As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Autenticar usuários nos espaços de trabalho do Amazon Managed Grafana
Usuários individuais fazem login nos espaços de trabalho para editar e visualizar dashboards. Você pode atribuir usuários aos espaços de trabalho e [conceder a eles permissões de usuário, editor ou administrador](AMG-manage-users-and-groups-AMG.md). Para começar, você cria um (ou usa um existente) provedor de identidades para autenticar usuários.
Os usuários são autenticados para usar o console do Grafana em um espaço de trabalho do Amazon Managed Grafana por meio de autenticação única usando o provedor de identidades da organização, em vez de usar o IAM. Cada espaço de trabalho pode usar um ou ambos os seguintes métodos de autenticação:
+ Credenciais de usuário armazenadas em provedores de identidade (IdPs) que oferecem suporte à Security Assertion Markup Language 2.0 (SAML 2.0)
+ Centro de Identidade do AWS IAM. AWS Single-sign-on (**AWS SSO**) foi renomeado para **IAM** Identity Center.
Para cada um dos seus espaços de trabalho, você pode usar SAML, o Centro de Identidade do IAM ou os dois. Caso comece usando um método, você poderá passar a usar o outro.
Você deve conceder aos usuários (ou aos grupos aos quais eles pertencem) permissões no espaço de trabalho antes que eles possam acessar a funcionalidade dentro do espaço de trabalho. Para obter mais informações sobre conceder permissões aos usuários, consulte [Gerenciar o acesso de usuários e grupos aos espaços de trabalho do Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md).
**Topics**
+ [Usar o SAML com o espaço de trabalho do Amazon Managed Grafana](authentication-in-AMG-SAML.md)
+ [Use Centro de Identidade do AWS IAM com seu espaço de trabalho Amazon Managed Grafana](authentication-in-AMG-SSO.md)
# Usar o SAML com o espaço de trabalho do Amazon Managed Grafana
**nota**
Atualmente, o Amazon Managed Grafana não é compatível com o login iniciado pelo IdP para espaços de trabalho. Você deve configurar as aplicações do SAML com um estado de retransmissão em branco.
Você pode usar a autenticação SAML para usar o provedor de identidades existente e oferecer autenticação única para fazer login no console do Grafana dos seus espaços de trabalho do Amazon Managed Grafana. Em vez de autenticar por meio do IAM, a autenticação SAML para o Amazon Managed Grafana permite que você use provedores de identidades de terceiros para fazer login, gerenciar o controle de acesso, pesquisar os dados e criar visualizações. O Amazon Managed Grafana oferece suporte a provedores de identidade que usam o padrão SAML 2.0 e criaram e testaram aplicativos de integração com Azure AD CyberArk, Okta e Ping Identity. OneLogin
Para obter detalhes sobre como configurar a autenticação SAML durante a criação do espaço de trabalho, consulte [Criar um espaço de trabalho](AMG-create-workspace.md#creating-workspace).
No fluxo de autenticação SAML, um espaço de trabalho do Amazon Managed Grafana atua como provedor de serviços (SP) e interage com o IdP para obter informações do usuário. Para obter mais informações sobre SAML, consulte [Security Assertion Markup Language](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language).
Você pode mapear grupos no IdP para equipes no espaço de trabalho do Amazon Managed Grafana e definir permissões de acesso refinadas para essas equipes. Você também pode mapear perfis organizacionais definidos no IdP para perfis no espaço de trabalho do Amazon Managed Grafana. Por exemplo, caso tenha um perfil de **Desenvolvedor** definido no IdP, você poderá mapear esse perfil para o perfil de **Administrador do Grafana** no espaço de trabalho do Amazon Managed Grafana.
**nota**
Ao criar um espaço de trabalho Amazon Managed Grafana que usa um IdP e SAML para autorização, você deve estar conectado a um diretor do IAM que tenha a política anexada. **AWSGrafanaAccountAdministrator**
Para entrar no espaço de trabalho do Amazon Managed Grafana, um usuário visita a página inicial do console do Grafana do espaço de trabalho e escolhe **Fazer login usando SAML**. O espaço de trabalho lê a configuração SAML e redireciona o usuário para o IdP para autenticação. O usuário insere suas credenciais de login no portal do IdP e, se for um usuário válido, o IdP emite uma declaração SAML e redireciona o usuário de volta ao espaço de trabalho do Amazon Managed Grafana. O Amazon Managed Grafana verifica se a declaração SAML é válida e se o usuário está conectado e pode usar o espaço de trabalho.
