本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置 Amazon Managed Grafana 以使用 Azure AD
<a name="AMG-SAML-providers-Azure"></a>

使用以下步骤配置 Amazon Managed Grafana，以将 Azure Active Directory 用作身份提供者。这些步骤假定您已经创建了 Amazon Managed Grafana 工作区，并记下了工作区的 *ID*、*URL* 和 *AWS 区域*。

## 步骤 1：在 Azure Active Directory 中完成的步骤
<a name="AMG-SAML-providers-Azure-step1"></a>

在 Azure Active Directory 中完成以下步骤。

**将 Azure Active Directory 设置为 Amazon Managed Grafana 的身份提供者**

1. 以管理员身份登录 Azure 控制台。

1. 选择 **Azure Active Directory**。

1. 选择**企业应用程序**。

1. 搜索**亚马逊托管 G SAML2.0 rafana**，然后将其选中。

1. 选择应用程序，然后选择**设置**。

1. 在 Azure Active Directory 应用程序配置中，选择**用户和组**。

1. 将应用程序分配给所需的用户和组。

1. 选择 **Single sign-on**（单点登录）。

1. 选择**下一步**，进入 SAML 配置页面。

1. 指定 SAML 设置：
   + 对于**标识符（实体 ID）**，粘贴来自 Amazon Managed Grafana 工作区的**服务提供商标识符** URL。
   + 对于**回复 URL（断言使用者服务 URL）**，粘贴来自 Amazon Managed Grafana 工作区的**服务提供商回复**。
   + 确保已选择**签署断言**，且未选择**加密断言**。

1. 在**用户属性和声明**部分，确保这些属性已映射。它们区分大小写。
   + **mail** 设置为 **user.userprincipalname**。
   + **displayName** 设置为 **user.displayname**。
   + **Unique User Identifier** 设置为 **user.userprincipalname**。
   + 添加任何其他需要传递的属性。如需详细了解断言映射中可传递给 Amazon Managed Grafana 的属性，请参阅 [断言映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。

1. 复制 **SAML 元数据 URL**，以在 Amazon Managed Grafana 工作区配置中使用。

## 步骤 2：在 Amazon Managed Grafana 中完成的步骤
<a name="AMG-SAML-providers-Azure-step2"></a>

在 Amazon Managed Grafana 控制台中，完成以下步骤。

**要完成将 Azure Active Directory 设置为 Amazon Managed Grafana 的身份提供者**

1. 打开 Amazon Managed Grafana 控制台，其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。

1. 在导航窗格中，选择菜单图标。

1. 选择**所有工作区**。

1. 选择工作区的名称。

1. 在**身份验证**选项卡中，选择**设置 SAML 配置**。

1. 在 “**导入元数据**” 下，选择 “**上传” 或**， copy/paste然后粘贴您在上一节中从 **SAML 元数据 URL 中复制的 Azure 活动目录 URL**。

1. 在**断言映射**下，请执行以下操作：
   + 确保未选中**我希望选择不为工作区分配管理员**。
**注意**  
如果您选择**我希望选择不为工作区分配管理员**，您将无法使用 Amazon Managed Grafana 工作区控制台管理工作区（包括无法管理数据来源、用户和控制面板权限等任务）。您只能使用 Grafana API 对工作区进行管理更改。
   + 将**断言属性角色**设置为您选择的属性名称。
   + 将**管理员角色值**设置为与管理员用户角色相对应的值。
   + （可选）如果您更改了 Azure Active Directory 应用程序中的默认属性，请展开**附加设置 - 可选**，然后设置新的属性名称。

     默认情况下，Azure 的 **displayName** 属性作为 **Name** 属性传递，Ping Identity 的 **mail** 属性同时传递给 **email** 和 **login** 属性。

1. 选择**保存 SAML 配置**。