使用するかはワークスペースごとに選択できます。最初にどちらを使用するかを選択した場合も、後でその他の方法に切り替えることができます。
ワークスペース内の機能にアクセスする前に、ユーザー (またはユーザーが属するグループ) にワークスペースへのアクセス権を付与する必要があります。ユーザーに権限を付与する方法の詳細については、「[Amazon Managed Grafana ワークスペースに対するユーザーとグループのアクセス権を管理する](AMG-manage-users-and-groups-AMG.md)」を参照してください。
**Topics**
+ [Amazon Managed Grafana ワークスペースで SAML を使用する](authentication-in-AMG-SAML.md)
+ [Amazon Managed Grafana ワークスペース AWS IAM アイデンティティセンター で を使用する](authentication-in-AMG-SSO.md)
# Amazon Managed Grafana ワークスペースで SAML を使用する
**注記**
現在、Amazon Managed Grafana はワークスペースに対する IdP 開始のログインをサポートしていません。SAML アプリケーションは、Relay State を空白で設定する必要があります。
SAML 認証を使用すると、既存の ID プロバイダーを使用して Amazon Managed Grafana ワークスペースの Grafana コンソールにシングルサインオンでログインできるようになります。IAM を介して認証する代わりに Amazon Managed Grafana の SAML 認証を使用すると、サードパーティーの ID プロバイダーを使用したログイン、アクセスコントロールの管理、データの検索、視覚的表現の構築を行うことができます。Amazon Managed Grafana は、SAML 2.0 標準を使用し、Azure AD、CyberArk、Okta、OneLogin、および Ping Identity と連携したアプリケーションを構築およびテストした ID プロバイダーをサポートします。
ワークスペース作成時の SAML 認証の設定方法の詳細については、「[ワークスペースの作成](AMG-create-workspace.md#creating-workspace)」を参照してください。
SAML 認証フローでは、Amazon Managed Grafana ワークスペースがサービスプロバイダー (SP) として機能し、IdP と対話してユーザー情報を取得します。SAML の詳細については、「[Security Assertion Markup Language](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)」を参照してください。
IdP のグループを Amazon Managed Grafana ワークスペースのチームにマッピングし、それらのチームにきめ細かなアクセス権限を設定することができます。また、IdP で定義されている組織ロールを Amazon Managed Grafana ワークスペースのロールにマッピングすることもできます。例えば、IdP で**開発者**ロールが定義されている場合、そのロールを Amazon Managed Grafana ワークスペースの **Grafana 管理者**ロールにマッピングすることができます。
**注記**
IdP と SAML を認証に使用する Amazon Managed Grafana ワークスペースを作成する際は、**AWSGrafanaAccountAdministrator** ポリシーがアタッチされている IAM プリンシパルにサインインしている必要があります。
Amazon Managed Grafana ワークスペースにサインインするには、ユーザーはワークスペースの Grafana コンソールのホームページにアクセスし、[**SAML を使用してログイン**] を選択します。ワークスペースは SAML 設定を読み込み、認証のためにユーザーを IdP にリダイレクトします。ユーザーは IdP ポータルにサインイン認証情報を入力し、有効なユーザーである場合、IdP は SAML アサーションを発行し、ユーザーを Amazon Managed Grafana ワークスペースにリダイレクトします。Amazon Managed Grafana は、SAML アサーションが有効であることを確認し、ユーザーはサインインしてワークスペースを使用できるようになります。
Amazon Managed Grafana は、次の SAML 2.0 バインディングをサポートしています。
+ サービスプロバイダー (SP) から ID プロバイダー (IdP):
+ HTTP-POST バインディング
+ HTTP-Redirect バインディング
+ ID プロバイダー (IdP) からサービスプロバイダー (SP):
+ HTTP-POST バインディング
Amazon Managed Grafana は、署名および暗号化されたアサーションをサポートしていますが、署名または暗号化されたリクエストはサポートしていません。
Amazon Managed Grafana は SP 開始のリクエストをサポートしており、IdP 開始のリクエストはサポートしていません。
## アサーションマッピング
SAML 認証フロー中、Amazon Managed Grafana はアサーションコンシューマーサービス (ACS) コールバックを受け取ります。このコールバックには、認証されるユーザーに関連するすべての情報が埋め込まれた SAML レスポンスが含まれています。Amazon Managed Grafana はそのレスポンスを解析して、内部データベース内でユーザーを作成 (または更新) します。
Amazon Managed Grafana がユーザー情報をマッピングする際、アサーション内の個々の属性が表示されます。これらの属性はキーと値のペアと考えることができますが、それ以上の情報も含んでいます。
Amazon Managed Grafana は、これらの値をどのキーから取得するかを変更できる設定オプションを提供しています。
Amazon Managed Grafana コンソールを使用して、次の SAML アサーション属性を Amazon Managed Grafana の値にマッピングできます。