O Amazon Managed Grafana é compatível com as seguintes vinculações do SAML 2.0:
+ Do provedor de serviços (SP) para o provedor de identidades (IdP):
+ Vinculação HTTP-POST
+ Vinculação de redirecionamento HTTP
+ Do provedor de identidades (IdP) para o provedor de serviços (SP):
+ Vinculação HTTP-POST
O Amazon Managed Grafana é compatível com declarações assinadas e criptografadas, mas não é compatível com solicitações assinadas ou criptografadas.
O Amazon Managed Grafana é compatível com solicitações iniciadas pelo SP, mas não é compatível com solicitações iniciadas pelo IDP.
## Mapeamento de declarações
Durante o fluxo de autenticação SAML, o Amazon Managed Grafana recebe o retorno de chamada do Serviço do Consumidor de Declaração (ACS). O retorno de chamada contém todas as informações relevantes para o usuário que está sendo autenticado, incorporadas na resposta SAML. O Amazon Managed Grafana analisa a resposta para criar (ou atualizar) o usuário no banco de dados interno.
Quando o Amazon Managed Grafana mapeia as informações do usuário, ele analisa os atributos individuais na declaração. Você pode considerar esse atributos como pares de chave/valor, embora eles contenham mais informações do que isso.
O Amazon Managed Grafana fornece opções de configuração para que você possa modificar as chaves a serem examinadas quanto a esses valores.
Você pode usar o console do Amazon Managed Grafana para mapear os seguintes atributos de declaração SAML de valores no Amazon Managed Grafana:
+ Em **Perfil do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar os perfis de usuário.
+ Em **Nome do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar nomes completos “amigáveis” de usuário para usuários do SAML.
+ Em **Login do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar nomes de login de usuário para usuários do SAML.
+ Em **E-mail do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar nomes de e-mail de usuário para usuários do SAML.
+ Em **Organização do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar o nome “amigável” para organizações de usuários.
+ Em **Grupos do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar o nome “amigável” para grupos de usuários.
+ Em **Organizações permitidas**, você pode limitar o acesso do usuário somente aos usuários que são membros de determinadas organizações no IdP.
+ Em **valores do perfil Editor**, especifique os perfis de usuário do seu IdP, que devem receber o perfil `Editor` no espaço de trabalho do Amazon Managed Grafana.
## Conectar-se ao provedor de identidades
Os provedores de identidades externos a seguir foram testados com o Amazon Managed Grafana e fornecem aplicações diretamente em seus diretórios ou galerias de aplicações para ajudar a configurar o Amazon Managed Grafana com SAML.
**Topics**
+ [Mapeamento de declarações](#AMG-SAML-Assertion-Mapping)
+ [Conectar-se ao provedor de identidades](#authentication-in-AMG-SAML-providers)
+ [Configurar o Amazon Managed Grafana para usar o Azure AD](AMG-SAML-providers-Azure.md)
+ [Configurar o Amazon Managed Grafana para usar CyberArk](AMG-SAML-providers-CyberArk.md)
+ [Configurar o Amazon Managed Grafana para usar o Okta](AMG-SAML-providers-okta.md)
+ [Configurar o Amazon Managed Grafana para usar OneLogin](AMG-SAML-providers-onelogin.md)
+ [Configurar o Amazon Managed Grafana para usar o Ping Identity](AMG-SAML-providers-pingone.md)
# Configurar o Amazon Managed Grafana para usar o Azure AD
Use as etapas a seguir para configurar o Amazon Managed Grafana para usar o Azure Active Directory como um provedor de identidade. Essas etapas pressupõem que você já tenha criado seu espaço de trabalho Amazon Managed Grafana e tenha anotado o *ID* do espaço de trabalho, e. *URLs*Região da AWS**
## Etapa 1: etapas a serem concluídas no Azure Active Directory
Conclua as etapas a seguir no Azure Active Directory.
