Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisez SAML avec votre espace de travail Amazon Managed Grafana
<a name="authentication-in-AMG-SAML"></a>

**Note**  
Amazon Managed Grafana ne prend actuellement pas en charge la connexion initiée par l'IdP pour les espaces de travail. Vous devez configurer vos applications SAML avec un état relais vide.

Vous pouvez utiliser l'authentification SAML pour utiliser votre fournisseur d'identité existant et proposer une authentification unique pour vous connecter à la console Grafana de vos espaces de travail Amazon Managed Grafana. Plutôt que de vous authentifier via IAM, l'authentification SAML pour Amazon Managed Grafana vous permet d'utiliser des fournisseurs d'identité tiers pour vous connecter, gérer le contrôle d'accès, rechercher vos données et créer des visualisations. Amazon Managed Grafana prend en charge les fournisseurs d'identité qui utilisent la norme SAML 2.0 et qui ont créé et testé des applications d'intégration avec Azure AD CyberArk, Okta et Ping Identity. OneLogin

Pour plus de détails sur la configuration de l'authentification SAML lors de la création de l'espace de travail, consultez[Création d'un espace de travail](AMG-create-workspace.md#creating-workspace).

Dans le flux d'authentification SAML, un espace de travail Amazon Managed Grafana agit en tant que fournisseur de services (SP) et interagit avec l'IdP pour obtenir des informations sur les utilisateurs. Pour plus d'informations sur le SAML, consultez [Security Assertion Markup Language.](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)

Vous pouvez associer les groupes de votre IdP aux équipes de l'espace de travail Amazon Managed Grafana et définir des autorisations d'accès précises pour ces équipes. Vous pouvez également mapper les rôles organisationnels définis dans l'IdP à des rôles dans l'espace de travail Amazon Managed Grafana. Par exemple, si un rôle de **développeur** est défini dans l'IdP, vous pouvez associer ce rôle au rôle d'**administrateur Grafana dans l'espace de travail Grafana** géré par Amazon.

**Note**  
Lorsque vous créez un espace de travail Amazon Managed Grafana qui utilise un IdP et un SAML pour l'autorisation, vous devez être connecté à un principal IAM auquel la politique est attachée. **AWSGrafanaAccountAdministrator**

Pour se connecter à l'espace de travail Amazon Managed Grafana, un utilisateur se rend sur la page d'accueil de la console Grafana de l'espace de travail et choisit **Se connecter** en utilisant SAML. L'espace de travail lit la configuration SAML et redirige l'utilisateur vers l'IdP pour l'authentification. L'utilisateur saisit ses informations de connexion sur le portail IdP, et s'il s'agit d'un utilisateur valide, l'IdP émet une assertion SAML et redirige l'utilisateur vers l'espace de travail Amazon Managed Grafana. Amazon Managed Grafana vérifie que l'assertion SAML est valide, que l'utilisateur est connecté et peut utiliser l'espace de travail.

Amazon Managed Grafana prend en charge les liaisons SAML 2.0 suivantes :
+ Du fournisseur de services (SP) au fournisseur d'identité (IdP) :
  + liaison HTTP-POST
  + Liaison de redirection HTTP
+ Du fournisseur d'identité (IdP) au fournisseur de services (SP) :
  + liaison HTTP-POST

Amazon Managed Grafana prend en charge les assertions signées et chiffrées, mais ne prend pas en charge les demandes signées ou chiffrées.

Amazon Managed Grafana prend en charge les demandes initiées par le fournisseur de services Internet, mais pas les demandes initiées par l'IdP.

## mappage des assertions
<a name="AMG-SAML-Assertion-Mapping"></a>

Pendant le flux d'authentification SAML, Amazon Managed Grafana reçoit le rappel ACS (Assertion Consumer Service). Le rappel contient toutes les informations pertinentes pour l'utilisateur authentifié, intégrées dans la réponse SAML. Amazon Managed Grafana analyse la réponse pour créer (ou mettre à jour) l'utilisateur dans sa base de données interne.