+ [**アサーション属性ロール**]に、ユーザーロールとして使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性名]** で、SAML ユーザーの完全な「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性ログイン]** で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性電子メール]** で、SAML ユーザーの電子メール名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性組織]** で、ユーザー組織の「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性グループ]** で、ユーザーグループの「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[許可される組織]** では、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。
+ **[エディタロールの値]** に、Amazon Managed Grafana ワークスペースで `Editor` ロールをすべて付与する必要がある IdP のユーザーロールを入力します。
## ID プロバイダーへの接続
次の外部 ID プロバイダーは Amazon Managed Grafana でテストされており、SAML で Amazon Managed Grafana を設定するのに役立つアプリケーションをアプリケーションディレクトリまたはギャラリーで直接提供しています。
**Topics**
+ [アサーションマッピング](#AMG-SAML-Assertion-Mapping)
+ [ID プロバイダーへの接続](#authentication-in-AMG-SAML-providers)
+ [Azure AD を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-Azure.md)
+ [CyberArk を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-CyberArk.md)
+ [Okta を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-okta.md)
+ [OneLogin を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-onelogin.md)
+ [Ping Identity を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-pingone.md)
# Azure AD を使用するように Amazon Managed Grafana を設定する
次の手順で、Azure Active Directory を ID プロバイダーとして使用するように Amazon Managed Grafana を設定します。この手順は、Amazon Managed Grafana ワークスペースを既に作成していることを前提としています。ワークスペースの *ID*、*URL*、および *AWS リージョン* の情報をお手元に用意してください。
## ステップ 1: Azure Active Directory での作業手順
Azure Active Directory で以下手順を実行します。
**Azure Active Directory を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Azure コンソールに管理者としてサインインします。
1. **[Azure Active Directory]** を選択します。
1. **[エンタープライズアプリケーション]** を選択します。
1. 「**Amazon Managed Grafana SAML2.0**」を検索して選択します。
1. アプリケーションを選択して **[セットアップ]** を選択します。
1. Azure Active Directory アプリケーション設定で、**[ユーザーとグループ]** を選択します。
1. 必要なユーザーとグループにアプリケーションを割り当てます。
1. **[Single Sign-On]** を選択します。
1. [次へ] を選択して、SAML 設定ページに移動します。
1. SAML の設定内容を指定します。
+ **識別子 (エンティティ ID)**に、Amazon Managed Grafana ワークスペースからの**サービスプロバイダー識別子** URL を貼り付けます。
+ **返信 URL (Assertion Consumer Service URL)** に、Amazon Managed Grafana ワークスペースからの**サービスプロバイダーの返信** URL を貼り付けます。
+ **[Sign Assertion]** が選択され、**[Encrypt Assertion]** が選択されていないことを確認します。
1. **ユーザー属性とクレーム**セクションで、これらの属性がマッピングされていることを確認します。大文字と小文字が区別されます。
+ **mail** は **user.userprincipalname** に設定されます。
+ **[表示名]** は **user.displayname** に設定されます。
+ **一意のユーザー識別子**は **user.userprincipalname** に設定されます。
+ 渡したい他の属性を追加します。アサーションマッピングで Amazon Managed Grafana に渡すことができる属性の詳細については、「[アサーションマッピング](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)」を参照してください。
1. Amazon Managed Grafana ワークスペース設定で使用する **SAML メタデータ URL** をコピーします。
## ステップ 2: Amazon Managed Grafana での作業手順
Amazon Managed Grafana コンソールで以下手順を実行します。