**Para configurar o Azure Active Directory como um provedor de identidade do Amazon Managed Grafana**
1. Faça login no console do Azure como administrador.
1. Escolha **Azure Active Directory**.
1. Escolha **Aplicações Enterprise**.
1. Pesquise **Amazon Managed Grafana SAML2 4.0** e selecione-o.
1. Selecione a aplicação e escolha **Configurar**.
1. Na configuração da aplicação do Azure Active Directory, escolha **Usuários e grupos**.
1. Atribuir a aplicação aos usuários e grupos que você desejar.
1. Escolha **Logon único**.
1. Escolha **Avançar** para acessar a página de configuração SAML.
1. Especifique as configurações do SAML:
+ Para **Identificador (ID da entidade)**, cole o URL do **Identificador do provedor de serviços** do espaço de trabalho do Amazon Managed Grafana.
+ Em **URL de resposta (URL do Serviço do Consumidor de Declaração)**, cole a **Resposta do provedor de serviços** no espaço de trabalho do Amazon Managed Grafana.
+ Verifique se a opção **Subscrever declaração** está selecionada e se a opção **Criptografar a declaração** não está selecionada.
1. Na seção **Atributos e reivindicações do usuário**, verifique se os atributos estão mapeados. Eles diferenciam letras maiúsculas de minúsculas.
+ **mail** é definido com **user.userprincipalname**.
+ **displayName** é definido com **user.displayname**.
+ O **Identificador de usuário exclusivo** é definido com **user.userprincipalname**.
+ Adicione quaisquer outros atributos que você gostaria de passar. Para obter mais informações sobre os atributos que você pode passar para o Amazon Managed Grafana no mapeamento de declarações, consulte [Mapeamento de declarações](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping).
1. Copie o **URL de metadados do SAML** para uso na configuração do espaço de trabalho Amazon Managed Grafana.
## Etapa 2: etapas a serem concluídas no Amazon Managed Grafana
Execute as etapas a seguir no console do Amazon Managed Grafana.
**Para finalizar de configurar o Azure Active Directory como um provedor de identidade do Amazon Managed Grafana**
1. Abra o console do Amazon Managed Grafana em [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).
1. No painel de navegação, escolha o ícone de calendário.
1. Escolha **Todos os espaços de trabalho**.
1. Escolha o nome do espaço de trabalho.
1. Na guia **Autenticação**, escolha **Definir a configuração SAML**.
1. Em **Importar os metadados**, escolha **Carregar ou copiar e colar** e cole o URL do Azure Active Directory que você copiou do **URL de metadados do SAML** na seção anterior.
1. Em **Mapeamento de declarações**, faça o seguinte:
+ Certifique-se de que **Eu quero optar por não atribuir administradores ao meu espaço de trabalho** não esteja selecionado.
**nota**
Se você escolher **Eu quero optar por não atribuir administradores ao meu espaço de trabalho**, você não poderá usar o console do espaço de trabalho do Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando o Grafana APIs.
+ Defina o **Perfil do atributo de declaração** como o nome do atributo que você escolheu.
+ Defina os **Valores do perfil de administrador** para valores correspondentes aos perfis dos usuários administradores.
+ (Opcional) Se você alterou os atributos padrão na aplicação do Azure Active Directory, expanda **Configurações adicionais: opcional** e defina os novos nomes dos atributos.
Por padrão, o atributo **displayName** do Azure é passado como o atributo **Name**, e o atributo **mail** do Ping Identity é passado para os atributos **email** e **login**.
1. Escolha **Salvar configuração SAML**.
# Configurar o Amazon Managed Grafana para usar CyberArk
Use as etapas a seguir para configurar o Amazon Managed Grafana para ser usado CyberArk como provedor de identidade. Essas etapas pressupõem que você já tenha criado seu espaço de trabalho Amazon Managed Grafana e tenha anotado o ID e a região do espaço de trabalho. URLs
## Etapa 1: Etapas para concluir em CyberArk
Conclua as etapas a seguir em CyberArk.
