Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Authentifier les utilisateurs dans les espaces de travail Amazon Managed Grafana
Des utilisateurs individuels se connectent à vos espaces de travail pour modifier et consulter vos tableaux de bord. Vous pouvez affecter des utilisateurs à vos espaces de travail et [leur accorder des autorisations d'utilisateur, d'éditeur ou d'administrateur](AMG-manage-users-and-groups-AMG.md). Pour commencer, vous devez créer (ou utiliser un fournisseur d'identité existant) pour authentifier les utilisateurs.
Les utilisateurs sont authentifiés pour utiliser la console Grafana dans un espace de travail Grafana géré par Amazon par authentification unique en utilisant le fournisseur d'identité de votre organisation, plutôt qu'en utilisant IAM. Chaque espace de travail peut utiliser l'une des méthodes d'authentification suivantes ou les deux :
+ Informations d'identification utilisateur stockées dans des fournisseurs d'identité (IdPs) prenant en charge le langage SAML 2.0 (Security Assertion Markup Language 2.0)
+ AWS IAM Identity Center. AWS Single-sign-on (**AWS SSO**) a été rebaptisé **IAM** Identity Center.
Pour chacun de vos espaces de travail, vous pouvez utiliser SAML, IAM Identity Center ou les deux. Si vous commencez par utiliser une méthode, vous pouvez passer à l'autre.
Vous devez accorder à vos utilisateurs (ou aux groupes auxquels ils appartiennent) des autorisations d'accès à l'espace de travail pour qu'ils puissent accéder aux fonctionnalités de l'espace de travail. Pour plus d'informations sur l'octroi d'autorisations à vos utilisateurs, consultez[Gérez l'accès des utilisateurs et des groupes aux espaces de travail Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md).
**Topics**
+ [Utilisez SAML avec votre espace de travail Amazon Managed Grafana](authentication-in-AMG-SAML.md)
+ [À utiliser AWS IAM Identity Center avec votre espace de travail Amazon Managed Grafana](authentication-in-AMG-SSO.md)
# Utilisez SAML avec votre espace de travail Amazon Managed Grafana
**Note**
Amazon Managed Grafana ne prend actuellement pas en charge la connexion initiée par l'IdP pour les espaces de travail. Vous devez configurer vos applications SAML avec un état relais vide.
Vous pouvez utiliser l'authentification SAML pour utiliser votre fournisseur d'identité existant et proposer une authentification unique pour vous connecter à la console Grafana de vos espaces de travail Amazon Managed Grafana. Plutôt que de vous authentifier via IAM, l'authentification SAML pour Amazon Managed Grafana vous permet d'utiliser des fournisseurs d'identité tiers pour vous connecter, gérer le contrôle d'accès, rechercher vos données et créer des visualisations. Amazon Managed Grafana prend en charge les fournisseurs d'identité qui utilisent la norme SAML 2.0 et qui ont créé et testé des applications d'intégration avec Azure AD CyberArk, Okta et Ping Identity. OneLogin
Pour plus de détails sur la configuration de l'authentification SAML lors de la création de l'espace de travail, consultez[Création d'un espace de travail](AMG-create-workspace.md#creating-workspace).
Dans le flux d'authentification SAML, un espace de travail Amazon Managed Grafana agit en tant que fournisseur de services (SP) et interagit avec l'IdP pour obtenir des informations sur les utilisateurs. Pour plus d'informations sur le SAML, consultez [Security Assertion Markup Language.](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)
Vous pouvez associer les groupes de votre IdP aux équipes de l'espace de travail Amazon Managed Grafana et définir des autorisations d'accès précises pour ces équipes. Vous pouvez également mapper les rôles organisationnels définis dans l'IdP à des rôles dans l'espace de travail Amazon Managed Grafana. Par exemple, si un rôle de **développeur** est défini dans l'IdP, vous pouvez associer ce rôle au rôle d'**administrateur Grafana dans l'espace de travail Grafana** géré par Amazon.
