기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon Managed Grafana 워크스페이스에서 사용자 인증
개별 사용자는 워크스페이스에 로그인하여 대시보드를 편집하고 봅니다. 사용자를 워크스페이스에 할당하고 [사용자, 편집자 또는 관리자 권한을 부여](AMG-manage-users-and-groups-AMG.md)할 수 있습니다. 시작하려면 ID 제공업체를 생성하거나 기존 ID 제공업체를 사용하여 사용자를 인증합니다.
사용자는 IAM을 사용하는 대신 조직의 ID 제공업체를 사용하여 Single Sign-On을 통해 Amazon Managed Grafana 워크스페이스에서 Grafana 콘솔을 사용하도록 인증됩니다. 각 워크스페이스에서는 다음 인증 방법 중 하나 또는 둘 다를 사용할 수 있습니다.
+ Security Assertion Markup Language 2.0(SAML 2.0)을 지원하는 ID 제공업체(idP)에 저장된 사용자 자격 증명
+ AWS IAM Identity Center. AWS Single-sign-on(**AWS SSO**)이 **IAM Identity Center**로 브랜드가 변경되었습니다.
각 워크스페이스에 대해 SAML, IAM Identity Center 또는 둘 다를 사용할 수 있습니다. 하나의 방법을 사용하여 시작하는 경우 다른 방법을 사용하도록 전환할 수 있습니다.
사용자 또는 사용자가 속한 그룹에 워크스페이스에 대한 권한을 부여해야 워크스페이스 내 기능에 액세스할 수 있습니다. 사용자에게 권한 설정에 대한 자세한 내용은 [Amazon Managed Grafana 워크스페이스에 대한 사용자 및 그룹 액세스 관리](AMG-manage-users-and-groups-AMG.md) 섹션을 참조하세요.
**Topics**
+ [Amazon Managed Grafana 워크스페이스에서 SAML 사용](authentication-in-AMG-SAML.md)
+ [Amazon Managed Grafana 워크스페이스와 AWS IAM Identity Center 함께 사용](authentication-in-AMG-SSO.md)
# Amazon Managed Grafana 워크스페이스에서 SAML 사용
**참고**
Amazon Managed Grafana는 현재 워크스페이스에 대한 IdP 시작 로그인을 지원하지 않습니다. 빈 릴레이 상태로 SAML 애플리케이션을 설정해야 합니다.
SAML 인증을 사용하여 기존 ID 제공업체를 사용하고 Amazon Managed Grafana 워크스페이스의 Grafana 콘솔에 로그인하기 위한 Single Sign-On을 제공할 수 있습니다. IAM을 통해 인증하는 대신 Amazon Managed Grafana에 대한 SAML 인증을 사용하면 서드파티 ID 제공업체를 사용하여 대시보드에 로그인하고 세분화된 액세스 제어를 관리하며 데이터를 검색하고 시각화를 구축할 수 있습니다. Amazon Managed Grafana는 SAML 2.0 표준을 사용하고 Azure AD, CyberArk , Okta, OneLogin 및 Ping Identity와 통합 애플리케이션을 구축하고 테스트한 ID 제공업체를 지원합니다.
워크스페이스 생성 중에 SAML 인증을 설정하는 방법에 대한 자세한 내용은 [워크스페이스 생성](AMG-create-workspace.md#creating-workspace) 섹션을 참조하세요.
SAML 인증 흐름에서 Amazon Managed Grafana 워크스페이스는 서비스 제공업체(SP) 역할을 하며 IdP와 상호 작용하여 사용자 정보를 가져옵니다. SAML에 대한 자세한 내용은 [Security Assertion Markup Language](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)를 참조하세요.
IdP의 그룹을 Amazon Managed Grafana 워크스페이스의 팀에 매핑하고 해당 팀에 대해 세분화된 액세스 권한을 설정할 수 있습니다. IdP에 정의된 조직 역할을 Amazon Managed Grafana 워크스페이스의 역할에 매핑할 수도 있습니다. 예를 들어 IdP에 정의된 **개발자** 역할이 있는 경우 Amazon Managed Grafana 워크스페이스의 **Grafana 관리자** 역할에 해당 역할을 매핑할 수 있습니다.
**참고**
권한 부여를 위해 IdP 및 SAML을 사용하는 Amazon Managed Grafana 워크스페이스를 생성하는 경우 **AWSGrafanaAccountAdministrator** 정책이 연결된 IAM 위탁자로 로그인해야 합니다.