**Para se configurar CyberArk como um provedor de identidade para o Amazon Managed Grafana**
1. Faça login no Portal de Administração de CyberArk Identidade.
1. Escolha **Aplicações**, **Aplicações Web**.
1. Escolha **Adicionar aplicações Web**.
1. **Pesquise **Amazon Managed Grafana for SAML2 .0** e escolha Adicionar.**
1. Na configuração do CyberArk aplicativo, vá para a seção **Confiança**.
1. Em **Configuração do provedor de identidade**, escolha **Metadados**.
1. Escolha **Copiar URL** e salve o URL para usar posteriormente nessas etapas.
1. Em **Configuração do provedor de serviços**, escolha **Configuração manual**.
1. Especifique as configurações do SAML:
+ Em **ID da entidade do SP**, cole o URL do **Identificador do provedor de serviços** do espaço de trabalho do Amazon Managed Grafana.
+ Em **URL do Serviço do Consumidor de Declaração (ACS)**, cole a **Resposta do provedor de serviços** no espaço de trabalho do Amazon Managed Grafana.
+ Defina **Subscrever declaração da resposta** como **Declaração**.
+ Certifique-se de que o **formato NameID** seja **emailAddress**.
1. Escolha **Salvar**.
1. Na seção **Resposta SAML**, certifique-se de que o atributo Amazon Managed Grafana esteja **em Nome do aplicativo** e que CyberArk o atributo esteja **em** Valor do atributo. Depois certifique-se de que os atributos a seguir estejam mapeados. Eles diferenciam letras maiúsculas de minúsculas.
+ **DisplayName** **está definido com. LoginUser DisplayName**.
+ **mail** é definido com **LoginUser.Email.**
+ Adicione quaisquer outros atributos que você gostaria de passar. Para obter mais informações sobre os atributos que você pode passar para o Amazon Managed Grafana no mapeamento de declarações, consulte [Mapeamento de declarações](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping).
1. Escolha **Salvar**.
1. Na seção **Permissões**, escolha a quais usuários e grupos atribuir essa aplicação, e escolha **Salvar**.
## Etapa 2: etapas a serem concluídas no Amazon Managed Grafana
Execute as etapas a seguir no console do Amazon Managed Grafana.
**Para concluir a configuração CyberArk como provedor de identidade para o Amazon Managed Grafana**
1. Abra o console do Amazon Managed Grafana em [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).
1. No painel de navegação, escolha o ícone de calendário.
1. Escolha **Todos os espaços de trabalho**.
1. Escolha o nome do espaço de trabalho.
1. Na guia **Autenticação**, escolha **Definir a configuração SAML**.
1. Em **Importar os metadados**, escolha **Carregar ou copiar/colar e colar** o CyberArk URL que você copiou no procedimento anterior.
1. Em **Mapeamento de declarações**, faça o seguinte:
+ Certifique-se de que **Eu quero optar por não atribuir administradores ao meu espaço de trabalho** não esteja selecionado.
**nota**
Se você escolher **Eu quero optar por não atribuir administradores ao meu espaço de trabalho**, você não poderá usar o console do espaço de trabalho do Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando o Grafana APIs.
+ Defina o **Perfil do atributo de declaração** como o nome do atributo que você escolheu.
+ Defina os **Valores do perfil de administrador** para valores correspondentes aos perfis dos usuários administradores.
+ (Opcional) Se você alterou os atributos padrão em seu CyberArk aplicativo, expanda **Configurações adicionais - opcional** e defina os novos nomes dos atributos.
****Por padrão, o atributo CyberA displayName é passado para **o atributo name e CyberArk **o**** atributo mail é passado para **os** atributos email e login.****
1. Escolha **Salvar configuração SAML**.
# Configurar o Amazon Managed Grafana para usar o Okta
Use as etapas a seguir para configurar o Amazon Managed Grafana para usar o Okta como um provedor de identidade. Essas etapas pressupõem que você já tenha criado seu espaço de trabalho Amazon Managed Grafana e tenha anotado o ID e a região do espaço de trabalho. URLs
## Etapa 1: etapas para concluir no Okta
Conclua as etapas a seguir no Okta.