**Note**
Lorsque vous créez un espace de travail Amazon Managed Grafana qui utilise un IdP et un SAML pour l'autorisation, vous devez être connecté à un principal IAM auquel la politique est attachée. **AWSGrafanaAccountAdministrator**
Pour se connecter à l'espace de travail Amazon Managed Grafana, un utilisateur se rend sur la page d'accueil de la console Grafana de l'espace de travail et choisit **Se connecter** en utilisant SAML. L'espace de travail lit la configuration SAML et redirige l'utilisateur vers l'IdP pour l'authentification. L'utilisateur saisit ses informations de connexion sur le portail IdP, et s'il s'agit d'un utilisateur valide, l'IdP émet une assertion SAML et redirige l'utilisateur vers l'espace de travail Amazon Managed Grafana. Amazon Managed Grafana vérifie que l'assertion SAML est valide, que l'utilisateur est connecté et peut utiliser l'espace de travail.
Amazon Managed Grafana prend en charge les liaisons SAML 2.0 suivantes :
+ Du fournisseur de services (SP) au fournisseur d'identité (IdP) :
+ liaison HTTP-POST
+ Liaison de redirection HTTP
+ Du fournisseur d'identité (IdP) au fournisseur de services (SP) :
+ liaison HTTP-POST
Amazon Managed Grafana prend en charge les assertions signées et chiffrées, mais ne prend pas en charge les demandes signées ou chiffrées.
Amazon Managed Grafana prend en charge les demandes initiées par le fournisseur de services Internet, mais pas les demandes initiées par l'IdP.
## mappage des assertions
Pendant le flux d'authentification SAML, Amazon Managed Grafana reçoit le rappel ACS (Assertion Consumer Service). Le rappel contient toutes les informations pertinentes pour l'utilisateur authentifié, intégrées dans la réponse SAML. Amazon Managed Grafana analyse la réponse pour créer (ou mettre à jour) l'utilisateur dans sa base de données interne.
Lorsqu'Amazon Managed Grafana mappe les informations utilisateur, il examine les attributs individuels de l'assertion. Vous pouvez considérer ces attributs comme des paires clé-valeur, bien qu'ils contiennent plus d'informations que cela.
Amazon Managed Grafana propose des options de configuration qui vous permettent de modifier les clés à prendre en compte pour ces valeurs.
Vous pouvez utiliser la console Amazon Managed Grafana pour mapper les attributs d'assertion SAML suivants aux valeurs d'Amazon Managed Grafana :
+ Pour le **rôle d'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme rôles utilisateur.
+ Pour le **nom de l'attribut d'assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms complets « conviviaux » pour les utilisateurs SAML.
+ Pour la **connexion à l'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms de connexion des utilisateurs SAML.
+ Pour **l'e-mail d'attribut d'assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms d'e-mail des utilisateurs SAML.
+ Pour **l'organisation de l'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les organisations d'utilisateurs.
+ Pour les **groupes d'attributs Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les groupes d'utilisateurs.
+ Pour les **organisations autorisées**, vous pouvez limiter l'accès des utilisateurs aux seuls utilisateurs membres de certaines organisations de l'IdP.
+ Pour les **valeurs des rôles d'éditeur**, spécifiez les rôles utilisateur de votre IdP qui devraient tous se voir attribuer le `Editor` rôle dans l'espace de travail Amazon Managed Grafana.
## Connexion à votre fournisseur d'identité
Les fournisseurs d'identité externes suivants ont été testés avec Amazon Managed Grafana et fournissent des applications directement dans leurs répertoires ou galeries d'applications pour vous aider à configurer Amazon Managed Grafana avec SAML.