**Azure Active Directory を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. ナビゲーションペインで、メニューアイコンを選択します。
1. **[すべての WorkSpaces]** を選択します。
1. ワークスペースの名前を選択します。
1. **[認証]**] タブで、**[SAML 設定のセットアップ]**] を選択します。
1. **[Import the metadata (メタデータのインポート)]** で **[Upload or copy/paste (アップロードまたはコピー/貼り付け)** を選択し、前のセクションで**SAML Metadata URL (SAML メタデータ URL)** からコピーした Azure Active Directory URL を貼り付けます。
1. **[アサーションマッピング]** で、次を行います:
+ **I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** が選択されていないことを確認してください。
**注記**
**I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Amazon Managed Grafana ワークスペースコンソールを使用してワークスペースを管理することができなくなります。ワークスペースに対する管理変更は、Grafana API を使用してのみ実行できます。
+ **[アサーション属性ロール]** を選択した属性名に設定します。
+ **[管理者ロールの値]** を、管理者ユーザーのロールに対応する値に設定します。
+ (任意) Azure Active Directory アプリケーションでデフォルトの属性を変更した場合、**[追加設定 - オプション]** を展開し、新しい属性名を設定します。
デフォルトでは、Azure の **[表示名]** 属性が **[名前]** 属性として渡され、Ping Identity の **mail** (メール)属性が **email** (eメール) 属性と**[ログイン]** 属性の両方に渡されます。
1. **[SAML 設定の保存]** を選択します。
# CyberArk を使用するように Amazon Managed Grafana を設定する
次の手順で、CyberArk を ID プロバイダーとして使用するように Amazon Managed Grafana を設定します。この手順は、Amazon Managed Grafana ワークスペースを既に作成していることを前提としています。ワークスペースの ID、URL、および Region の情報をお手元に用意してください。
## ステップ 1: CyberArk での作業手順
CyberArk で以下のステップを完了します。
**CyberArk を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. CyberArk Identity 管理ポータルにサインインします。
1. **[アプリ]**、**[Web アプリ]** を選択します。
1. **[Web アプリの追加]** を選択します。
1. **[Amazon Managed Grafana for SAML2.0]** を検索して **[追加]**] を選択します。
1. CyberArk アプリケーション設定で、**Trust** (信頼) セクションに移動します。
1. **Identity Provider Configuration**で、**[メタデータ]** を選択します。
1. [**Copy URL**] (URL をコピー) を選択して URL を保存します (後で使用します)。
1. **[サービスプロバイダーの設定]**] で、**[手動設定]**] を選択します。
1. SAML の設定内容を指定します。
+ **SP Entity ID**に、Amazon Managed Grafana ワークスペースからの**サービスプロバイダー識別子** URL を貼り付けます。
+ **アサーション カスタマー サービス (ACS) URL** に、Amazon Managed Grafana ワークスペースからの**サービスプロバイダーの返信** URL を貼り付けます。
+ [**Sign Response Assertion**] (サイン レスポンス アサーション) を [**Assertion**] (アサーション) に設定します。
+ **[NameID の形式]** が **[emailAddress]** であることを確認します。
1. **[保存]** を選択します。
1. **[SAML レスポンス]** セクションで、Amazon Managed Grafana 属性が **[アプリケーション名]** にあり、CyberArk 属性が**[属性値]** にあることを確認します。次に、以下の属性がマッピングされていることを確認します。大文字と小文字が区別されます。
+ **[表示名]** は **LoginUser.DisplayName** に設定されます。
+ **mail** は **LoginUser.Email** に設定されます。
+ 渡したい他の属性を追加します。アサーションマッピングで Amazon Managed Grafana に渡すことができる属性の詳細については、「[アサーションマッピング](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)」を参照してください。
1. **[保存]** を選択します。
1. **[権限]** セクションで、このアプリケーションを割り当てるユーザーとグループを選択し、**[保存]** を選択します。
## ステップ 2: Amazon Managed Grafana での作業手順
Amazon Managed Grafana コンソールで以下手順を実行します。
**CyberArk を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. ナビゲーションペインで、メニューアイコンを選択します。
1. **[すべての WorkSpaces]** を選択します。