Amazon Managed Grafana 워크스페이스에 로그인하려면 사용자가 워크스페이스의 Grafana 콘솔 홈 페이지를 방문하고 **SAML을 사용하여 로그인**을 선택합니다. 워크스페이스는 SAML 구성을 읽고 인증을 위해 사용자를 IdP로 리디렉션합니다. 사용자는 IdP 포털에 로그인 자격 증명을 입력합니다. 유효한 사용자인 경우 IdP는 SAML 어설션을 발급하고 사용자를 Amazon Managed Grafana 워크스페이스로 다시 리디렉션합니다. Amazon Managed Grafana는 SAML 어설션이 유효한지, 사용자가 로그인되어 있고 워크스페이스를 사용할 수 있는지 확인합니다.
Amazon Managed Grafana는 다음과 같은 SAML 2.0 바인딩을 지원합니다.
+ 서비스 제공업체(SP)에서 ID 제공업체(IdP)로:
+ HTTP-POST 바인딩
+ HTTP-Redirect 바인딩
+ ID 제공업체(IdP)에서 서비스 제공업체(SP)로:
+ HTTP-POST 바인딩
Amazon Managed Grafana는 서명 및 암호화된 어설션을 지원하지만 서명 또는 암호화된 요청은 지원하지 않습니다.
Amazon Managed Grafana는 SP 시작 요청을 지원하지만 IdP 시작 요청을 지원하지 않습니다.
## 어설션 매핑
SAML 인증 흐름 중에 Amazon Managed Grafana는 어설션 소비자 서비스(ACS) 콜백을 수신합니다. 콜백에는 인증되어 SAML 응답에 포함된 사용자에 대한 모든 관련 정보가 포함됩니다. Amazon Managed Grafana는 응답을 구문 분석하여 내부 데이터베이스 내에서 사용자를 생성(또는 업데이트)합니다.
Amazon Managed Grafana에서 사용자 정보를 매핑하는 경우 어설션 내의 개별 속성을 살펴봅니다. 이러한 속성은 키-값 페어로 생각할 수 있지만 그보다 많은 정보가 포함되어 있습니다.
Amazon Managed Grafana에서는 이러한 값을 확인할 키를 수정할 수 있도록 구성 옵션을 제공합니다.
Amazon Managed Grafana 콘솔을 사용하여 다음 SAML 어설션 속성을 Amazon Managed Grafana의 값에 매핑할 수 있습니다.
+ **어설션 속성 역할**에서 사용자 역할로 사용할 SAML 어설션 내 속성 이름을 지정합니다.
+ **어설션 속성 이름**에서 SAML 사용자에 대해 사용자의 '친숙'한 전체 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 로그인**에서 SAML 사용자에 대해 사용자의 로그인 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 이메일**에서 SAML 사용자에 대해 사용자의 이메일 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 조직**에서 사용자 조직에 대해 사용자의 '친숙'한 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 그룹**에서 사용자 그룹에 대해 '친숙'한 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **허용된 조직**의 경우 IdP에서 특정 조직의 멤버인 사용자로만 사용자 액세스를 제한할 수 있습니다.
+ **편집자 역할 값**에 Amazon Managed Grafana 워크스페이스에서 `Editor` 역할을 부여받아야 하는 IdP의 사용자 역할을 지정합니다.
## ID 제공업체에 연결
다음 외부 ID 제공업체는 Amazon Managed Grafana를 사용하여 테스트를 거쳤으며 SAML을 사용하여 Amazon Managed Grafana를 구성하는 데 도움이 되도록 앱 디렉터리 또는 갤러리에서 직접 애플리케이션을 제공합니다.
**Topics**
+ [어설션 매핑](#AMG-SAML-Assertion-Mapping)
+ [ID 제공업체에 연결](#authentication-in-AMG-SAML-providers)
+ [Azure AD를 사용하도록 Amazon Managed Grafana 구성](AMG-SAML-providers-Azure.md)
+ [CyberArk를 사용하도록 Amazon Managed Grafana 구성](AMG-SAML-providers-CyberArk.md)
+ [Okta를 사용하도록 Amazon Managed Grafana 구성](AMG-SAML-providers-okta.md)
+ [OneLogin을 사용하도록 Amazon Managed Grafana 구성](AMG-SAML-providers-onelogin.md)
+ [Ping Identity를 사용하도록 Amazon Managed Grafana 구성](AMG-SAML-providers-pingone.md)
# Azure AD를 사용하도록 Amazon Managed Grafana 구성
다음 단계를 사용하여 Azure Active Directory를 ID 제공업체로 사용하도록 Amazon Managed Grafana를 구성합니다. 이 단계에서는 Amazon Managed Grafana 워크스페이스를 이미 생성했고 워크스페이스 *ID*, *URL* 및 *AWS 리전*을 기록했다고 가정합니다.
