本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Amazon Managed Grafana 工作区中使用 SAML
<a name="authentication-in-AMG-SAML"></a>

**注意**  
Amazon Managed Grafana 目前不支持由 IdP 发起的工作区登录。您应将 SAML 应用程序设置为使用空白中继状态。

您可以使用 SAML 身份验证来使用现有的身份提供者，并提供单点登录，以登录 Amazon Managed Grafana 工作区的 Grafana 控制台。Amazon Managed Grafana 的 SAML 身份验证不是通过 IAM 进行身份验证，而是让您使用第三方身份提供者进行登录、管理访问控制、搜索数据和构建可视化。Amazon Managed Grafana 支持使用 SAML 2.0 标准并已与 Azure AD CyberArk、Okta 和 Ping Ident OneLogin ity 构建和测试集成应用程序的身份提供商。

有关如何在创建工作区期间设置 SAML 身份验证的详细信息，请参阅 [创建工作区](AMG-create-workspace.md#creating-workspace)。

在 SAML 身份验证流程中，Amazon Managed Grafana 工作区充当服务提供商（SP），并与 IdP 交互，以获取用户信息。有关 SAML 的更多信息，请参阅[安全断言标记语言](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)。

您可以将 IdP 中的组映射到 Amazon Managed Grafana 工作区中的团队，并对这些团队设置细粒度的访问权限。您还可以将 IdP 中定义的组织角色映射为 Amazon Managed Grafana 工作区中的角色。例如，如果您在 IdP 中定义了**开发人员**角色，您可以将该角色映射为 Amazon Managed Grafana 工作区中的 **Grafana 管理员**角色。

**注意**  
当您创建使用 IdP 和 SAML 进行授权的 Amazon Managed Grafana 工作空间时，您必须登录已附加策略的 IAM 委托人。**AWSGrafanaAccountAdministrator**

要登录到 Amazon Managed Grafana 工作区，用户需要访问工作区的 Grafana 控制台主页，并选择**使用 SAML 登录**。工作区会读取 SAML 配置，并将用户重定向到 IdP 进行身份验证。用户在 IdP 门户中输入登录凭证，如果是有效用户，IdP 将发出 SAML 断言，并将用户重定向回 Amazon Managed Grafana 工作区。Amazon Managed Grafana 会验证 SAML 断言是否有效，然后用户即可登录并使用工作区。

Amazon Managed Grafana 支持以下 SAML 2.0 绑定：
+ 从服务提供商（SP）到身份提供者（IdP）：
  + HTTP-POST 绑定
  + HTTP-Redirect 绑定
+ 从身份提供者（IdP）到服务提供商（SP）：
  + HTTP-POST 绑定

Amazon Managed Grafana 支持已签名和加密的断言，但不支持已签名或加密的请求。

Amazon Managed Grafana SP-initiated 支持请求，但不支持请求。 IdP-initiated

## 断言映射
<a name="AMG-SAML-Assertion-Mapping"></a>

在 SAML 身份验证流程中，Amazon Managed Grafana 会接收断言使用者服务（ACS）回调。回调包含正在进行身份验证的用户的所有相关信息，这些信息嵌入在 SAML 响应中。Amazon Managed Grafana 会解析该响应，以便在其内部数据库中创建（或更新）用户。

当 Amazon Managed Grafana 映射用户信息时，它会查看断言中的各个属性。您可以将这些属性视为键值对，但它们包含的信息比键值对多。

Amazon Managed Grafana 提供了配置选项，您可以修改查看这些值所依据的键。

您可以使用 Amazon Managed Grafana 控制台将以下 SAML 断言属性映射到 Amazon Managed Grafana 中的值：
+ 对于**断言属性角色**，指定 SAML 断言中用作用户角色的属性名称。
+ 对于**断言属性名称**，指定 SAML 断言中用作 SAML 用户完整“友好”名称的属性名称。
+ 对于**断言属性登录**，指定 SAML 断言中用作 SAML 用户登录名称的属性名称。
+ 对于**断言属性电子邮件**，指定 SAML 断言中用作 SAML 用户电子邮件名称的属性名称。
+ 对于**断言属性组织**，指定 SAML 断言中用作用户组织“友好”名称的属性名称。
+ 对于**断言属性组**，指定 SAML 断言中用作用户组“友好”名称的属性名称。
+ 对于**允许的组织**，您可以限制用户的访问权限，仅允许那些属于 IdP 中特定组织的成员访问。
+ 对于**编辑者角色值**，指定 IdP 中的用户角色，这些用户角色都将被授予 Amazon Managed Grafana 工作区的 `Editor` 角色。

## 连接到身份提供者
<a name="authentication-in-AMG-SAML-providers"></a>

以下外部身份提供者已通过 Amazon Managed Grafana 进行测试，并直接在其应用程序目录或库中提供应用程序，以帮助您使用 SAML 配置 Amazon Managed Grafana。

**Topics**
+ [断言映射](#AMG-SAML-Assertion-Mapping)
+ [连接到身份提供者](#authentication-in-AMG-SAML-providers)
+ [配置 Amazon Managed Grafana 以使用 Azure AD](AMG-SAML-providers-Azure.md)
+ [配置要使用的亚马逊托管 Grafana CyberArk](AMG-SAML-providers-CyberArk.md)
+ [配置 Amazon Managed Grafana 以使用 Okta](AMG-SAML-providers-okta.md)
+ [配置要使用的亚马逊托管 Grafana OneLogin](AMG-SAML-providers-onelogin.md)
+ [配置 Amazon Managed Grafana 以使用 Ping Identity](AMG-SAML-providers-pingone.md)