1. ワークスペースの名前を選択します。
1. **[認証]**] タブで、**[SAML 設定のセットアップ]**] を選択します。
1. **[Import the metadata (メタデータのインポート)]** で**[Upload or copy/paste (アップロードまたはコピー/貼り付け)** を選択し、前の手順でコピーした CyberArk の URL を貼り付けます。
1. **[アサーションマッピング]** で、次を行います:
+ **I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** が選択されていないことを確認してください。
**注記**
**I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Amazon Managed Grafana ワークスペースコンソールを使用してワークスペースを管理することができなくなります。ワークスペースに対する管理変更は、Grafana API を使用してのみ実行できます。
+ **[アサーション属性ロール]** を選択した属性名に設定します。
+ **[管理者ロールの値]** を、管理者ユーザーのロールに対応する値に設定します。
+ (任意) CyberArk アプリケーションでデフォルトの属性を変更した場合、**[追加設定 - オプション]** を展開し、新しい属性名を設定します。
デフォルトでは、CyberA の **[表示名]**属性が **[名前]** 属性に渡され、CyberArk の **[メール]** 属性が **[eメール]** 属性と**[ログイン]**属性の両方に渡されます。
1. **[SAML 設定の保存]** を選択します。
# Okta を使用するように Amazon Managed Grafana を設定する
次の手順で、Okta を ID プロバイダーとして使用するように Amazon Managed Grafana を設定します。この手順は、Amazon Managed Grafana ワークスペースを既に作成していることを前提としています。ワークスペースの ID、URL、および Region の情報をお手元に用意してください。
## ステップ 1: Okta での作業手順
Okta で以下の手順を実行します。
**Okta を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Okta コンソールに管理者としてサインインします。
1. 左側のパネルで、**[アプリケーション]**、**[アプリケーション]** の順に選択します。
1. **[アプリカタログを参照]** を選択して **[Amazon Managed Grafana]** を検索します。
1. **[Amazon Managed Grafana]** を選択して **[追加]**、**[完了]** の順に選択します。
1. アプリケーションを選択してセットアップを開始します。
1. [**Sign On**] (サインオン) タブで、[**編集**] を選択します。
1. **[詳細サインオン設定]** の **[名前空間]** フィールドに Amazon Managed Grafana ワークスペース ID を、**[リージョン]** フィールドにリージョンをそれぞれ入力します。Amazon Managed Grafana ワークスペース ID とリージョンは Amazon Managed Grafana ワークスペース URL に、***workspace-id*.grafana-workspace.*Region*.amazonaws.com** の形式で記載されています。
1. **[保存]** を選択します。
1. **SAML 2.0** で、**Identity Provider metadata** (ID プロバイダーのメタデータ) の URL をコピーします。この URL は後で Amazon Managed Grafana コンソールで使用します。
1. **[割り当て]** タブで、Amazon Managed Grafana を使用する**[ユーザー]**と**[グループ]**を選択します。
## ステップ 2: Amazon Managed Grafana での作業手順
Amazon Managed Grafana コンソールで以下手順を実行します。
**Okta を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. ナビゲーションペインで、メニューアイコンを選択します。
1. **[すべての WorkSpaces]** を選択します。
1. ワークスペースの名前を選択します。
1. **[認証]** タブで、**[セットアップの完了]** を選択します。
1. **[メタデータのインポート]** で **[Upload or copy/paste]** (アップロードまたはコピー/貼り付け) を選択し、前の手順でコピーした Okta の URL を貼り付けます。
1. **[アサーションマッピング]** で、次を行います:
+ **I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** が選択されていないことを確認してください。
**注記**
**I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Amazon Managed Grafana ワークスペースコンソールを使用してワークスペースを管理することができなくなります。ワークスペースに対する管理変更は、Grafana API を使用してのみ実行できます。
+ **[アサーション属性ロール]** を選択した属性名に設定します。
+ **[管理者ロールの値]** を、管理者ユーザーのロールに対応する値に設定します。
+ (任意) Okta アプリケーションでデフォルトの属性を変更した場合、**[追加設定 - オプション]** を展開し、新しい属性名を設定します。
デフォルトでは、Okta の **[表示名]** 属性が **[名前]** 属性に渡され、Okta の **[メール]** 属性が **[eメール]** 属性と**[ログイン]** 属性の両方に渡されます。
1. **[SAML 設定の保存]** を選択します。