**Para configurar o Okta como um provedor de identidade do Amazon Managed Grafana**
1. Faça login no console do Okta como administrador.
1. No painel à esquerda, escolha **Aplicações**, **Aplicações**.
1. Escolha **Procurar catálogo de aplicações** e pesquise por **Amazon Managed Grafana**.
1. Escolha **Amazon Managed Grafana** e depois **Adicionar**, **Concluído**.
1. Escolha a aplicação para começar a configurá-la.
1. Na guia **Logon**, escolha **Editar**.
1. Em **Configurações avançadas de logon**, insira o ID do espaço de trabalho do Amazon Managed Grafana e a região nos campos **Área de nome** e **Região**, respectivamente. **Seu ID e região do espaço de trabalho Amazon Managed Grafana podem ser encontrados no URL do seu espaço de trabalho Amazon Managed Grafana, que tem o formato .grafana-workspace. *workspace-id* *Region*.amazonaws.com**.
1. Escolha **Salvar**.
1. Em **SAML 2.0**, copie o URL dos **metadados do provedor de identidade**. Você usará isso posteriormente neste procedimento no console do Amazon Managed Grafana.
1. Na guia **Atribuições**, escolha as **Pessoas** e os **Grupos** que você deseja que possam usar o Amazon Managed Grafana.
## Etapa 2: etapas a serem concluídas no Amazon Managed Grafana
Execute as etapas a seguir no console do Amazon Managed Grafana.
**Para concluir a configuração do Okta como provedor de identidade do Amazon Managed Grafana**
1. Abra o console do Amazon Managed Grafana em [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).
1. No painel de navegação, escolha o ícone de calendário.
1. Escolha **Todos os espaços de trabalho**.
1. Escolha o nome do espaço de trabalho.
1. Na guia **Autenticação**, escolha **Concluir configuração**.
1. Em **Importar os metadados**, escolha **Carregar ou copiar e colar** e cole o URL do Okta que você copiou no procedimento anterior.
1. Em **Mapeamento de declarações**, faça o seguinte:
+ Certifique-se de que **Eu quero optar por não atribuir administradores ao meu espaço de trabalho** não esteja selecionado.
**nota**
Se você escolher **Eu quero optar por não atribuir administradores ao meu espaço de trabalho**, você não poderá usar o console do espaço de trabalho do Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando o Grafana APIs.
+ Defina o **Perfil do atributo de declaração** como o nome do atributo que você escolheu.
+ Defina os **Valores do perfil de administrador** para valores correspondentes aos perfis dos usuários administradores.
+ (Opcional) Se você alterou os atributos padrão na aplicação do Okta, expanda **Configurações adicionais: opcional** e defina os novos nomes dos atributos.
Por padrão, o atributo **displayName** do Okta é passado como o atributo **name**, e o atributo **mail** do Okta é passado para os atributos **email** e **login**.
1. Escolha **Salvar configuração SAML**.
# Configurar o Amazon Managed Grafana para usar OneLogin
Use as etapas a seguir para configurar o Amazon Managed Grafana para ser usado OneLogin como provedor de identidade. Essas etapas pressupõem que você já tenha criado seu espaço de trabalho Amazon Managed Grafana e tenha anotado o ID e a região do espaço de trabalho. URLs
## Etapa 1: Etapas para concluir em OneLogin
Conclua as etapas a seguir em OneLogin.
**Para se configurar OneLogin como um provedor de identidade para o Amazon Managed Grafana**
1. Entre no OneLogin portal como administrador.
1. Escolha **Aplicações**, **Aplicações**, **Adicionar aplicação**.
1. Pesquise **Amazon Managed Service for Grafana**.
1. Atribua um **nome de exibição** de sua escolha e escolha **Salvar**.
1. Navegue até **Configuração** e insira o ID do espaço de trabalho Amazon Managed Grafana no **Namespace**, e insira a região do espaço de trabalho do Amazon Managed Grafana.
