本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 搭配 Amazon Managed Grafana 工作區使用 SAML
<a name="authentication-in-AMG-SAML"></a>

**注意**  
Amazon Managed Grafana 目前不支援工作區的 IdP 起始登入。您應該將 SAML 應用程式設定為空白轉送狀態。

您可以使用 SAML 身分驗證來使用現有的身分提供者，並提供單一登入來登入 Amazon Managed Grafana 工作區的 Grafana 主控台。Amazon Managed Grafana 的 SAML 身分驗證不是透過 IAM 驗證，而是可讓您使用第三方身分提供者登入、管理存取控制、搜尋資料，以及建置視覺化效果。Amazon Managed Grafana 支援使用 SAML 2.0 標準的身分提供者，並已使用 Azure AD、CyberArk、Okta、OneLogin 和 Ping Identity 建置和測試整合應用程式。

如需如何在建立工作區期間設定 SAML 身分驗證的詳細資訊，請參閱 [建立工作區](AMG-create-workspace.md#creating-workspace)。

在 SAML 身分驗證流程中，Amazon Managed Grafana 工作區充當服務提供者 (SP)，並與 IdP 互動以取得使用者資訊。如需 SAML 的詳細資訊，請參閱[安全性聲明標記語言](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)。

您可以將 IdP 中的群組映射至 Amazon Managed Grafana 工作區中的團隊，並設定這些團隊的精細存取許可。您也可以將 IdP 中定義的組織角色映射至 Amazon Managed Grafana 工作區中的角色。例如，如果您在 IdP 中定義了**開發人員**角色，您可以將該角色映射到 Amazon Managed **Grafana** 工作區中的 Grafana Admin 角色。

**注意**  
當您建立使用 IdP 和 SAML 進行授權的 Amazon Managed Grafana 工作區時，您必須登入已連接 **AWSGrafanaAccountAdministrator** 政策的 IAM 主體。

若要登入 Amazon Managed Grafana 工作區，使用者會造訪工作區的 Grafana 主控台首頁，然後選擇**使用 SAML 登入**。工作區會讀取 SAML 組態，並將使用者重新導向至 IdP 進行身分驗證。使用者在 IdP 入口網站中輸入其登入憑證，如果他們是有效的使用者，IdP 會發出 SAML 聲明，並將使用者重新導向回 Amazon Managed Grafana 工作區。Amazon Managed Grafana 會驗證 SAML 聲明是否有效，且使用者已登入且可以使用工作區。

Amazon Managed Grafana 支援下列 SAML 2.0 繫結：
+ 從服務提供者 (SP) 到身分提供者 (IdP)：
  + HTTP-POST 繫結
  + HTTP 重新導向繫結
+ 從身分提供者 (IdP) 到服務提供者 (SP)：
  + HTTP-POST 繫結

Amazon Managed Grafana 支援已簽署和加密的聲明，但不支援已簽署或加密的請求。

Amazon Managed Grafana 支援 SP 起始的請求，不支援 IdP 起始的請求。

## 聲明映射
<a name="AMG-SAML-Assertion-Mapping"></a>

在 SAML 身分驗證流程中，Amazon Managed Grafana 會收到聲明消費者服務 (ACS) 回呼。回呼包含正在驗證之使用者的所有相關資訊，內嵌在 SAML 回應中。Amazon Managed Grafana 會剖析回應，以在內部資料庫中建立 （或更新） 使用者。

當 Amazon Managed Grafana 映射使用者資訊時，它會查看聲明中的個別屬性。您可以將這些屬性視為索引鍵/值對，雖然它們包含比它更多的資訊。

Amazon Managed Grafana 提供組態選項，讓您可以修改要查看哪些索引鍵以取得這些值。

您可以使用 Amazon Managed Grafana 主控台，將下列 SAML 聲明屬性對應至 Amazon Managed Grafana 中的值：
+ 對於 **Assertion 屬性角色**，請在 SAML 聲明中指定要用作使用者角色的屬性名稱。
+ 針對 **Assertion 屬性名稱**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的完整「易記」名稱。
+ 對於 **Assertion 屬性登入**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者登入名稱。
+ 對於 **Assertion 屬性電子郵件**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者電子郵件名稱。
+ 對於 **Assertion 屬性組織**，請在 SAML 聲明中指定屬性的名稱，以用於使用者組織的「易記」名稱。
+ 對於 **Assertion 屬性群組**，請在 SAML 聲明中指定屬性的名稱，以用於使用者群組的「易記」名稱。
+ 對於**允許的組織**，您只能將使用者存取權限制為 IdP 中特定組織的成員。
+ 對於**編輯器角色值**，請指定 IdP 中的使用者角色，這些角色都應在 Amazon Managed Grafana 工作區中授予該`Editor`角色。

## 連線至您的身分提供者
<a name="authentication-in-AMG-SAML-providers"></a>

下列外部身分提供者已使用 Amazon Managed Grafana 進行測試，並直接在其應用程式目錄或程式庫中提供應用程式，以協助您使用 SAML 設定 Amazon Managed Grafana。

**Topics**
+ [聲明映射](#AMG-SAML-Assertion-Mapping)
+ [連線至您的身分提供者](#authentication-in-AMG-SAML-providers)
+ [設定 Amazon Managed Grafana 以使用 Azure AD](AMG-SAML-providers-Azure.md)
+ [設定 Amazon Managed Grafana 以使用 CyberArk](AMG-SAML-providers-CyberArk.md)
+ [設定 Amazon Managed Grafana 使用 Okta](AMG-SAML-providers-okta.md)
+ [設定 Amazon Managed Grafana 使用 OneLogin](AMG-SAML-providers-onelogin.md)
+ [設定 Amazon Managed Grafana 以使用 Ping 身分](AMG-SAML-providers-pingone.md)