# OneLogin を使用するように Amazon Managed Grafana を設定する
次の手順で、OneLogin を ID プロバイダーとして使用するように Amazon Managed Grafana を設定します。この手順は、Amazon Managed Grafana ワークスペースを既に作成していることを前提としています。ワークスペースの ID、URL、および Region の情報をお手元に用意してください。
## ステップ 1: OneLogin での作業手順
OneLogin で次のステップを完了します。
**OneLogin を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. ステップ 1: 管理者として OneLogin ポータルにサインインする。
1. **[アプリケーション]**、**[アプリケーション]**、**[アプリの追加]** の順に選択します。
1. **[Amazon Managed Service for Grafana]** を検索します。
1. 任意の**表示名**を設定して **[保存]** を選択します。
1. **[設定]** に移動し、**[名前空間]** に Amazon Managed Grafana ワークスペース ID を入力し、Amazon Managed Grafana ワークスペースのリージョンを入力します。
1. **[設定]** タブで、Amazon Managed Grafana ワークスペースの URL を入力します。
1. **[adminRole]** パラメータはデフォルトの **[No Default]** のままで構いません。必要に応じて**[ルール]** タブから Amazon Managed Grafana に対応する値を設定できます。この例では、Amazon Managed Grafana の **[アサーション属性ロール]** が **[adminRole]** に設定され、値は真になります。この値は、テナント内の任意の属性に設定できます。**+** をクリックして、組織の要件を満たすようにパラメータを追加および設定します。
1. **[ルール]** タブで **[ルールの追加]** を選択してルールに名前を付けます。**[条件]** フィールド (if 文) に**メール ([email address] を含む)** を追加します。**[アクション]** フィールド (then 文) で **[Amazon Managed Service で AdminRole を設定]** を選択し、**[Set adminRole]** ドロップダウンで **[マクロ]** を選択し、値に **[真]** を設定します。異なるルールを選択して、さまざまなユースケースに対応できます。
1. **[保存]** を選択します。**[その他のアクション]** へ移動して、**[エンタイトルメントマッピングの再適用]** を選択します。ルールを作成または更新した都度、マッピングを再適用する必要があります。
1. **発行者 URL** を控えます。この URL は Amazon Managed Grafana コンソールで行う設定 (後述) で使用します。次に、**[保存]** を選択します。
1. **[アクセス]** タブを選択して、Amazon Managed Grafana にアクセスする OneLogin のロールを割り当て、アプリケーションセキュリティポリシーを選択します。
## ステップ 2: Amazon Managed Grafana での作業手順
Amazon Managed Grafana コンソールで以下手順を実行します。
**OneLogin を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. ナビゲーションペインで、メニューアイコンを選択します。
1. **[すべての WorkSpaces]** を選択します。
1. ワークスペースの名前を選択します。
1. **[認証]**] タブで、**[SAML 設定のセットアップ]**] を選択します。
1. **[メタデータのインポート]**] で **[アップロードまたはコピー/貼り付け]** を選択し、前の手順で OneLogin コンソールからコピーした OneLogin の 発行者 URL を貼り付けます。
1. **[アサーションマッピング]** で、次を行います:
+ **I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** が選択されていないことを確認してください。
**注記**
**I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Amazon Managed Grafana ワークスペースコンソールを使用してワークスペースを管理することができなくなります。ワークスペースに対する管理変更は、Grafana API を使用してのみ実行できます。
+ **[アサーション属性ロール]** を選択した属性名に設定します。OneLogin のデフォルト値は **[adminRole]**です。
+ **[管理者ロールの値]** を、管理者ユーザーのロールに対応する値に設定します。
+ (任意) OneLogin アプリケーションでデフォルトの属性を変更した場合、**[追加設定 - オプション]** を展開し、新しい属性名を設定します。
デフォルトでは、OneLogin の **[表示名]** 属性が **[名前]** 属性に渡され、OneLogin の **[メール]** 属性が **[eメール]** 属性と**[ログイン]** 属性の両方に渡されます。
1. **[SAML 設定の保存]** を選択します。
# Ping Identity を使用するように Amazon Managed Grafana を設定する
次の手順で、Ping Identity を ID プロバイダーとして使用するように Amazon Managed Grafana を設定します。この手順は、Amazon Managed Grafana ワークスペースを既に作成していることを前提としています。ワークスペースの ID、URL、および Region の情報をお手元に用意してください。
## ステップ 1: Ping Identity での作業手順
Ping Identity で以下手順を実行します。