1. Na guia **Configuração**, insira o URL do espaço de trabalho do Amazon Managed Grafana.
1. Você pode deixar o parâmetro **adminRole** como o **No Default** padrão e preenchê-lo usando a guia **Regras**, caso um administrador exija um valor correspondente no Amazon Managed Grafana. Neste exemplo, o **perfil do atributo de declaração** seria definido como **adminRole** no Amazon Managed Grafana, com um valor true. Você pode apontar esse valor para qualquer atributo no locatário. Clique em **\$1** para adicionar e configurar parâmetros para atender aos requisitos da sua organização.
1. Escolha a guia **Regras**, depois **Adicionar regra**, e dê um nome à regra. No campo **Condições** (a declaração if), adicionamos **E-mail contém [endereço de e-mail]**. **No campo **Ações** (a declaração then), selecionamos **Definir AdminRole no Amazon Managed Service** e selecionamos **Macro** no menu suspenso **Definir função de administrador**, com um valor verdadeiro.** A organização pode escolher regras distintas para resolver diferentes casos de uso.
1. Escolha **Salvar**. Vá para **Mais ações** novamente e escolha **Reaplicar mapeamentos de autorizações**. Você deve reaplicar os mapeamentos sempre que criar ou atualizar regras.
1. Anote o **URL do emissor**, que você usará posteriormente na configuração no console do Amazon Managed Grafana. Em seguida, escolha **Salvar**.
1. Escolha a guia **Acesso** para atribuir as OneLogin funções que devem acessar o Amazon Managed Grafana e selecione uma política de segurança do aplicativo.
## Etapa 2: etapas a serem concluídas no Amazon Managed Grafana
Execute as etapas a seguir no console do Amazon Managed Grafana.
**Para concluir a configuração OneLogin como provedor de identidade para o Amazon Managed Grafana**
1. Abra o console do Amazon Managed Grafana em [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).
1. No painel de navegação, escolha o ícone de calendário.
1. Escolha **Todos os espaços de trabalho**.
1. Escolha o nome do espaço de trabalho.
1. Na guia **Autenticação**, escolha **Definir a configuração SAML**.
1. Em **Importar os metadados**, escolha **Carregar ou copiar/colar e colar** a URL do OneLogin emissor que você copiou do OneLogin console no procedimento anterior.
1. Em **Mapeamento de declarações**, faça o seguinte:
+ Certifique-se de que **Eu quero optar por não atribuir administradores ao meu espaço de trabalho** não esteja selecionado.
**nota**
Se você escolher **Eu quero optar por não atribuir administradores ao meu espaço de trabalho**, você não poderá usar o console do espaço de trabalho do Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando o Grafana APIs.
+ Defina o **Perfil do atributo de declaração** como o nome do atributo que você escolheu. O valor padrão para OneLogin é **AdminRole**.
+ Defina os **Valores do perfil de administrador** para valores correspondentes aos perfis dos usuários administradores.
+ (Opcional) Se você alterou os atributos padrão em seu OneLogin aplicativo, expanda **Configurações adicionais - opcional** e defina os novos nomes dos atributos.
**Por padrão, o atributo OneLogin **displayName** é passado para **o atributo name e OneLogin **o**** atributo mail é passado para **os** atributos de e-mail e login.**
1. Escolha **Salvar configuração SAML**.
# Configurar o Amazon Managed Grafana para usar o Ping Identity
Use as etapas a seguir para configurar o Amazon Managed Grafana para usar o Ping Identity como um provedor de identidade. Essas etapas pressupõem que você já tenha criado seu espaço de trabalho Amazon Managed Grafana e tenha anotado o ID e a região do espaço de trabalho. URLs
## Etapa 1: etapas a serem concluídas no Ping Identity
Conclua as etapas a seguir no Ping Identity.
**Para configurar o Ping Identity como um provedor de identidade do Amazon Managed Grafana**
1. Faça login no console do Ping Identity como administrador.
1. Selecione **Aplicações**.
1. Escolha **Adicionar aplicação**, **Pesquisar catálogo de aplicações**.
1. Pesquise a aplicação do **Amazon Managed Grafana for SAML**, selecione-a e escolha **Configuração**.
1. Na aplicação do Ping Identity, escolha **Próximo** para acessar a página de configuração SAML. Em seguida, realize as seguintes configurações do SAML:
+ Em **Serviço do Consumidor de Declaração**, cole o **URL da resposta do provedor de serviços** no espaço de trabalho do Amazon Managed Grafana.