## 1단계: Azure Active Directory에서 완료하는 단계
Azure Active Directory에서 다음 단계를 완료하세요.
**Azure Active Directory를 Amazon Managed Grafana의 ID 제공업체로 설정하는 방법**
1. Azure 콘솔에 관리자로 로그인하세요.
1. **Azure Active Directory**를 선택합니다.
1. **Enterprise 애플리케이션**을 선택하세요.
1. **Amazon Managed Grafana SAML 2.0**을 검색하고 선택하세요.
1. 애플리케이션을 선택하고 **설정**을 선택하세요.
1. Azure Active Directory 애플리케이션 구성에서 **사용자 및 그룹**을 선택하세요.
1. 원하는 사용자 및 그룹에 애플리케이션을 할당하세요.
1. **Single Sign-On**을 선택합니다.
1. **다음**을 선택하여 SAML 구성 페이지로 이동하세요.
1. SAML 설정을 지정하세요.
+ **식별자(엔터티 ID)**의 경우 Amazon Managed Grafana 워크스페이스의 **서비스 제공업체 식별자** URL을 붙여넣으세요.
+ **회신 URL(어설션 소비자 서비스 URL)**의 경우 Amazon Managed Grafana 워크스페이스의 **서비스 제공업체 회신**을 붙여넣으세요.
+ **어설션 서명**이 선택되어 있고 **어설션 암호화**가 선택되어 있지 않은지 확인하세요.
1. **사용자 속성 및 클레임** 섹션에서 이러한 속성이 매핑되었는지 확인하세요. 대소문자를 구분합니다.
+ **mail**은 **user.userprincipalname**으로 설정됩니다.
+ **displayName**은 **user.displayname**으로 설정됩니다.
+ **고유 사용자 식별자**는 **user.userprincipalname**으로 설정됩니다.
+ 전달하려는 다른 속성을 추가하세요. 어설션 매핑에서 Amazon Managed Grafana로 전달할 수 있는 속성에 대한 자세한 내용은 [어설션 매핑](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping) 섹션을 참조하세요.
1. Amazon Managed Grafana 워크스페이스 구성에 사용할 **SAML 메타데이터 URL**을 복사하세요.
## 2단계: Amazon Managed Grafana에서 완료하는 단계
Amazon Managed Grafana 콘솔에서 다음 단계를 완료합니다.
**Amazon Managed Grafana의 ID 제공업체로 Azure Active Directory 설정을 완료하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택합니다.
1. **모든 워크스페이스**를 선택합니다.
1. 워크스페이스 이름을 선택하세요.
1. **인증** 탭에서 **SAML 구성 설정**을 선택하세요.
1. **메타데이터 가져오기**에서 **업로드 또는 복사/붙여넣기**를 선택하고 이전 섹션의 **SAML 메타데이터 URL**에서 복사한 Azure Active Directory URL을 붙여넣으세요.
1. **어설션 매핑**에서 다음을 수행합니다.
+ **내 워크스페이스에 대한 관리자 할당 옵트 아웃**이 선택되지 않았는지 확인합니다.
**참고**
**내 워크스페이스에 관리자 할당 옵트아웃**을 선택하는 경우 Amazon Managed Grafana 워크스페이스 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 태스크를 포함하여 워크스페이스를 관리할 수 없습니다. Grafana API만 사용하여 워크스페이스에 대한 관리 변경을 수행할 수 있습니다.
+ **어설션 속성 역할**을 선택한 속성 이름으로 설정하세요.
+ **관리자 역할 값**을 관리자인 사용자의 역할에 해당하는 값으로 설정하세요.
+ (선택 사항) Azure Active Directory 애플리케이션에서 기본 속성을 변경한 경우 **추가 설정 - 선택 사항**을 확장하고 새 속성 이름을 설정하세요.
기본적으로 Azure **displayName** 속성은 **이름** 속성으로 전달되고 Azure **mail** 속성은 **이메일** 속성 및 **로그인** 속성으로 모두 전달됩니다.
1. **SAML 구성 저장**을 선택하세요.
# CyberArk를 사용하도록 Amazon Managed Grafana 구성
다음 단계를 사용하여 CyberArk를 ID 제공업체로 사용하도록 Amazon Managed Grafana를 구성합니다. 이 단계에서는 Amazon Managed Grafana 워크스페이스를 이미 생성했고 워크스페이스의 ID, URL 및 리전을 기록했다고 가정합니다.
## 1단계: CyberArk에서 완료하는 단계
CyberArk에서 다음 단계를 완료하세요.