Lorsqu'Amazon Managed Grafana mappe les informations utilisateur, il examine les attributs individuels de l'assertion. Vous pouvez considérer ces attributs comme des paires clé-valeur, bien qu'ils contiennent plus d'informations que cela.

Amazon Managed Grafana propose des options de configuration qui vous permettent de modifier les clés à prendre en compte pour ces valeurs. 

Vous pouvez utiliser la console Amazon Managed Grafana pour mapper les attributs d'assertion SAML suivants aux valeurs d'Amazon Managed Grafana :
+ Pour le **rôle d'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme rôles utilisateur.
+ Pour le **nom de l'attribut d'assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms complets « conviviaux » pour les utilisateurs SAML.
+ Pour la **connexion à l'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms de connexion des utilisateurs SAML.
+ Pour **l'e-mail d'attribut d'assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms d'e-mail des utilisateurs SAML.
+ Pour **l'organisation de l'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les organisations d'utilisateurs.
+ Pour les **groupes d'attributs Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les groupes d'utilisateurs.
+ Pour les **organisations autorisées**, vous pouvez limiter l'accès des utilisateurs aux seuls utilisateurs membres de certaines organisations de l'IdP.
+ Pour les **valeurs des rôles d'éditeur**, spécifiez les rôles utilisateur de votre IdP qui devraient tous se voir attribuer le `Editor` rôle dans l'espace de travail Amazon Managed Grafana.

## Connexion à votre fournisseur d'identité
<a name="authentication-in-AMG-SAML-providers"></a>

Les fournisseurs d'identité externes suivants ont été testés avec Amazon Managed Grafana et fournissent des applications directement dans leurs répertoires ou galeries d'applications pour vous aider à configurer Amazon Managed Grafana avec SAML.

**Topics**
+ [mappage des assertions](#AMG-SAML-Assertion-Mapping)
+ [Connexion à votre fournisseur d'identité](#authentication-in-AMG-SAML-providers)
+ [Configurer Amazon Managed Grafana pour utiliser Azure AD](AMG-SAML-providers-Azure.md)
+ [Configurer Amazon Managed Grafana pour utiliser CyberArk](AMG-SAML-providers-CyberArk.md)
+ [Configurer Amazon Managed Grafana pour utiliser Okta](AMG-SAML-providers-okta.md)
+ [Configurer Amazon Managed Grafana pour utiliser OneLogin](AMG-SAML-providers-onelogin.md)
+ [Configurer Amazon Managed Grafana pour utiliser Ping Identity](AMG-SAML-providers-pingone.md)

# Configurer Amazon Managed Grafana pour utiliser Azure AD
<a name="AMG-SAML-providers-Azure"></a>

Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin d'utiliser Azure Active Directory en tant que fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez noté l'*ID* de l'espace de travail *URLs*, et. *Région AWS*

## Étape 1 : étapes à suivre dans Azure Active Directory
<a name="AMG-SAML-providers-Azure-step1"></a>

Effectuez les étapes suivantes dans Azure Active Directory.

**Pour configurer Azure Active Directory en tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Connectez-vous à la console Azure en tant qu'administrateur.

1. Choisissez **Azure Active Directory**.

1. Choisissez **Enterprise Applications**.

1. Recherchez **Amazon Managed Grafana SAML2 2.0**, puis sélectionnez-le.

1. Sélectionnez l'application, puis sélectionnez **Configuration**.

1. Dans la configuration de l'application Azure Active Directory, sélectionnez **Utilisateurs et groupes**.

1. Attribuez l'application aux utilisateurs et aux groupes de votre choix.

1. Choisissez **Single sign-on** (Authentification unique).

1. Choisissez **Next** pour accéder à la page de configuration SAML.

1. Spécifiez vos paramètres SAML :
   + Pour **Identifier (ID d'entité)**, collez l'URL de l'**identifiant de votre fournisseur de services** depuis l'espace de travail Amazon Managed Grafana.
   + Pour **l'URL de réponse (URL d'assertion Consumer Service)**, collez la **réponse de votre fournisseur de services** depuis l'espace de travail Amazon Managed Grafana.
   + Assurez-vous que l'option **Sign Assertion** est sélectionnée et que l'option **Chiffrer l'assertion** n'est pas sélectionnée.