**Topics**
+ [mappage des assertions](#AMG-SAML-Assertion-Mapping)
+ [Connexion à votre fournisseur d'identité](#authentication-in-AMG-SAML-providers)
+ [Configurer Amazon Managed Grafana pour utiliser Azure AD](AMG-SAML-providers-Azure.md)
+ [Configurer Amazon Managed Grafana pour utiliser CyberArk](AMG-SAML-providers-CyberArk.md)
+ [Configurer Amazon Managed Grafana pour utiliser Okta](AMG-SAML-providers-okta.md)
+ [Configurer Amazon Managed Grafana pour utiliser OneLogin](AMG-SAML-providers-onelogin.md)
+ [Configurer Amazon Managed Grafana pour utiliser Ping Identity](AMG-SAML-providers-pingone.md)
# Configurer Amazon Managed Grafana pour utiliser Azure AD
Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin d'utiliser Azure Active Directory en tant que fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez noté l'*ID* de l'espace de travail *URLs*, et. *Région AWS*
## Étape 1 : étapes à suivre dans Azure Active Directory
Effectuez les étapes suivantes dans Azure Active Directory.
**Pour configurer Azure Active Directory en tant que fournisseur d'identité pour Amazon Managed Grafana**
1. Connectez-vous à la console Azure en tant qu'administrateur.
1. Choisissez **Azure Active Directory**.
1. Choisissez **Enterprise Applications**.
1. Recherchez **Amazon Managed Grafana SAML2 2.0**, puis sélectionnez-le.
1. Sélectionnez l'application, puis sélectionnez **Configuration**.
1. Dans la configuration de l'application Azure Active Directory, sélectionnez **Utilisateurs et groupes**.
1. Attribuez l'application aux utilisateurs et aux groupes de votre choix.
1. Choisissez **Single sign-on** (Authentification unique).
1. Choisissez **Next** pour accéder à la page de configuration SAML.
1. Spécifiez vos paramètres SAML :
+ Pour **Identifier (ID d'entité)**, collez l'URL de l'**identifiant de votre fournisseur de services** depuis l'espace de travail Amazon Managed Grafana.
+ Pour **l'URL de réponse (URL d'assertion Consumer Service)**, collez la **réponse de votre fournisseur de services** depuis l'espace de travail Amazon Managed Grafana.
+ Assurez-vous que l'option **Sign Assertion** est sélectionnée et que l'option **Chiffrer l'assertion** n'est pas sélectionnée.
1. Dans la section **Attributs et revendications des utilisateurs**, assurez-vous que ces attributs sont mappés. Ils font la distinction majuscules/minuscules.
+ **le courrier** est défini avec **user.userprincipalname.**
+ **DisplayName** **est défini avec user.displayname.**
+ **L'identifiant utilisateur unique** est défini avec **user.userprincipalname.**
+ Ajoutez tous les autres attributs que vous souhaiteriez transmettre. Pour plus d'informations sur les attributs que vous pouvez transmettre à Amazon Managed Grafana dans le mappage des assertions, consultez. [mappage des assertions](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)
1. Copiez l'**URL des métadonnées SAML** à utiliser dans la configuration de l'espace de travail Amazon Managed Grafana.
## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
Effectuez les étapes suivantes dans la console Amazon Managed Grafana.
**Pour terminer la configuration d'Azure Active Directory en tant que fournisseur d'identité pour Amazon Managed Grafana**
1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)
1. Dans le volet de navigation, choisissez l’icône de menu.
1. Sélectionnez **All workspaces**.
1. Choisissez le nom de l'espace de travail.
1. Dans l'onglet **Authentification**, choisissez **Configurer la configuration SAML.**
1. Sous **Importer les métadonnées**, choisissez **Charger ou copier/coller et collez** l'URL Azure Active Directory que vous avez copiée à partir de l'URL des **métadonnées SAML** dans la section précédente.
1. Sous **Mappage des assertions**, procédez comme suit :
+ Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
+ Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi.
+ Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
+ (Facultatif) Si vous avez modifié les attributs par défaut dans votre application Azure Active Directory, développez **Paramètres supplémentaires (facultatif)**, puis définissez les nouveaux noms d'attributs.
Par défaut, l'attribut Azure **DisplayName** est transmis en tant qu'attribut **Name** et l'attribut de messagerie Ping Identity est transmis à la fois aux attributs de **courrier** **électronique** et de **connexion**.