**CyberArk를 Amazon Managed Grafana의 ID 제공업체로 설정하는 방법**
1. CyberArk Identity Admin Portal에 로그인하세요.
1. **앱**, **웹 앱**을 선택하세요.
1. **웹 앱 추가**를 선택하세요.
1. **SAML 2.0에 대한 Amazon Managed Grafana**를 검색하고 **추가**를 선택하세요.
1. CyberArk 애플리케이션 구성에서 **신뢰** 섹션으로 이동하세요.
1. **ID 제공업체 구성**에서 **메타데이터**를 선택하세요.
1. **URL 복사**를 선택하고 이 단계의 후반에서 사용할 URL을 저장하세요.
1. **서비스 제공업체 구성**에서 **수동 구성**을 선택하세요.
1. SAML 설정을 지정하세요.
+ **SP 엔터티 ID**의 경우 Amazon Managed Grafana 워크스페이스의 **서비스 제공업체 식별자** URL을 붙여넣으세요.
+ **어설션 소비자 서비스(ACS) URL**의 경우 Amazon Managed Grafana 워크스페이스의 **서비스 제공업체 회신**을 붙여넣으세요.
+ **서명 응답 어설션**을 **어설션**으로 설정하세요.
+ **NameID 형식**이 **emailAddress**인지 확인하세요.
1. **저장**을 선택합니다.
1. **SAML 응답** 섹션에서 Amazon Managed Grafana 속성이 **애플리케이션 이름**에 있고 CyberArk 속성이 **속성 값**에 있는지 확인하세요. 그리고 다음 속성이 매핑되었는지 확인하세요. 대소문자를 구분합니다.
+ **displayName**은 **LoginUser.DisplayName**으로 설정됩니다.
+ **mail**은 **LoginUser.Email**로 설정됩니다.
+ 전달하려는 다른 속성을 추가하세요. 어설션 매핑에서 Amazon Managed Grafana로 전달할 수 있는 속성에 대한 자세한 내용은 [어설션 매핑](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping) 섹션을 참조하세요.
1. **저장**을 선택합니다.
1. **권한** 섹션에서 이 애플리케이션을 할당할 사용자 및 그룹을 선택한 다음, **저장**을 선택하세요.
## 2단계: Amazon Managed Grafana에서 완료하는 단계
Amazon Managed Grafana 콘솔에서 다음 단계를 완료합니다.
**Amazon Managed Grafana의 ID 제공업체로 CyberArk 설정을 완료하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택합니다.
1. **모든 워크스페이스**를 선택합니다.
1. 워크스페이스 이름을 선택하세요.
1. **인증** 탭에서 **SAML 구성 설정**을 선택하세요.
1. **메타데이터 가져오기**에서 **업로드 또는 복사/붙여넣기**를 선택하고 이전 절차에서 복사한 CyberArk URL을 붙여넣으세요.
1. **어설션 매핑**에서 다음을 수행합니다.
+ **내 워크스페이스에 대한 관리자 할당 옵트 아웃**이 선택되지 않았는지 확인합니다.
**참고**
**내 워크스페이스에 관리자 할당 옵트아웃**을 선택하는 경우 Amazon Managed Grafana 워크스페이스 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 태스크를 포함하여 워크스페이스를 관리할 수 없습니다. Grafana API만 사용하여 워크스페이스에 대한 관리 변경을 수행할 수 있습니다.
+ **어설션 속성 역할**을 선택한 속성 이름으로 설정하세요.
+ **관리자 역할 값**을 관리자인 사용자의 역할에 해당하는 값으로 설정하세요.
+ (선택 사항) CyberArk 애플리케이션에서 기본 속성을 변경한 경우 **추가 설정 - 선택 사항**을 확장하고 새 속성 이름을 설정하세요.
기본적으로 CyberArk **displayName** 속성은 **이름** 속성으로 전달되고 CyberArk **mail** 속성은 **이메일** 속성 및 **로그인** 속성으로 모두 전달됩니다.
1. **SAML 구성 저장**을 선택하세요.
# Okta를 사용하도록 Amazon Managed Grafana 구성
다음 단계를 사용하여 Okta를 ID 제공업체로 사용하도록 Amazon Managed Grafana를 구성합니다. 이 단계에서는 Amazon Managed Grafana 워크스페이스를 이미 생성했고 워크스페이스의 ID, URL 및 리전을 기록했다고 가정합니다.
## 1단계: Okta에서 완료하는 단계
Okta에서 다음 단계를 완료하세요.