1. Dans la section **Attributs et revendications des utilisateurs**, assurez-vous que ces attributs sont mappés. Ils font la distinction majuscules/minuscules.
   + **le courrier** est défini avec **user.userprincipalname.**
   + **DisplayName** **est défini avec user.displayname.**
   + **L'identifiant utilisateur unique** est défini avec **user.userprincipalname.**
   + Ajoutez tous les autres attributs que vous souhaiteriez transmettre. Pour plus d'informations sur les attributs que vous pouvez transmettre à Amazon Managed Grafana dans le mappage des assertions, consultez. [mappage des assertions](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Copiez l'**URL des métadonnées SAML** à utiliser dans la configuration de l'espace de travail Amazon Managed Grafana.

## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
<a name="AMG-SAML-providers-Azure-step2"></a>

Effectuez les étapes suivantes dans la console Amazon Managed Grafana.

**Pour terminer la configuration d'Azure Active Directory en tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation, choisissez l’icône de menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail.

1. Dans l'onglet **Authentification**, choisissez **Configurer la configuration SAML.**

1. Sous **Importer les métadonnées**, choisissez **Charger ou copier/coller et collez** l'URL Azure Active Directory que vous avez copiée à partir de l'URL des **métadonnées SAML** dans la section précédente.

1. Sous **Mappage des assertions**, procédez comme suit :
   + Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**  
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
   + Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi.
   + Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
   + (Facultatif) Si vous avez modifié les attributs par défaut dans votre application Azure Active Directory, développez **Paramètres supplémentaires (facultatif)**, puis définissez les nouveaux noms d'attributs.

     Par défaut, l'attribut Azure **DisplayName** est transmis en tant qu'attribut **Name** et l'attribut de messagerie Ping Identity est transmis à la fois aux attributs de **courrier** **électronique** et de **connexion**.

1. Choisissez **Enregistrer la configuration SAML**.

# Configurer Amazon Managed Grafana pour utiliser CyberArk
<a name="AMG-SAML-providers-CyberArk"></a>

Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin de l'utiliser en CyberArk tant que fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez noté l'ID et la région de l'espace de travail. URLs

## Étape 1 : Étapes à suivre CyberArk
<a name="AMG-SAML-providers-cyberark-step1"></a>

Effectuez les étapes suivantes dans CyberArk.

**Pour configurer en CyberArk tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Connectez-vous au portail CyberArk Identity Admin. 

1. Choisissez **Apps**, **Web Apps**.

1. Choisissez **Ajouter une application Web**.

1. **Recherchez **Amazon Managed Grafana pour la version SAML2 2.0, puis sélectionnez** Ajouter.**

1. Dans la configuration de CyberArk l'application, rendez-vous dans la section **Trust**.

1. Sous **Configuration du fournisseur d'identité**, choisissez **Metadata**.

1. Choisissez **Copier l'URL** et enregistrez l'URL pour l'utiliser ultérieurement au cours de ces étapes.

1. Sous **Configuration du fournisseur de services**, choisissez **Configuration manuelle**.

1. Spécifiez vos paramètres SAML :
   + Pour **SP Entity ID**, collez l'URL de votre **identifiant de fournisseur** de services depuis l'espace de travail Amazon Managed Grafana.
   + Pour **l'URL d'Assertion Consumer Service (ACS)**, collez la **réponse de votre fournisseur de services** depuis l'espace de travail Amazon Managed Grafana.
   + Définissez **Sign Response Assertion** sur **Assertion**.
   + **Assurez-vous que le **format NameID** est EmailAddress.**

1. Choisissez **Enregistrer**.

1. Dans la section **Réponse SAML**, assurez-vous que l'attribut Amazon Managed Grafana se trouve **dans Nom de l'application** et que CyberArk l'attribut est **dans** Valeur d'attribut. Assurez-vous ensuite que les attributs suivants sont mappés. Ils font la distinction majuscules/minuscules.
   + **DisplayName** **est défini avec. LoginUser DisplayName**.
   + **le courrier** est défini avec **LoginUser.Email.**
   + Ajoutez tous les autres attributs que vous souhaiteriez transmettre. Pour plus d'informations sur les attributs que vous pouvez transmettre à Amazon Managed Grafana dans le mappage des assertions, consultez. [mappage des assertions](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Choisissez **Enregistrer**.