1. Choisissez **Enregistrer la configuration SAML**.
# Configurer Amazon Managed Grafana pour utiliser CyberArk
Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin de l'utiliser en CyberArk tant que fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez noté l'ID et la région de l'espace de travail. URLs
## Étape 1 : Étapes à suivre CyberArk
Effectuez les étapes suivantes dans CyberArk.
**Pour configurer en CyberArk tant que fournisseur d'identité pour Amazon Managed Grafana**
1. Connectez-vous au portail CyberArk Identity Admin.
1. Choisissez **Apps**, **Web Apps**.
1. Choisissez **Ajouter une application Web**.
1. **Recherchez **Amazon Managed Grafana pour la version SAML2 2.0, puis sélectionnez** Ajouter.**
1. Dans la configuration de CyberArk l'application, rendez-vous dans la section **Trust**.
1. Sous **Configuration du fournisseur d'identité**, choisissez **Metadata**.
1. Choisissez **Copier l'URL** et enregistrez l'URL pour l'utiliser ultérieurement au cours de ces étapes.
1. Sous **Configuration du fournisseur de services**, choisissez **Configuration manuelle**.
1. Spécifiez vos paramètres SAML :
+ Pour **SP Entity ID**, collez l'URL de votre **identifiant de fournisseur** de services depuis l'espace de travail Amazon Managed Grafana.
+ Pour **l'URL d'Assertion Consumer Service (ACS)**, collez la **réponse de votre fournisseur de services** depuis l'espace de travail Amazon Managed Grafana.
+ Définissez **Sign Response Assertion** sur **Assertion**.
+ **Assurez-vous que le **format NameID** est EmailAddress.**
1. Choisissez **Enregistrer**.
1. Dans la section **Réponse SAML**, assurez-vous que l'attribut Amazon Managed Grafana se trouve **dans Nom de l'application** et que CyberArk l'attribut est **dans** Valeur d'attribut. Assurez-vous ensuite que les attributs suivants sont mappés. Ils font la distinction majuscules/minuscules.
+ **DisplayName** **est défini avec. LoginUser DisplayName**.
+ **le courrier** est défini avec **LoginUser.Email.**
+ Ajoutez tous les autres attributs que vous souhaiteriez transmettre. Pour plus d'informations sur les attributs que vous pouvez transmettre à Amazon Managed Grafana dans le mappage des assertions, consultez. [mappage des assertions](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)
1. Choisissez **Enregistrer**.
1. Dans la section **Autorisations**, choisissez les utilisateurs et les groupes auxquels attribuer cette application, puis sélectionnez **Enregistrer**.
## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
Effectuez les étapes suivantes dans la console Amazon Managed Grafana.
**Pour terminer la configuration en CyberArk tant que fournisseur d'identité pour Amazon Managed Grafana**
1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)
1. Dans le volet de navigation, choisissez l’icône de menu.
1. Sélectionnez **All workspaces**.
1. Choisissez le nom de l'espace de travail.
1. Dans l'onglet **Authentification**, choisissez **Configurer la configuration SAML.**
1. Sous **Importer les métadonnées**, choisissez **Charger ou copier/coller et collez** l' CyberArk URL que vous avez copiée lors de la procédure précédente.
1. Sous **Mappage des assertions**, procédez comme suit :
+ Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
+ Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi.
+ Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
+ (Facultatif) Si vous avez modifié les attributs par défaut dans votre CyberArk application, **sélectionnez Paramètres supplémentaires - facultatif**, puis définissez les nouveaux noms d'attributs.
**Par défaut, l'attribut CyberA **DisplayName** est transmis à **l'**attribut name et CyberArk **l'**attribut mail est transmis aux attributs email **et** login.**
1. Choisissez **Enregistrer la configuration SAML**.
# Configurer Amazon Managed Grafana pour utiliser Okta
Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin d'utiliser Okta comme fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez noté l'ID et la région de l'espace de travail. URLs
## Étape 1 : Étapes à suivre dans Okta
Effectuez les étapes suivantes dans Okta.