**Okta를 Amazon Managed Grafana의 ID 제공업체로 설정하는 방법**
1. Okta 콘솔에 관리자로 로그인하세요.
1. 탐색 창에서 **애플리케이션**, **애플리케이션**을 선택하세요.
1. **앱 카탈로그 찾아보기**를 선택하고 **Amazon Managed Grafana**를 검색하세요.
1. **Amazon Managed Grafana**를 선택하고 **추가**, **완료**를 선택하세요.
1. 애플리케이션을 선택하여 설정을 시작하세요.
1. **로그인** 탭에서 **편집**을 선택하세요.
1. **고급 로그인 설정**에서 Amazon Managed Grafana 워크스페이스 ID와 리전을 각각 **이름 공간** 및 **리전** 필드에 입력합니다. Amazon Managed Grafana 워크스페이스 ID 및 리전은 ***workspace-id*.grafana-workspace.*Region*.amazonaws.com** 형식의 Amazon Managed Grafana 워크스페이스 URL에서 찾을 수 있습니다.
1. **저장**을 선택합니다.
1. **SAML 2.0**에서 **ID 제공업체 메타데이터**의 URL을 복사하세요. 이 절차의 뒷부분에서 Amazon Managed Grafana 콘솔을 통해 사용합니다.
1. **할당** 탭에서 Amazon Managed Grafana를 사용할 수 있는 **사용자** 및 **그룹**을 선택하세요.
## 2단계: Amazon Managed Grafana에서 완료하는 단계
Amazon Managed Grafana 콘솔에서 다음 단계를 완료합니다.
**Amazon Managed Grafana의 ID 제공업체로 Okta 설정을 완료하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택합니다.
1. **모든 워크스페이스**를 선택합니다.
1. 워크스페이스 이름을 선택하세요.
1. **인증** 탭에서 **설정 완료**를 선택하세요.
1. **메타데이터 가져오기**에서 **업로드 또는 복사/붙여넣기**를 선택하고 이전 절차에서 복사한 Okta URL을 붙여넣으세요.
1. **어설션 매핑**에서 다음을 수행합니다.
+ **내 워크스페이스에 대한 관리자 할당 옵트 아웃**이 선택되지 않았는지 확인합니다.
**참고**
**내 워크스페이스에 관리자 할당 옵트아웃**을 선택하는 경우 Amazon Managed Grafana 워크스페이스 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 태스크를 포함하여 워크스페이스를 관리할 수 없습니다. Grafana API만 사용하여 워크스페이스에 대한 관리 변경을 수행할 수 있습니다.
+ **어설션 속성 역할**을 선택한 속성 이름으로 설정하세요.
+ **관리자 역할 값**을 관리자인 사용자의 역할에 해당하는 값으로 설정하세요.
+ (선택 사항) Okta 애플리케이션에서 기본 속성을 변경한 경우 **추가 설정 - 선택 사항**을 확장하고 새 속성 이름을 설정하세요.
기본적으로 Okta **displayName** 속성은 **이름** 속성으로 전달되고 Okta **mail** 속성은 **이메일** 속성 및 **로그인** 속성으로 모두 전달됩니다.
1. **SAML 구성 저장**을 선택하세요.
# OneLogin을 사용하도록 Amazon Managed Grafana 구성
다음 단계를 사용하여 OneLogin을 ID 제공업체로 사용하도록 Amazon Managed Grafana를 구성합니다. 이 단계에서는 Amazon Managed Grafana 워크스페이스를 이미 생성했고 워크스페이스의 ID, URL 및 리전을 기록했다고 가정합니다.
## 1단계: OneLogin에서 완료하는 단계
OneLogin에서 다음 단계를 완료하세요.
**OneLogin을 Amazon Managed Grafana의 ID 제공업체로 설정하는 방법**
1. 관리자로 OneLogin 포털에 로그인합니다.
1. **애플리케이션**, **애플리케이션**, **앱 추가** 선택하세요.
1. **Amazon Managed Service for Grafana**를 검색하세요.
1. 원하는 **표시 이름**을 할당하고 **저장**을 선택하세요.
1. **구성**으로 이동하여 **네임스페이스**에 Amazon Managed Grafana 워크스페이스 ID를 입력하고 Amazon Managed Grafana 워크스페이스의 리전을 입력하세요.
1. **구성** 탭에서 Amazon Managed Grafana 워크스페이스 URL을 입력하세요.