**Ping Identity を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. 管理者として Ping Identity コンソールにサインインします。
1. **[Applications]** (アプリケーション) を選択します。
1. **[アプリケーションの追加]**、**[アプリケーションカタログの検索]** の順に選択します。
1. **[Amazon Managed Grafana for SAML]** アプリケーションを検索して選択し、**[セットアップ]** を選択します。
1. Ping Identity アプリケーションで、**[次へ]** を選択して SAML 設定ページに移動します。続いて以下の SAML 設定を行います。
+ **アサーション カスタマー サービス** に、Amazon Managed Grafana ワークスペースからの**サービスプロバイダーの返信 URL** を貼り付けます。
+ **Entity ID**に、Amazon Managed Grafana ワークスペースからの**サービスプロバイダー識別子**を貼り付けます。
+ **[Sign Assertion]** が選択され、**[Encrypt Assertion]** が選択されていないことを確認します。
1. **[Continue to Next Step]** (次のステップに進む) を選択します。
1. **[SSO 属性マッピング]**で、Amazon Managed Grafana 属性が **[アプリケーション属性]** に、Ping Identity 属性が **[Identity Bridge 属性]** に設定されていることを確認します。続いて以下の設定を行います。
+ **[mail]** は **[Email (Work)]** である必要があります。
+ **[displayName]** は **[表示名]** である必要があります。
+ **[SAML\$1SUBJECT]** は **[Email (Work)]** である必要があります。次に、この属性で、**[アドバンスト]** を選択し、**[SP に送信する名前 ID 形式]** を **urn:oasis:names:tc:SAML:2.0:nameid-format:transient** に設定し、**[保存]** を選択します。
+ 渡したい他の属性を追加します。
+ 渡したい他の属性を追加します。アサーションマッピングで Amazon Managed Grafana に渡すことができる属性の詳細については、「[アサーションマッピング](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)」を参照してください。
1. **[Continue to Next Step]** (次のステップに進む) を選択します。
1. **[グループアクセス]** で、このアプリケーションを割り当てるグループを選択します。
1. **[Continue to Next Step]** (次のステップに進む) を選択します。
1. `https://admin- api.pingone.com/latest/metadata/` で始まる **SAML メタデータ URL** をコピーします。これは、後の設定で使用します。
1. [**Finish**] を選択してください。
## ステップ 2: Amazon Managed Grafana での作業手順
Amazon Managed Grafana コンソールで以下手順を実行します。
**Ping Identity を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. ナビゲーションペインで、メニューアイコンを選択します。
1. **[すべての WorkSpaces]** を選択します。
1. ワークスペースの名前を選択します。
1. **[認証]**] タブで、**[SAML 設定のセットアップ]**] を選択します。
1. **[Import the metadata (メタデータのインポート)]** で **[Upload or copy/paste (アップロードまたはコピー/貼り付け)** を選択し、前の手順でコピーした Ping の URL を貼り付けます。
1. **[アサーションマッピング]** で、次を行います:
+ **I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** が選択されていないことを確認してください。
**注記**
**I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Amazon Managed Grafana ワークスペースコンソールを使用してワークスペースを管理することができなくなります。ワークスペースに対する管理変更は、Grafana API を使用してのみ実行できます。
+ **[アサーション属性ロール]** を選択した属性名に設定します。
+ **[管理者ロールの値]** を、管理者ユーザーのロールに対応する値に設定します。
+ (任意) Ping Identity アプリケーションでデフォルトの属性を変更した場合、**[追加設定 - オプション]** を展開し、新しい属性名を設定します。
デフォルトでは、Ping Identity の **[表示名]** 属性が **[名前]** 属性に渡され、Ping Identity の **[メール]** 属性が **[eメール]** 属性と**[ログイン]** 属性の両方に渡されます。
1. **[SAML 設定の保存]** を選択します。
# Amazon Managed Grafana ワークスペース AWS IAM アイデンティティセンター で を使用する
Amazon Managed Grafana は と統合 AWS IAM アイデンティティセンター して、ワークフォースに ID フェデレーションを提供します。Amazon Managed Grafana と IAM Identity Center を使用した場合、ユーザーはまず、自社のディレクトリにリダイレクトされ、既存の認証情報でサインインします。その後、Amazon Managed Grafana ワークスペースにシームレスにサインインされます。これにより、パスワードポリシーや 2 要素認証などのセキュリティ設定が適用されます。IAM Identity Center を使用した場合も、既存の IAM 設定には影響しません。