**Pour configurer Okta en tant que fournisseur d'identité pour Amazon Managed Grafana**
1. Connectez-vous à la console Okta en tant qu'administrateur.
1. Dans le panneau de gauche, choisissez **Applications**, **Applications**.
1. Choisissez **Parcourir le catalogue d'applications** et recherchez **Amazon Managed Grafana**.
1. **Choisissez **Amazon Managed Grafana**, puis cliquez sur **Ajouter, OK**.**
1. Choisissez l'application pour commencer à la configurer.
1. Dans l'**onglet Connexion**, choisissez **Modifier**.
1. Dans **Paramètres de connexion avancés**, entrez votre identifiant d'espace de travail Amazon Managed Grafana et votre région dans **les champs Nom** Espace **et Région respectivement**. **L'identifiant et la région de votre espace de travail Amazon Managed Grafana se trouvent dans l'URL de votre espace de travail Amazon Managed Grafana au format .grafana-workspace. *workspace-id* *Region*.amazonaws.com**.
1. Choisissez **Enregistrer**.
1. Sous **SAML 2.0**, copiez l'URL des **métadonnées du fournisseur d'identité**. Vous l'utiliserez ultérieurement dans cette procédure dans la console Amazon Managed Grafana.
1. Dans l'onglet **Assignments**, sélectionnez les **personnes** et **les groupes** que vous souhaitez autoriser à utiliser Amazon Managed Grafana.
## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
Effectuez les étapes suivantes dans la console Amazon Managed Grafana.
**Pour terminer la configuration d'Okta en tant que fournisseur d'identité pour Amazon Managed Grafana**
1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)
1. Dans le volet de navigation, choisissez l’icône de menu.
1. Sélectionnez **All workspaces**.
1. Choisissez le nom de l'espace de travail.
1. Dans l'onglet **Authentification**, sélectionnez **Configuration complète**.
1. Sous **Importer les métadonnées**, choisissez **Télécharger ou copier/coller et collez** l'URL Okta que vous avez copiée lors de la procédure précédente.
1. Sous **Mappage des assertions**, procédez comme suit :
+ Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
+ Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi.
+ Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
+ (Facultatif) Si vous avez modifié les attributs par défaut dans votre application Okta, sélectionnez **Paramètres supplémentaires - facultatif**, puis définissez les nouveaux noms d'attributs.
**Par défaut, l'attribut Okta **DisplayName** est transmis à **l'**attribut name et l'attribut **Okta** mail est transmis aux attributs email et **login**.**
1. Choisissez **Enregistrer la configuration SAML**.
# Configurer Amazon Managed Grafana pour utiliser OneLogin
Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin de l'utiliser en OneLogin tant que fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez pris note de l'ID et de la région de l'espace de travail. URLs
## Étape 1 : Étapes à suivre OneLogin
Effectuez les étapes suivantes dans OneLogin.
**Pour configurer en OneLogin tant que fournisseur d'identité pour Amazon Managed Grafana**
1. Connectez-vous au OneLogin portail en tant qu'administrateur.
1. Choisissez **Applications**, **Applications**, **Ajouter une application**.
1. Recherchez **Amazon Managed Service for Grafana**.
1. Attribuez **le nom d'affichage** de votre choix et choisissez **Enregistrer**.
1. Accédez à **Configuration** et entrez l'ID de l'espace de travail Amazon Managed Grafana dans **Namespace**, puis entrez la région de votre espace de travail Amazon Managed Grafana.
1. Dans l'onglet **Configuration**, entrez l'URL de votre espace de travail Amazon Managed Grafana.
1. Vous pouvez laisser le paramètre **AdminRole** comme valeur par **défaut No** Default et le renseigner à l'aide de l'onglet **Règles**, si un administrateur a besoin d'une valeur correspondante dans Amazon Managed Grafana. Dans cet exemple, le **rôle de l'attribut Assertion** serait défini sur **AdminRole dans** Amazon Managed Grafana, avec la valeur true. Vous pouvez faire pointer cette valeur vers n'importe quel attribut de votre locataire. Cliquez sur le **signe \$1** pour ajouter et configurer des paramètres répondant aux exigences de votre organisation.
