As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usar o SAML com o espaço de trabalho do Amazon Managed Grafana
**nota**
Atualmente, o Amazon Managed Grafana não é compatível com o login iniciado pelo IdP para espaços de trabalho. Você deve configurar as aplicações do SAML com um estado de retransmissão em branco.
Você pode usar a autenticação SAML para usar o provedor de identidades existente e oferecer autenticação única para fazer login no console do Grafana dos seus espaços de trabalho do Amazon Managed Grafana. Em vez de autenticar por meio do IAM, a autenticação SAML para o Amazon Managed Grafana permite que você use provedores de identidades de terceiros para fazer login, gerenciar o controle de acesso, pesquisar os dados e criar visualizações. O Amazon Managed Grafana oferece suporte a provedores de identidade que usam o padrão SAML 2.0 e criaram e testaram aplicativos de integração com Azure AD CyberArk, Okta e Ping Identity. OneLogin
Para obter detalhes sobre como configurar a autenticação SAML durante a criação do espaço de trabalho, consulte [Criar um espaço de trabalho](AMG-create-workspace.md#creating-workspace).
No fluxo de autenticação SAML, um espaço de trabalho do Amazon Managed Grafana atua como provedor de serviços (SP) e interage com o IdP para obter informações do usuário. Para obter mais informações sobre SAML, consulte [Security Assertion Markup Language](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language).
Você pode mapear grupos no IdP para equipes no espaço de trabalho do Amazon Managed Grafana e definir permissões de acesso refinadas para essas equipes. Você também pode mapear perfis organizacionais definidos no IdP para perfis no espaço de trabalho do Amazon Managed Grafana. Por exemplo, caso tenha um perfil de **Desenvolvedor** definido no IdP, você poderá mapear esse perfil para o perfil de **Administrador do Grafana** no espaço de trabalho do Amazon Managed Grafana.
**nota**
Ao criar um espaço de trabalho Amazon Managed Grafana que usa um IdP e SAML para autorização, você deve estar conectado a um diretor do IAM que tenha a política anexada. **AWSGrafanaAccountAdministrator**
Para entrar no espaço de trabalho do Amazon Managed Grafana, um usuário visita a página inicial do console do Grafana do espaço de trabalho e escolhe **Fazer login usando SAML**. O espaço de trabalho lê a configuração SAML e redireciona o usuário para o IdP para autenticação. O usuário insere suas credenciais de login no portal do IdP e, se for um usuário válido, o IdP emite uma declaração SAML e redireciona o usuário de volta ao espaço de trabalho do Amazon Managed Grafana. O Amazon Managed Grafana verifica se a declaração SAML é válida e se o usuário está conectado e pode usar o espaço de trabalho.
O Amazon Managed Grafana é compatível com as seguintes vinculações do SAML 2.0:
+ Do provedor de serviços (SP) para o provedor de identidades (IdP):
+ Vinculação HTTP-POST
+ Vinculação de redirecionamento HTTP
+ Do provedor de identidades (IdP) para o provedor de serviços (SP):
+ Vinculação HTTP-POST
O Amazon Managed Grafana é compatível com declarações assinadas e criptografadas, mas não é compatível com solicitações assinadas ou criptografadas.
O Amazon Managed Grafana é compatível com solicitações iniciadas pelo SP, mas não é compatível com solicitações iniciadas pelo IDP.
## Mapeamento de declarações
Durante o fluxo de autenticação SAML, o Amazon Managed Grafana recebe o retorno de chamada do Serviço do Consumidor de Declaração (ACS). O retorno de chamada contém todas as informações relevantes para o usuário que está sendo autenticado, incorporadas na resposta SAML. O Amazon Managed Grafana analisa a resposta para criar (ou atualizar) o usuário no banco de dados interno.
Quando o Amazon Managed Grafana mapeia as informações do usuário, ele analisa os atributos individuais na declaração. Você pode considerar esse atributos como pares de chave/valor, embora eles contenham mais informações do que isso.
O Amazon Managed Grafana fornece opções de configuração para que você possa modificar as chaves a serem examinadas quanto a esses valores.
Você pode usar o console do Amazon Managed Grafana para mapear os seguintes atributos de declaração SAML de valores no Amazon Managed Grafana:
+ Em **Perfil do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar os perfis de usuário.