既存のユーザーディレクトリがない場合、またはフェデレーションを希望しない方のために、IAM Identity Center は Amazon Managed Grafana のユーザーとグループを作成するために使用できる統合ユーザーディレクトリを提供しています。Amazon Managed Grafana では、IAM ユーザーとロールを使用して Amazon Managed Grafana ワークスペース内のアクセス権限を割り当てることはできません。
IAM Identity Center の詳細については、[「 とは AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。IAM Identity Center を始めるための詳細については、「[開始方法](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)」を参照してください。
IAM Identity Center を使用するには、アカウントに対して も AWS Organizations アクティブ化されている必要があります。必要に応じて、Amazon Managed Grafana は、IAM Identity Center を使用するように設定された最初のワークスペースを作成するときに Organizations をアクティブ化することもできます。
## IAM Identity Center を使用するために必要なアクセス権限
このセクションでは、Amazon Managed Grafana で IAM Identity Center を使用するために必要なポリシーについて説明します。Amazon Managed Grafana を管理するために必要なポリシーは、 AWS アカウントが組織に参加しているかどうかによって異なります。
### AWS Organizations アカウントに Grafana 管理者を作成する
組織内の Amazon Managed Grafana ワークスペースを作成および管理するためのアクセス許可を付与し、 などの依存関係を許可するには AWS IAM アイデンティティセンター、次のポリシーをロールに割り当てます。
+ **AWSGrafanaAccountAdministrator** IAM ポリシー: Amazon Managed Grafana ワークスペースの管理を許可します。
+ **AWSSSODirectoryAdministrator**: Amazon Managed Grafana ワークスペースの設定時に IAM Identity Center の使用を許可します。
+ **AWSSSOMasterAccountAdministrator** IAM ポリシー: 組織全体の Amazon Managed Grafana ワークスペースの作成と管理を許可する場合、これを付与します。**AWSSSOMemberAccountAdministrator** IAM ポリシー: 組織の単一のメンバーアカウント内のワークスペースの作成と管理を許可する場合、これを付与します。
+ **AWSMarketplaceManageSubscriptions** IAM ポリシー (または同等のアクセス許可): Amazon Managed Grafana ワークスペースを Grafana エンタープライズにアップグレードすることを許可します (任意)。
Amazon Managed Grafana ワークスペースの作成時にサービス管理のアクセス許可を使用する場合、ワークスペースを作成するロールに `iam:CreateRole`、`iam:CreatePolicy`、および `iam:AttachRolePolicy` 権限も必要です。これらの権限は、 CloudFormation StackSets を使用して、組織のアカウント内のデータソースを読み取ることを許可するポリシーを展開するために必要です。
**重要**
ユーザーに、`iam:CreateRole`、`iam:CreatePolicy`、および `iam:AttachRolePolicy` アクセス許可を付与すると、そのユーザーには、 AWS アカウントへの完全な管理アクセス許可が与えられます。たとえば、これらのアクセス許可を持つユーザーは、すべてのリソースに対する完全なアクセス許可を持つポリシーを作成し、そのポリシーを任意のロールにアタッチできます。これらのアクセス許可を付与するユーザーには十分注意してください。
**AWSGrafanaAccountAdministrator** に付与された権限を確認するには、「[AWS マネージドポリシー: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)」を参照してください。
### Amazon Managed Grafana ワークスペースとユーザーを単一のスタンドアロンアカウントで作成および管理する
スタンドアロン AWS アカウントは、組織のメンバーではないアカウントです。詳細については AWS Organizations、[「 とは」を参照してください AWS Organizations。](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
スタンドアロンアカウントで Amazon Managed Grafana ワークスペースとユーザーを作成および管理するための権限を付与するには、次の IAM ポリシーをロールに割り当てます。
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAdministrator**
**重要**
**AWSOrganizationsFullAccess** ポリシーをロールに付与すると、そのロールに AWS アカウントへの完全な管理アクセスが許可されます。これらのアクセス許可を付与するユーザーには十分注意してください。
**AWSGrafanaAccountAdministrator** に付与された権限を確認するには、「[AWS マネージドポリシー: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)」を参照してください。