1. Choisissez l'onglet **Règles**, choisissez **Ajouter une règle** et nommez votre règle. Dans le champ **Conditions** (l'instruction if), nous ajoutons **Email contains [adresse e-mail]**. **Dans le champ **Actions** (l'instruction d'alors), nous sélectionnons **Set AdminRole in Amazon Managed Service** et nous sélectionnons **Macro** dans le menu déroulant **Set AdminRole** to, avec la valeur true.** Votre organisation peut choisir différentes règles pour résoudre différents cas d'utilisation.
1. Choisissez **Enregistrer**. Accédez à **Autres actions** et choisissez **Réappliquer les mappages de droits**. Vous devez réappliquer les mappages chaque fois que vous créez ou mettez à jour des règles.
1. Notez l'**URL de l'émetteur**, que vous utiliserez ultérieurement dans la configuration de la console Amazon Managed Grafana. Ensuite, choisissez **Save** (Enregistrer).
1. Choisissez l'onglet **Accès** pour attribuer les OneLogin rôles permettant d'accéder à Amazon Managed Grafana et sélectionnez une politique de sécurité des applications.
## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
Effectuez les étapes suivantes dans la console Amazon Managed Grafana.
**Pour terminer la configuration en OneLogin tant que fournisseur d'identité pour Amazon Managed Grafana**
1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)
1. Dans le volet de navigation, choisissez l’icône de menu.
1. Sélectionnez **All workspaces**.
1. Choisissez le nom de l'espace de travail.
1. Dans l'onglet **Authentification**, choisissez **Configurer la configuration SAML.**
1. Sous **Importer les métadonnées**, choisissez **Télécharger ou copier/coller et collez** l'URL de l' OneLoginémetteur que vous avez copiée depuis la OneLogin console lors de la procédure précédente.
1. Sous **Mappage des assertions**, procédez comme suit :
+ Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
+ Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi. La valeur par défaut pour OneLogin est **AdminRole**.
+ Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
+ (Facultatif) Si vous avez modifié les attributs par défaut dans votre OneLogin application, **sélectionnez Paramètres supplémentaires - facultatif**, puis définissez les nouveaux noms d'attributs.
Par défaut, l'attribut OneLogin **DisplayName** est transmis à l'attribut **name** et l'attribut OneLogin **mail** est transmis aux attributs **email** et **login**.
1. Choisissez **Enregistrer la configuration SAML**.
# Configurer Amazon Managed Grafana pour utiliser Ping Identity
Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin d'utiliser Ping Identity en tant que fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez pris note de l'ID et de la région de l'espace de travail. URLs
## Étape 1 : Étapes à suivre dans Ping Identity
Effectuez les étapes suivantes dans Ping Identity.
**Pour configurer Ping Identity en tant que fournisseur d'identité pour Amazon Managed Grafana**
1. Connectez-vous à la console Ping Identity en tant qu'administrateur.
1. Choisissez **Applications**.
1. Choisissez **Ajouter une application**, puis **Rechercher dans le catalogue d'applications**.
1. **Recherchez l'application **Amazon Managed Grafana for SAML**, puis choisissez-la et choisissez Setup.**
1. Dans l'application Ping Identity, choisissez **Next** pour accéder à la page de configuration SAML. Définissez ensuite les paramètres SAML suivants :
+ Pour **Assertion Consumer Service**, collez l'**URL de réponse de votre fournisseur** de services depuis l'espace de travail Amazon Managed Grafana.
+ Pour **Entity ID**, collez l'**identifiant de votre fournisseur de services** depuis l'espace de travail Amazon Managed Grafana.
+ Assurez-vous que l'option **Sign Assertion** est sélectionnée et que l'option **Chiffrer l'assertion** n'est pas sélectionnée.