1. Dans la section **Autorisations**, choisissez les utilisateurs et les groupes auxquels attribuer cette application, puis sélectionnez **Enregistrer**.

## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
<a name="AMG-SAML-providers-cyberark-step2"></a>

Effectuez les étapes suivantes dans la console Amazon Managed Grafana.

**Pour terminer la configuration en CyberArk tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation, choisissez l’icône de menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail.

1. Dans l'onglet **Authentification**, choisissez **Configurer la configuration SAML.**

1. Sous **Importer les métadonnées**, choisissez **Charger ou copier/coller et collez** l' CyberArk URL que vous avez copiée lors de la procédure précédente.

1. Sous **Mappage des assertions**, procédez comme suit :
   + Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**  
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
   + Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi.
   + Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
   + (Facultatif) Si vous avez modifié les attributs par défaut dans votre CyberArk application, **sélectionnez Paramètres supplémentaires - facultatif**, puis définissez les nouveaux noms d'attributs.

     **Par défaut, l'attribut CyberA **DisplayName** est transmis à **l'**attribut name et CyberArk **l'**attribut mail est transmis aux attributs email **et** login.**

1. Choisissez **Enregistrer la configuration SAML**.

# Configurer Amazon Managed Grafana pour utiliser Okta
<a name="AMG-SAML-providers-okta"></a>

Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin d'utiliser Okta comme fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez noté l'ID et la région de l'espace de travail. URLs

## Étape 1 : Étapes à suivre dans Okta
<a name="AMG-SAML-providers-okta-step1"></a>

Effectuez les étapes suivantes dans Okta.

**Pour configurer Okta en tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Connectez-vous à la console Okta en tant qu'administrateur. 

1. Dans le panneau de gauche, choisissez **Applications**, **Applications**.

1. Choisissez **Parcourir le catalogue d'applications** et recherchez **Amazon Managed Grafana**.

1. **Choisissez **Amazon Managed Grafana**, puis cliquez sur **Ajouter, OK**.**

1. Choisissez l'application pour commencer à la configurer.

1. Dans l'**onglet Connexion**, choisissez **Modifier**.

1. Dans **Paramètres de connexion avancés**, entrez votre identifiant d'espace de travail Amazon Managed Grafana et votre région dans **les champs Nom** Espace **et Région respectivement**. **L'identifiant et la région de votre espace de travail Amazon Managed Grafana se trouvent dans l'URL de votre espace de travail Amazon Managed Grafana au format .grafana-workspace. *workspace-id* *Region*.amazonaws.com**.

1. Choisissez **Enregistrer**.

1. Sous **SAML 2.0**, copiez l'URL des **métadonnées du fournisseur d'identité**. Vous l'utiliserez ultérieurement dans cette procédure dans la console Amazon Managed Grafana.

1. Dans l'onglet **Assignments**, sélectionnez les **personnes** et **les groupes** que vous souhaitez autoriser à utiliser Amazon Managed Grafana.

## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
<a name="AMG-SAML-providers-okta-step2"></a>

Effectuez les étapes suivantes dans la console Amazon Managed Grafana.

**Pour terminer la configuration d'Okta en tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation, choisissez l’icône de menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail.

1. Dans l'onglet **Authentification**, sélectionnez **Configuration complète**.

1. Sous **Importer les métadonnées**, choisissez **Télécharger ou copier/coller et collez** l'URL Okta que vous avez copiée lors de la procédure précédente.

1. Sous **Mappage des assertions**, procédez comme suit :
   + Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**  
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
   + Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi.
   + Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
   + (Facultatif) Si vous avez modifié les attributs par défaut dans votre application Okta, sélectionnez **Paramètres supplémentaires - facultatif**, puis définissez les nouveaux noms d'attributs.