1. 관리자에게 Amazon Managed Grafana에서 해당 값이 필요한 경우 **adminRole** 파라미터를 **기본값 없음**으로 두고 **규칙** 탭을 사용하여 채울 수 있습니다. 이 예제에서는 Amazon Managed Grafana에서 **어설션 속성 역할**이 **adminRole**(값은 true임)로 설정됩니다. 이 값으로 테넌트의 모든 속성을 가리킬 수 있습니다. **\$1**를 클릭하여 조직의 요구 사항에 맞게 파라미터를 추가하고 구성하세요.
1. **규칙** 탭을 선택하고 **규칙 추가** 선택한 다음, 규칙에 이름을 지정하세요. **조건** 필드(if 문)에 **이메일에 [email address] 포함**을 추가합니다. **작업** 필드(다음 명령문)에서 **Amazon Managed Service에서 AdminRole 설정**을 선택하고 **adminRole 설정**(값은 **true**임) 드롭다운에서 **매크로**를 선택하세요. 조직은 다양한 규칙을 선택하여 다양한 사용 사례를 확인할 수 있습니다.
1. **저장**을 선택합니다. **추가 작업**을 다시 클릭한 다음, **권한 매핑 재적용**을 선택하세요. 규칙을 생성하거나 업데이트할 때마다 매핑을 다시 적용해야 합니다.
1. **발급자 URL**을 기록하세요. Amazon Managed Grafana 콘솔의 구성에서 나중에 사용합니다. 그런 다음 **저장**을 선택합니다.
1. **액세스** 탭을 선택하여 Amazon Managed Grafana에 액세스할 OneLogin 역할을 할당하고 앱 보안 정책을 선택하세요.
## 2단계: Amazon Managed Grafana에서 완료하는 단계
Amazon Managed Grafana 콘솔에서 다음 단계를 완료합니다.
**Amazon Managed Grafana의 ID 제공업체로 OneLogin 설정을 완료하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택합니다.
1. **모든 워크스페이스**를 선택합니다.
1. 워크스페이스 이름을 선택하세요.
1. **인증** 탭에서 **SAML 구성 설정**을 선택하세요.
1. **메타데이터 가져오기**에서 **업로드 또는 복사/붙여넣기**를 선택하고 이전 절차의 OneLogin 콘솔에서 복사한 OneLogin 발급자 URL을 붙여넣으세요.
1. **어설션 매핑**에서 다음을 수행합니다.
+ **내 워크스페이스에 대한 관리자 할당 옵트 아웃**이 선택되지 않았는지 확인합니다.
**참고**
**내 워크스페이스에 관리자 할당 옵트아웃**을 선택하는 경우 Amazon Managed Grafana 워크스페이스 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 태스크를 포함하여 워크스페이스를 관리할 수 없습니다. Grafana API만 사용하여 워크스페이스에 대한 관리 변경을 수행할 수 있습니다.
+ **어설션 속성 역할**을 선택한 속성 이름으로 설정하세요. OneLogin의 기본값은 **adminRole**입니다.
+ **관리자 역할 값**을 관리자인 사용자의 역할에 해당하는 값으로 설정하세요.
+ (선택 사항) OneLogin 애플리케이션에서 기본 속성을 변경한 경우 **추가 설정 - 선택 사항**을 확장하고 새 속성 이름을 설정하세요.
기본적으로 OneLogin **displayName** 속성은 **이름** 속성으로 전달되고 OneLogin **mail** 속성은 **이메일** 속성 및 **로그인** 속성으로 모두 전달됩니다.
1. **SAML 구성 저장**을 선택하세요.
# Ping Identity를 사용하도록 Amazon Managed Grafana 구성
다음 단계를 사용하여 Ping Identity를 ID 제공업체로 사용하도록 Amazon Managed Grafana를 구성합니다. 이 단계에서는 Amazon Managed Grafana 워크스페이스를 이미 생성했고 워크스페이스의 ID, URL 및 리전을 기록했다고 가정합니다.
## 1단계: Ping Identity에서 완료하는 단계
Ping Identity에서 다음 단계를 완료하세요.
**Ping Identity를 Amazon Managed Grafana의 ID 제공업체로 설정하는 방법**
1. 관리자로 Ping Identity 콘솔에 로그인하세요.
1. [**Applications**]를 선택합니다.
1. **애플리케이션 추가**, **애플리케이션 카탈로그 검색**을 선택하세요.
1. **Amazon Managed Grafana for SAML** 애플리케이션을 검색하고 선택한 다음, **설정**을 선택하세요.
1. Ping Identity 애플리케이션에서 **다음**을 선택하여 SAML 구성 페이지로 이동하세요. 그리고 다음 SAML 설정을 수행하세요.
+ **어설션 소비자 서비스**의 경우 Amazon Managed Grafana 워크스페이스의 **서비스 제공업체 회신 URL**을 붙여넣으세요.