1. Choisissez **Passer à l'étape suivante**.
1. Dans le **mappage des attributs SSO, assurez-vous que l'attribut** Amazon Managed Grafana se trouve **dans l'attribut Application** et que l'attribut Ping Identity se trouve dans **l'attribut Identity Bridge**. Effectuez ensuite les réglages suivants :
+ **le courrier** doit être **Email (Work)**.
+ **DisplayName** doit être **Display** Name.
+ **SAML\$1SUBJECT** doit être **Email (**Work). **Ensuite, pour cet attribut, choisissez **Advanced**, définissez le **format d'identifiant du nom à envoyer au SP sur **urn:oasis:names:tc:saml:2.0:nameid-format:transient**** et choisissez Enregistrer.**
+ Ajoutez tout autre attribut que vous souhaitez transmettre.
+ Ajoutez tous les autres attributs que vous souhaitez transmettre. Pour plus d'informations sur les attributs que vous pouvez transmettre à Amazon Managed Grafana dans le mappage des assertions, consultez. [mappage des assertions](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)
1. Choisissez **Passer à l'étape suivante**.
1. Dans **Accès aux groupes**, choisissez les groupes auxquels attribuer cette application.
1. Choisissez **Passer à l'étape suivante**.
1. Copiez l'**URL des métadonnées SAML** qui commence `https://admin- api.pingone.com/latest/metadata/` par. Vous l'utiliserez ultérieurement dans la configuration.
1. Choisissez **Finish** (Terminer).
## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
Effectuez les étapes suivantes dans la console Amazon Managed Grafana.
**Pour terminer la configuration de Ping Identity en tant que fournisseur d'identité pour Amazon Managed Grafana**
1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)
1. Dans le volet de navigation, choisissez l’icône de menu.
1. Sélectionnez **All workspaces**.
1. Choisissez le nom de l'espace de travail.
1. Dans l'onglet **Authentification**, choisissez **Configurer la configuration SAML.**
1. Sous **Importer les métadonnées**, choisissez **Télécharger ou copier/coller et collez** l'URL Ping que vous avez copiée lors de la procédure précédente.
1. Sous **Mappage des assertions**, procédez comme suit :
+ Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
+ Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi.
+ Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
+ (Facultatif) Si vous avez modifié les attributs par défaut dans votre application Ping Identity, **sélectionnez Paramètres supplémentaires (facultatif**), puis définissez les nouveaux noms d'attributs.
Par défaut, l'attribut Ping Identity **DisplayName** est transmis à l'attribut **name** et l'attribut **mail** Ping Identity est transmis aux attributs **email** et **login**.
1. Choisissez **Enregistrer la configuration SAML**.
# À utiliser AWS IAM Identity Center avec votre espace de travail Amazon Managed Grafana
Amazon Managed Grafana s'intègre AWS IAM Identity Center pour fournir une fédération d'identité à votre personnel. À l'aide d'Amazon Managed Grafana et d'IAM Identity Center, les utilisateurs sont redirigés vers le répertoire de leur entreprise existant pour se connecter avec leurs informations d'identification existantes. Ils sont ensuite facilement connectés à leur espace de travail Amazon Managed Grafana. Cela garantit que les paramètres de sécurité tels que les politiques de mot de passe et l'authentification à deux facteurs sont appliqués. L'utilisation d'IAM Identity Center n'a aucune incidence sur votre configuration IAM existante.
Si vous n'avez pas d'annuaire d'utilisateurs existant ou si vous préférez ne pas vous fédérer, IAM Identity Center propose un annuaire d'utilisateurs intégré que vous pouvez utiliser pour créer des utilisateurs et des groupes pour Amazon Managed Grafana. Amazon Managed Grafana ne prend pas en charge l'utilisation d'utilisateurs et de rôles IAM pour attribuer des autorisations au sein d'un espace de travail Amazon Managed Grafana.