     **Par défaut, l'attribut Okta **DisplayName** est transmis à **l'**attribut name et l'attribut **Okta** mail est transmis aux attributs email et **login**.**

1. Choisissez **Enregistrer la configuration SAML**.

# Configurer Amazon Managed Grafana pour utiliser OneLogin
<a name="AMG-SAML-providers-onelogin"></a>

Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin de l'utiliser en OneLogin tant que fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez pris note de l'ID et de la région de l'espace de travail. URLs

## Étape 1 : Étapes à suivre OneLogin
<a name="AMG-SAML-providers-onelogin-step1"></a>

Effectuez les étapes suivantes dans OneLogin.

**Pour configurer en OneLogin tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Connectez-vous au OneLogin portail en tant qu'administrateur. 

1. Choisissez **Applications**, **Applications**, **Ajouter une application**.

1. Recherchez **Amazon Managed Service for Grafana**.

1. Attribuez **le nom d'affichage** de votre choix et choisissez **Enregistrer**.

1. Accédez à **Configuration** et entrez l'ID de l'espace de travail Amazon Managed Grafana dans **Namespace**, puis entrez la région de votre espace de travail Amazon Managed Grafana.

1. Dans l'onglet **Configuration**, entrez l'URL de votre espace de travail Amazon Managed Grafana.

1. Vous pouvez laisser le paramètre **AdminRole** comme valeur par **défaut No** Default et le renseigner à l'aide de l'onglet **Règles**, si un administrateur a besoin d'une valeur correspondante dans Amazon Managed Grafana. Dans cet exemple, le **rôle de l'attribut Assertion** serait défini sur **AdminRole dans** Amazon Managed Grafana, avec la valeur true. Vous pouvez faire pointer cette valeur vers n'importe quel attribut de votre locataire. Cliquez sur le **signe \$1** pour ajouter et configurer des paramètres répondant aux exigences de votre organisation.

1. Choisissez l'onglet **Règles**, choisissez **Ajouter une règle** et nommez votre règle. Dans le champ **Conditions** (l'instruction if), nous ajoutons **Email contains [adresse e-mail]**. **Dans le champ **Actions** (l'instruction d'alors), nous sélectionnons **Set AdminRole in Amazon Managed Service** et nous sélectionnons **Macro** dans le menu déroulant **Set AdminRole** to, avec la valeur true.** Votre organisation peut choisir différentes règles pour résoudre différents cas d'utilisation.

1. Choisissez **Enregistrer**. Accédez à **Autres actions** et choisissez **Réappliquer les mappages de droits**. Vous devez réappliquer les mappages chaque fois que vous créez ou mettez à jour des règles.

1. Notez l'**URL de l'émetteur**, que vous utiliserez ultérieurement dans la configuration de la console Amazon Managed Grafana. Ensuite, choisissez **Save** (Enregistrer).

1. Choisissez l'onglet **Accès** pour attribuer les OneLogin rôles permettant d'accéder à Amazon Managed Grafana et sélectionnez une politique de sécurité des applications. 

## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
<a name="AMG-SAML-providers-onelogin-step2"></a>

Effectuez les étapes suivantes dans la console Amazon Managed Grafana.

**Pour terminer la configuration en OneLogin tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation, choisissez l’icône de menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail.

1. Dans l'onglet **Authentification**, choisissez **Configurer la configuration SAML.**

1. Sous **Importer les métadonnées**, choisissez **Télécharger ou copier/coller et collez** l'URL de l' OneLoginémetteur que vous avez copiée depuis la OneLogin console lors de la procédure précédente.

1. Sous **Mappage des assertions**, procédez comme suit :
   + Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**  
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
   + Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi. La valeur par défaut pour OneLogin est **AdminRole**.
   + Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
   + (Facultatif) Si vous avez modifié les attributs par défaut dans votre OneLogin application, **sélectionnez Paramètres supplémentaires - facultatif**, puis définissez les nouveaux noms d'attributs.

     Par défaut, l'attribut OneLogin **DisplayName** est transmis à l'attribut **name** et l'attribut OneLogin **mail** est transmis aux attributs **email** et **login**.