+ Em **Nome do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar nomes completos “amigáveis” de usuário para usuários do SAML.
+ Em **Login do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar nomes de login de usuário para usuários do SAML.
+ Em **E-mail do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar nomes de e-mail de usuário para usuários do SAML.
+ Em **Organização do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar o nome “amigável” para organizações de usuários.
+ Em **Grupos do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar o nome “amigável” para grupos de usuários.
+ Em **Organizações permitidas**, você pode limitar o acesso do usuário somente aos usuários que são membros de determinadas organizações no IdP.
+ Em **valores do perfil Editor**, especifique os perfis de usuário do seu IdP, que devem receber o perfil `Editor` no espaço de trabalho do Amazon Managed Grafana.
## Conectar-se ao provedor de identidades
Os provedores de identidades externos a seguir foram testados com o Amazon Managed Grafana e fornecem aplicações diretamente em seus diretórios ou galerias de aplicações para ajudar a configurar o Amazon Managed Grafana com SAML.
**Topics**
+ [Mapeamento de declarações](#AMG-SAML-Assertion-Mapping)
+ [Conectar-se ao provedor de identidades](#authentication-in-AMG-SAML-providers)
+ [Configurar o Amazon Managed Grafana para usar o Azure AD](AMG-SAML-providers-Azure.md)
+ [Configurar o Amazon Managed Grafana para usar CyberArk](AMG-SAML-providers-CyberArk.md)
+ [Configurar o Amazon Managed Grafana para usar o Okta](AMG-SAML-providers-okta.md)
+ [Configurar o Amazon Managed Grafana para usar OneLogin](AMG-SAML-providers-onelogin.md)
+ [Configurar o Amazon Managed Grafana para usar o Ping Identity](AMG-SAML-providers-pingone.md)
# Configurar o Amazon Managed Grafana para usar o Azure AD
Use as etapas a seguir para configurar o Amazon Managed Grafana para usar o Azure Active Directory como um provedor de identidade. Essas etapas pressupõem que você já tenha criado seu espaço de trabalho Amazon Managed Grafana e tenha anotado o *ID* do espaço de trabalho, e. *URLs*Região da AWS**
## Etapa 1: etapas a serem concluídas no Azure Active Directory
Conclua as etapas a seguir no Azure Active Directory.
**Para configurar o Azure Active Directory como um provedor de identidade do Amazon Managed Grafana**
1. Faça login no console do Azure como administrador.
1. Escolha **Azure Active Directory**.
1. Escolha **Aplicações Enterprise**.
1. Pesquise **Amazon Managed Grafana SAML2 4.0** e selecione-o.
1. Selecione a aplicação e escolha **Configurar**.
1. Na configuração da aplicação do Azure Active Directory, escolha **Usuários e grupos**.
1. Atribuir a aplicação aos usuários e grupos que você desejar.
1. Escolha **Logon único**.
1. Escolha **Avançar** para acessar a página de configuração SAML.
1. Especifique as configurações do SAML:
+ Para **Identificador (ID da entidade)**, cole o URL do **Identificador do provedor de serviços** do espaço de trabalho do Amazon Managed Grafana.
+ Em **URL de resposta (URL do Serviço do Consumidor de Declaração)**, cole a **Resposta do provedor de serviços** no espaço de trabalho do Amazon Managed Grafana.
+ Verifique se a opção **Subscrever declaração** está selecionada e se a opção **Criptografar a declaração** não está selecionada.
1. Na seção **Atributos e reivindicações do usuário**, verifique se os atributos estão mapeados. Eles diferenciam letras maiúsculas de minúsculas.
+ **mail** é definido com **user.userprincipalname**.
+ **displayName** é definido com **user.displayname**.
+ O **Identificador de usuário exclusivo** é definido com **user.userprincipalname**.
+ Adicione quaisquer outros atributos que você gostaria de passar. Para obter mais informações sobre os atributos que você pode passar para o Amazon Managed Grafana no mapeamento de declarações, consulte [Mapeamento de declarações](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping).