Pour plus d'informations sur IAM Identity Center, consultez [Qu'est-ce AWS IAM Identity Center que](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Pour plus d'informations sur la prise en main d'IAM Identity Center, consultez [Getting started](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html).
Pour utiliser IAM Identity Center, vous devez également avoir AWS Organizations activé le compte. Si nécessaire, Amazon Managed Grafana peut activer Organizations pour vous lorsque vous créez votre premier espace de travail configuré pour utiliser IAM Identity Center.
## Autorisations requises pour les scénarios utilisant IAM Identity Center
Cette section explique les politiques requises pour utiliser Amazon Managed Grafana avec IAM Identity Center. Les politiques nécessaires à l'administration d'Amazon Managed Grafana varient selon que votre AWS compte fait partie d'une organisation ou non.
### Créez un administrateur Grafana dans les comptes AWS Organizations
Pour accorder les autorisations nécessaires à la création et à la gestion des espaces de travail Amazon Managed Grafana dans une organisation, et pour autoriser les dépendances, par exemple AWS IAM Identity Center, attribuez les politiques suivantes à un rôle.
+ Attribuez la politique **AWSGrafanaAccountAdministrator**IAM pour autoriser l'administration des espaces de travail Amazon Managed Grafana.
+ **AWSSSODirectoryL'administrateur** autorise le rôle à utiliser IAM Identity Center lors de la configuration des espaces de travail Amazon Managed Grafana.
+ Pour permettre la création et la gestion des espaces de travail Amazon Managed Grafana dans l'ensemble de l'organisation, attribuez au rôle la **AWSSSOMasterAccountAdministrator**politique IAM. Vous pouvez également attribuer au rôle la politique **AWSSSOMemberAccountAdministrator**IAM afin de permettre la création et la gestion d'espaces de travail au sein d'un compte membre unique de l'organisation.
+ Vous pouvez également éventuellement attribuer au rôle la politique **AWSMarketplaceManageSubscriptions**IAM (ou des autorisations équivalentes) si vous souhaitez autoriser le rôle à mettre à niveau un espace de travail Grafana géré par Amazon vers Grafana enterprise.
Si vous souhaitez utiliser les autorisations gérées par les services lorsque vous créez un espace de travail Grafana géré par Amazon, le rôle qui crée l'espace de travail doit également disposer des autorisations`iam:CreateRole`, `iam:CreatePolicy` et. `iam:AttachRolePolicy` Ils sont nécessaires pour CloudFormation StackSets déployer des politiques qui vous permettent de lire les sources de données dans les comptes de l'organisation.
**Important**
L'octroi à un utilisateur des autorisations `iam:CreateRole`, `iam:CreatePolicy` et `iam:AttachRolePolicy` lui permet de bénéficier d'un accès administratif complet à votre compte AWS . Par exemple, un utilisateur disposant de ces autorisations peut créer une politique disposant d'autorisations complètes pour toutes les ressources et attacher cette politique à n'importe quel rôle. Sélectionnez attentivement les personnes auxquelles vous accordez ces autorisations.
Pour voir les autorisations accordées à **AWSGrafanaAccountAdministrator**, voir [AWS politique gérée : AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)
### Créez et gérez les espaces de travail et les utilisateurs Amazon Managed Grafana dans un seul compte autonome
Un AWS compte autonome est un compte qui n'est pas membre d'une organisation. Pour plus d'informations AWS Organizations, voir [Qu'est-ce que c'est AWS Organizations ?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
Pour autoriser la création et la gestion d'espaces de travail et d'utilisateurs Amazon Managed Grafana dans un compte autonome, attribuez les politiques IAM suivantes à un rôle :
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAdministrateur**
**Important**
L'attribution de cette **AWSOrganizationsFullAccess**politique à un rôle donne à ce rôle un accès administratif complet à votre AWS compte. Sélectionnez attentivement les personnes auxquelles vous accordez ces autorisations.
Pour voir les autorisations accordées à **AWSGrafanaAccountAdministrator**, voir [AWS politique gérée : AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)