1. Choisissez **Enregistrer la configuration SAML**.

# Configurer Amazon Managed Grafana pour utiliser Ping Identity
<a name="AMG-SAML-providers-pingone"></a>

Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin d'utiliser Ping Identity en tant que fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez pris note de l'ID et de la région de l'espace de travail. URLs

## Étape 1 : Étapes à suivre dans Ping Identity
<a name="AMG-SAML-providers-pingone-step1"></a>

Effectuez les étapes suivantes dans Ping Identity.

**Pour configurer Ping Identity en tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Connectez-vous à la console Ping Identity en tant qu'administrateur. 

1. Choisissez **Applications**.

1. Choisissez **Ajouter une application**, puis **Rechercher dans le catalogue d'applications**.

1. **Recherchez l'application **Amazon Managed Grafana for SAML**, puis choisissez-la et choisissez Setup.**

1. Dans l'application Ping Identity, choisissez **Next** pour accéder à la page de configuration SAML. Définissez ensuite les paramètres SAML suivants :
   + Pour **Assertion Consumer Service**, collez l'**URL de réponse de votre fournisseur** de services depuis l'espace de travail Amazon Managed Grafana.
   + Pour **Entity ID**, collez l'**identifiant de votre fournisseur de services** depuis l'espace de travail Amazon Managed Grafana.
   + Assurez-vous que l'option **Sign Assertion** est sélectionnée et que l'option **Chiffrer l'assertion** n'est pas sélectionnée.

1. Choisissez **Passer à l'étape suivante**.

1. Dans le **mappage des attributs SSO, assurez-vous que l'attribut** Amazon Managed Grafana se trouve **dans l'attribut Application** et que l'attribut Ping Identity se trouve dans **l'attribut Identity Bridge**. Effectuez ensuite les réglages suivants :
   + **le courrier** doit être **Email (Work)**.
   + **DisplayName** doit être **Display** Name.
   + **SAML\$1SUBJECT** doit être **Email (**Work). **Ensuite, pour cet attribut, choisissez **Advanced**, définissez le **format d'identifiant du nom à envoyer au SP sur **urn:oasis:names:tc:saml:2.0:nameid-format:transient**** et choisissez Enregistrer.** 
   + Ajoutez tout autre attribut que vous souhaitez transmettre.
   + Ajoutez tous les autres attributs que vous souhaitez transmettre. Pour plus d'informations sur les attributs que vous pouvez transmettre à Amazon Managed Grafana dans le mappage des assertions, consultez. [mappage des assertions](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Choisissez **Passer à l'étape suivante**.

1. Dans **Accès aux groupes**, choisissez les groupes auxquels attribuer cette application.

1. Choisissez **Passer à l'étape suivante**.

1. Copiez l'**URL des métadonnées SAML** qui commence `https://admin- api.pingone.com/latest/metadata/` par. Vous l'utiliserez ultérieurement dans la configuration.

1. Choisissez **Finish** (Terminer).

## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
<a name="AMG-SAML-providers-pingone-step2"></a>

Effectuez les étapes suivantes dans la console Amazon Managed Grafana.

**Pour terminer la configuration de Ping Identity en tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation, choisissez l’icône de menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail.

1. Dans l'onglet **Authentification**, choisissez **Configurer la configuration SAML.**

1. Sous **Importer les métadonnées**, choisissez **Télécharger ou copier/coller et collez** l'URL Ping que vous avez copiée lors de la procédure précédente.

1. Sous **Mappage des assertions**, procédez comme suit :
   + Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**  
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
   + Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi.
   + Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
   + (Facultatif) Si vous avez modifié les attributs par défaut dans votre application Ping Identity, **sélectionnez Paramètres supplémentaires (facultatif**), puis définissez les nouveaux noms d'attributs.

     Par défaut, l'attribut Ping Identity **DisplayName** est transmis à l'attribut **name** et l'attribut **mail** Ping Identity est transmis aux attributs **email** et **login**.

1. Choisissez **Enregistrer la configuration SAML**.