+ **엔터티 ID**의 경우 Amazon Managed Grafana 워크스페이스의 **서비스 제공업체 식별자**를 붙여넣으세요.
+ **어설션 서명**이 선택되어 있고 **어설션 암호화**가 선택되어 있지 않은지 확인하세요.
1. **다음 단계로 계속**을 선택합니다.
1. **SSO 속성 매핑**에서 Amazon Managed Grafana 속성이 **애플리케이션 속성**에 있고 Ping Identity 속성이 **Identity Bridge 속성**에 있는지 확인하세요. 그리고 다음 설정을 수행하세요.
+ **mail**은 **이메일(작업)**이어야 합니다.
+ **displayName**은 **표시 이름**이어야 합니다.
+ **SAML\$1SUBJECT**는 **이메일(작업)**이어야 합니다. 그런 다음, 이 속성에 대해 **고급**을 선택하고, **SP에 전송할 이름 ID 형식**을 **urn:oasis:names:tc:SAML:2.0:nameid-format:transient**로 설정한 후, **저장**을 선택하세요.
+ 전달하려는 다른 속성을 추가하세요.
+ 전달하려는 다른 속성을 추가하세요. 어설션 매핑에서 Amazon Managed Grafana로 전달할 수 있는 속성에 대한 자세한 내용은 [어설션 매핑](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping) 섹션을 참조하세요.
1. **다음 단계로 계속**을 선택합니다.
1. **그룹 액세스**에서 이 애플리케이션을 할당할 그룹을 선택하세요.
1. **다음 단계로 계속**을 선택합니다.
1. `https://admin- api.pingone.com/latest/metadata/`로 시작하는 **SAML 메타데이터 URL**을 복사하세요. 구성 후반부에서 이를 사용합니다.
1. **마침**을 클릭합니다.
## 2단계: Amazon Managed Grafana에서 완료하는 단계
Amazon Managed Grafana 콘솔에서 다음 단계를 완료합니다.
**Amazon Managed Grafana의 ID 제공업체로 Ping Identity 설정을 완료하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택합니다.
1. **모든 워크스페이스**를 선택합니다.
1. 워크스페이스 이름을 선택하세요.
1. **인증** 탭에서 **SAML 구성 설정**을 선택하세요.
1. **메타데이터 가져오기**에서 **업로드 또는 복사/붙여넣기**를 선택하고 이전 절차에서 복사한 Ping URL을 붙여넣으세요.
1. **어설션 매핑**에서 다음을 수행합니다.
+ **내 워크스페이스에 대한 관리자 할당 옵트 아웃**이 선택되지 않았는지 확인합니다.
**참고**
**내 워크스페이스에 관리자 할당 옵트아웃**을 선택하는 경우 Amazon Managed Grafana 워크스페이스 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 태스크를 포함하여 워크스페이스를 관리할 수 없습니다. Grafana API만 사용하여 워크스페이스에 대한 관리 변경을 수행할 수 있습니다.
+ **어설션 속성 역할**을 선택한 속성 이름으로 설정하세요.
+ **관리자 역할 값**을 관리자인 사용자의 역할에 해당하는 값으로 설정하세요.
+ (선택 사항) Ping Identity 애플리케이션에서 기본 속성을 변경한 경우 **추가 설정 - 선택 사항**을 확장하고 새 속성 이름을 설정하세요.
기본적으로 Ping Identity **displayName** 속성은 **이름** 속성으로 전달되고 Ping Identity **mail** 속성은 **이메일** 속성 및 **로그인** 속성으로 모두 전달됩니다.
1. **SAML 구성 저장**을 선택하세요.
# Amazon Managed Grafana 워크스페이스와 AWS IAM Identity Center 함께 사용
Amazon Managed Grafana는와 통합되어 작업 인력 AWS IAM Identity Center 에 ID 페더레이션을 제공합니다. Amazon Managed Grafana 및 IAM Identity Center를 사용하면 사용자가 기존 회사 디렉터리로 리디렉션되어 기존 자격 증명을 사용해 로그인합니다. 그러면 Amazon Managed Grafana 워크스페이스에 원활하게 로그인됩니다. 이 방식에서는 암호 정책 및 2단계 인증과 같은 보안 설정이 적용됩니다. IAM Identity Center를 사용하더라도 기존 IAM 구성에는 영향을 주지 않습니다.
기존 사용자 디렉터리가 없거나 페더레이션을 원하지 않는 경우 IAM Identity Center는 Amazon Managed Grafana의 사용자 및 그룹을 생성하는 데 사용할 수 있는 통합 사용자 디렉터리를 제공합니다. Amazon Managed Grafana는 Amazon Managed Grafana 워크스페이스 내에서 권한을 할당하기 위한 IAM 사용자 및 역할 사용을 지원하지 않습니다.