+ Em **ID de entidade**, cole o **Identificador do provedor de serviços** no espaço de trabalho do Amazon Managed Grafana.
+ Verifique se a opção **Subscrever declaração** está selecionada e se a opção **Criptografar a declaração** não está selecionada.
1. Selecione **Avançar para a próxima etapa**.
1. Em **Mapeamento de atributos de SSO**, certifique-se de que o atributo Amazon Managed Grafana esteja no **Atributo da aplicação** e que o atributo Ping Identity esteja no **Atributo do Identity Bridge**. Em seguida, realize as seguintes configurações:
+ **e-mail** deve ser **E-mail (trabalho)**.
+ **displayName** deve ser **Nome de exibição**.
+ **SAML\$1SUBJECT** deve ser o **E-mail (trabalho)**. Depois, para esse atributo, escolha **Avançado**, defina o **Formato do ID do nome a ser enviado ao SP** como **urn:oasis:names:tc:SAML:2.0:nameid-format:transient** e escolha **Salvar**.
+ Adicione qualquer outro atributo que você gostaria de passar.
+ Adicione quaisquer outros atributos que você gostaria de passar. Para obter mais informações sobre os atributos que você pode passar para o Amazon Managed Grafana no mapeamento de declarações, consulte [Mapeamento de declarações](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping).
1. Selecione **Avançar para a próxima etapa**.
1. Em **Acesso do grupo**, escolha a quais grupos atribuir essa aplicação.
1. Selecione **Avançar para a próxima etapa**.
1. Copie o **URL de metadados do SAML** que começa com `https://admin- api.pingone.com/latest/metadata/`. Você usará isso posteriormente na configuração.
1. Escolha **Terminar**.
## Etapa 2: etapas a serem concluídas no Amazon Managed Grafana
Execute as etapas a seguir no console do Amazon Managed Grafana.
**Para concluir a configuração do Ping Identity como um provedor de identidade para o Amazon Managed Grafana**
1. Abra o console do Amazon Managed Grafana em [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).
1. No painel de navegação, escolha o ícone de calendário.
1. Escolha **Todos os espaços de trabalho**.
1. Escolha o nome do espaço de trabalho.
1. Na guia **Autenticação**, escolha **Definir a configuração SAML**.
1. Em **Importar os metadados**, escolha **Carregar ou copiar e colar** e cole o URL do Ping que você copiou no procedimento anterior.
1. Em **Mapeamento de declarações**, faça o seguinte:
+ Certifique-se de que **Eu quero optar por não atribuir administradores ao meu espaço de trabalho** não esteja selecionado.
**nota**
Se você escolher **Eu quero optar por não atribuir administradores ao meu espaço de trabalho**, você não poderá usar o console do espaço de trabalho do Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando o Grafana APIs.
+ Defina o **Perfil do atributo de declaração** como o nome do atributo que você escolheu.
+ Defina os **Valores do perfil de administrador** para valores correspondentes aos perfis dos usuários administradores.
+ (Opcional) Se você alterou os atributos padrão na aplicação do Ping Identity, expanda **Configurações adicionais: opcional** e defina os novos nomes dos atributos.
Por padrão, o atributo **displayName** do Ping Identity é passado como o atributo **name**, e o atributo **mail** do Ping Identity é passado para os atributos **email** e **login**.
1. Escolha **Salvar configuração SAML**.
# Use Centro de Identidade do AWS IAM com seu espaço de trabalho Amazon Managed Grafana
O Amazon Managed Grafana se integra Centro de Identidade do AWS IAM para fornecer federação de identidade para sua força de trabalho. Usando o Amazon Managed Grafana e o Centro de Identidade do IAM, os usuários são redirecionados para o diretório atual da empresa para fazer login com suas credenciais existentes. Em seguida, eles se conectam sem problemas ao espaço de trabalho do Amazon Managed Grafana. Isso garante que as configurações de segurança, como políticas de senha e autenticação de dois fatores, sejam aplicadas. Usar o Centro de Identidade do IAM não afeta sua configuração atual do IAM.