1. Copie o **URL de metadados do SAML** para uso na configuração do espaço de trabalho Amazon Managed Grafana.
## Etapa 2: etapas a serem concluídas no Amazon Managed Grafana
Execute as etapas a seguir no console do Amazon Managed Grafana.
**Para finalizar de configurar o Azure Active Directory como um provedor de identidade do Amazon Managed Grafana**
1. Abra o console do Amazon Managed Grafana em [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).
1. No painel de navegação, escolha o ícone de calendário.
1. Escolha **Todos os espaços de trabalho**.
1. Escolha o nome do espaço de trabalho.
1. Na guia **Autenticação**, escolha **Definir a configuração SAML**.
1. Em **Importar os metadados**, escolha **Carregar ou copiar e colar** e cole o URL do Azure Active Directory que você copiou do **URL de metadados do SAML** na seção anterior.
1. Em **Mapeamento de declarações**, faça o seguinte:
+ Certifique-se de que **Eu quero optar por não atribuir administradores ao meu espaço de trabalho** não esteja selecionado.
**nota**
Se você escolher **Eu quero optar por não atribuir administradores ao meu espaço de trabalho**, você não poderá usar o console do espaço de trabalho do Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando o Grafana APIs.
+ Defina o **Perfil do atributo de declaração** como o nome do atributo que você escolheu.
+ Defina os **Valores do perfil de administrador** para valores correspondentes aos perfis dos usuários administradores.
+ (Opcional) Se você alterou os atributos padrão na aplicação do Azure Active Directory, expanda **Configurações adicionais: opcional** e defina os novos nomes dos atributos.
Por padrão, o atributo **displayName** do Azure é passado como o atributo **Name**, e o atributo **mail** do Ping Identity é passado para os atributos **email** e **login**.
1. Escolha **Salvar configuração SAML**.
# Configurar o Amazon Managed Grafana para usar CyberArk
Use as etapas a seguir para configurar o Amazon Managed Grafana para ser usado CyberArk como provedor de identidade. Essas etapas pressupõem que você já tenha criado seu espaço de trabalho Amazon Managed Grafana e tenha anotado o ID e a região do espaço de trabalho. URLs
## Etapa 1: Etapas para concluir em CyberArk
Conclua as etapas a seguir em CyberArk.
**Para se configurar CyberArk como um provedor de identidade para o Amazon Managed Grafana**
1. Faça login no Portal de Administração de CyberArk Identidade.
1. Escolha **Aplicações**, **Aplicações Web**.
1. Escolha **Adicionar aplicações Web**.
1. **Pesquise **Amazon Managed Grafana for SAML2 .0** e escolha Adicionar.**
1. Na configuração do CyberArk aplicativo, vá para a seção **Confiança**.
1. Em **Configuração do provedor de identidade**, escolha **Metadados**.
1. Escolha **Copiar URL** e salve o URL para usar posteriormente nessas etapas.
1. Em **Configuração do provedor de serviços**, escolha **Configuração manual**.
1. Especifique as configurações do SAML:
+ Em **ID da entidade do SP**, cole o URL do **Identificador do provedor de serviços** do espaço de trabalho do Amazon Managed Grafana.
+ Em **URL do Serviço do Consumidor de Declaração (ACS)**, cole a **Resposta do provedor de serviços** no espaço de trabalho do Amazon Managed Grafana.
+ Defina **Subscrever declaração da resposta** como **Declaração**.
+ Certifique-se de que o **formato NameID** seja **emailAddress**.
1. Escolha **Salvar**.
1. Na seção **Resposta SAML**, certifique-se de que o atributo Amazon Managed Grafana esteja **em Nome do aplicativo** e que CyberArk o atributo esteja **em** Valor do atributo. Depois certifique-se de que os atributos a seguir estejam mapeados. Eles diferenciam letras maiúsculas de minúsculas.
+ **DisplayName** **está definido com. LoginUser DisplayName**.
+ **mail** é definido com **LoginUser.Email.**
+ Adicione quaisquer outros atributos que você gostaria de passar. Para obter mais informações sobre os atributos que você pode passar para o Amazon Managed Grafana no mapeamento de declarações, consulte [Mapeamento de declarações](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping).