IAM Identity Center에 대한 자세한 내용은 [란 무엇입니까 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)?를 참조하십시오. IAM Identity Center에 대한 자세한 내용은 [시작하기](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)를 참조하세요.
IAM Identity Center를 사용하려면 계정에 대해서도를 AWS Organizations 활성화해야 합니다. 필요한 경우 Amazon Managed Grafana는 IAM Identity Center를 사용하도록 구성된 첫 번째 워크스페이스를 생성할 때 Organizations를 활성화할 수 있습니다.
## IAM Identity Center를 사용하는 시나리오에 필요한 권한
이 섹션에서는 Amazon Managed Grafana를 IAM Identity Center와 함께 사용하는 데 필요한 정책을 설명합니다. Amazon Managed Grafana를 관리하는 데 필요한 정책은 AWS 계정이 조직의 일부인지 여부에 따라 달라집니다.
### AWS Organizations 계정에서 Grafana 관리자 생성
조직에서 Amazon Managed Grafana 워크스페이스를 생성 및 관리할 수 있는 권한을 부여하고와 같은 종속성을 허용하려면 역할에 다음 정책을 AWS IAM Identity Center할당합니다.
+ Amazon Managed Grafana 워크스페이스 관리를 허용하도록 **AWSGrafanaAccountAdministrator** IAM 정책을 할당합니다.
+ **AWSSSODirectoryAdministrator**를 사용하면 Amazon Managed Grafana 워크스페이스를 설정할 때 해당 역할에서 IAM Identity Center를 사용할 수 있습니다.
+ 전체 조직에서 Amazon Managed Grafana 워크스페이스를 생성하고 관리할 수 있도록 하려면 역할에 **AWSSSOMasterAccountAdministrator** IAM 정책을 제공합니다. 또는 **AWSSSOMemberAccountAdministrator** IAM 정책을 역할에 제공하여 조직의 단일 멤버 계정 내에서 워크스페이스를 생성하고 관리할 수 있도록 합니다.
+ 해당 역할에서 Amazon Managed Grafana 워크스페이스를 Grafana Enterprise로 업그레이드하도록 허용하려는 경우 선택적으로 **AWSMarketplaceManageSubscriptions** IAM 정책(또는 이와 동등한 권한)을 역할에 제공할 수도 있습니다.
Amazon Managed Grafana 워크스페이스를 생성할 때 서비스 관리형 권한을 사용하려면 워크스페이스를 생성하는 역할에 `iam:CreateRole`, `iam:CreatePolicy` 및 `iam:AttachRolePolicy` 권한도 있어야 합니다. 이는 CloudFormation StackSets를 사용하여 조직 계정의 데이터 소스를 읽을 수 있도록 하는 정책을 배포하는 데 필요합니다.
**중요**
사용자에게 `iam:CreateRole`, `iam:CreatePolicy` 및 `iam:AttachRolePolicy` 권한을 부여하면 해당 사용자에게 AWS 계정에 대한 전체 관리 액세스 권한이 부여됩니다. 예를 들어 이러한 권한을 가진 사용자는 모든 리소스에 대한 전체 권한을 가진 정책을 생성하고 해당 정책을 모든 역할에 연결할 수 있습니다. 이러한 권한을 부여한 사람에게 매우 주의해야 합니다.
**AWSGrafanaAccountAdministrator**에 부여된 권한을 보려면 [AWS 관리형 정책: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) 섹션을 참조하세요.
### 단일 독립 실행형 계정에서 Amazon Managed Grafana 워크스페이스와 사용자 생성 및 관리
독립 실행형 AWS 계정은 조직의 멤버가 아닌 계정입니다. 에 대한 자세한 내용은 란 무엇입니까?를 AWS Organizations참조하십시오. [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
독립 실행형 계정에서 Amazon Managed Grafana 워크스페이스 및 사용자를 생성하고 관리할 수 있는 권한을 부여하려면 역할에 다음 IAM 정책을 할당합니다.
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAdministrator**
**중요**
역할에 **AWSOrganizationsFullAccess** 정책을 부여하면 해당 역할에 AWS 계정에 대한 모든 관리 액세스 권한이 부여됩니다. 이러한 권한을 부여한 사람에게 매우 주의해야 합니다.
**AWSGrafanaAccountAdministrator**에 부여된 권한을 보려면 [AWS 관리형 정책: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) 섹션을 참조하세요.