Se você não tiver um diretório de usuários existente ou preferir não federar, o Centro de Identidade do IAM oferece um diretório de usuários integrado que você pode usar para criar usuários e grupos para o Amazon Managed Grafana. O Amazon Managed Grafana não é compatível com o uso de usuários e perfis do IAM para atribuir permissões em um espaço de trabalho do Amazon Managed Grafana.
Para obter mais informações sobre o IAM Identity Center, consulte [O que é Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Para obter mais informações sobre os conceitos básicos do Centro de Identidade do IAM, consulte a [Introdução](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html).
Para usar o IAM Identity Center, você também deve ter AWS Organizations ativado a conta. Se necessário, o Amazon Managed Grafana pode ativar o Organizations para você ao criar o primeiro espaço de trabalho configurado para usar o Centro de Identidade do IAM.
## Permissões necessárias para cenários usando o Centro de Identidade do IAM
Esta seção explica as políticas necessárias para usar o Amazon Managed Grafana com o Centro de Identidade do IAM. As políticas necessárias para administrar o Amazon Managed Grafana diferem com base no fato de a conta da AWS fazer parte de uma organização ou não.
### Crie um administrador da Grafana nas contas AWS Organizations
Para conceder permissões para criar e gerenciar espaços de trabalho Amazon Managed Grafana em uma organização e permitir dependências como, por exemplo Centro de Identidade do AWS IAM, atribua as seguintes políticas a uma função.
+ Atribua a política **AWSGrafanaAccountAdministrator**do IAM para permitir a administração dos espaços de trabalho Amazon Managed Grafana.
+ AWSSSODirectoryO **administrador** permite que a função use o IAM Identity Center ao configurar espaços de trabalho Amazon Managed Grafana.
+ Para permitir a criação e o gerenciamento de espaços de trabalho Amazon Managed Grafana em toda a organização, atribua à função a política do **AWSSSOMasterAccountAdministrator**IAM. Como alternativa, atribua à função a política do **AWSSSOMemberAccountAdministrator**IAM para permitir a criação e o gerenciamento de espaços de trabalho em uma única conta membro da organização.
+ Opcionalmente, você também pode atribuir à função a política do **AWSMarketplaceManageSubscriptions**IAM (ou permissões equivalentes) se quiser permitir que a função atualize um espaço de trabalho do Amazon Managed Grafana para a empresa Grafana.
Se quiser usar permissões gerenciadas por serviço ao criar um espaço de trabalho do Amazon Managed Grafana, o perfil que cria o espaço de trabalho também deve ter as permissões `iam:CreateRole`, `iam:CreatePolicy` e `iam:AttachRolePolicy`. Eles devem ser usados CloudFormation StackSets para implantar políticas que permitam ler fontes de dados nas contas da organização.
**Importante**
Conceder a um usuário as permissões `iam:CreateRole`, `iam:CreatePolicy` e `iam:AttachRolePolicy` concede a esse usuário acesso administrativo total à conta da AWS . Por exemplo, um usuário com essas permissões pode criar uma política com permissões totais para todos os recursos e anexar essa política a qualquer função. Seja muito cuidadoso a quem você concede essas permissões.
Para ver as permissões concedidas a **AWSGrafanaAccountAdministrator**, consulte [AWS política gerenciada: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)
### Criar e gerenciar espaços de trabalho e usuários do Amazon Managed Grafana em uma única conta independente
Uma AWS conta independente é uma conta que não é membro de uma organização. Para obter mais informações sobre AWS Organizations, consulte [O que é AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
Para conceder permissão para criar e gerenciar espaços de trabalho e usuários do Amazon Managed Grafana em uma conta independente, atribua as seguintes políticas do IAM a um perfil:
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAdministrador**
**Importante**
Ao conceder uma função, a **AWSOrganizationsFullAccess**política dá a essa função acesso administrativo total à sua AWS conta. Seja muito cuidadoso a quem você concede essas permissões.
Para ver as permissões concedidas a **AWSGrafanaAccountAdministrator**, consulte [AWS política gerenciada: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)