1. Escolha **Salvar**.
1. Na seção **Permissões**, escolha a quais usuários e grupos atribuir essa aplicação, e escolha **Salvar**.
## Etapa 2: etapas a serem concluídas no Amazon Managed Grafana
Execute as etapas a seguir no console do Amazon Managed Grafana.
**Para concluir a configuração CyberArk como provedor de identidade para o Amazon Managed Grafana**
1. Abra o console do Amazon Managed Grafana em [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).
1. No painel de navegação, escolha o ícone de calendário.
1. Escolha **Todos os espaços de trabalho**.
1. Escolha o nome do espaço de trabalho.
1. Na guia **Autenticação**, escolha **Definir a configuração SAML**.
1. Em **Importar os metadados**, escolha **Carregar ou copiar/colar e colar** o CyberArk URL que você copiou no procedimento anterior.
1. Em **Mapeamento de declarações**, faça o seguinte:
+ Certifique-se de que **Eu quero optar por não atribuir administradores ao meu espaço de trabalho** não esteja selecionado.
**nota**
Se você escolher **Eu quero optar por não atribuir administradores ao meu espaço de trabalho**, você não poderá usar o console do espaço de trabalho do Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando o Grafana APIs.
+ Defina o **Perfil do atributo de declaração** como o nome do atributo que você escolheu.
+ Defina os **Valores do perfil de administrador** para valores correspondentes aos perfis dos usuários administradores.
+ (Opcional) Se você alterou os atributos padrão em seu CyberArk aplicativo, expanda **Configurações adicionais - opcional** e defina os novos nomes dos atributos.
****Por padrão, o atributo CyberA displayName é passado para **o atributo name e CyberArk **o**** atributo mail é passado para **os** atributos email e login.****
1. Escolha **Salvar configuração SAML**.
# Configurar o Amazon Managed Grafana para usar o Okta
Use as etapas a seguir para configurar o Amazon Managed Grafana para usar o Okta como um provedor de identidade. Essas etapas pressupõem que você já tenha criado seu espaço de trabalho Amazon Managed Grafana e tenha anotado o ID e a região do espaço de trabalho. URLs
## Etapa 1: etapas para concluir no Okta
Conclua as etapas a seguir no Okta.
**Para configurar o Okta como um provedor de identidade do Amazon Managed Grafana**
1. Faça login no console do Okta como administrador.
1. No painel à esquerda, escolha **Aplicações**, **Aplicações**.
1. Escolha **Procurar catálogo de aplicações** e pesquise por **Amazon Managed Grafana**.
1. Escolha **Amazon Managed Grafana** e depois **Adicionar**, **Concluído**.
1. Escolha a aplicação para começar a configurá-la.
1. Na guia **Logon**, escolha **Editar**.
1. Em **Configurações avançadas de logon**, insira o ID do espaço de trabalho do Amazon Managed Grafana e a região nos campos **Área de nome** e **Região**, respectivamente. **Seu ID e região do espaço de trabalho Amazon Managed Grafana podem ser encontrados no URL do seu espaço de trabalho Amazon Managed Grafana, que tem o formato .grafana-workspace. *workspace-id* *Region*.amazonaws.com**.
1. Escolha **Salvar**.
1. Em **SAML 2.0**, copie o URL dos **metadados do provedor de identidade**. Você usará isso posteriormente neste procedimento no console do Amazon Managed Grafana.
1. Na guia **Atribuições**, escolha as **Pessoas** e os **Grupos** que você deseja que possam usar o Amazon Managed Grafana.
## Etapa 2: etapas a serem concluídas no Amazon Managed Grafana
Execute as etapas a seguir no console do Amazon Managed Grafana.
**Para concluir a configuração do Okta como provedor de identidade do Amazon Managed Grafana**
1. Abra o console do Amazon Managed Grafana em [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).
1. No painel de navegação, escolha o ícone de calendário.
1. Escolha **Todos os espaços de trabalho**.
1. Escolha o nome do espaço de trabalho.
1. Na guia **Autenticação**, escolha **Concluir configuração**.
1. Em **Importar os metadados**, escolha **Carregar ou copiar e colar** e cole o URL do Okta que você copiou no procedimento anterior.
1. Em **Mapeamento de declarações**, faça o seguinte:
+ Certifique-se de que **Eu quero optar por não atribuir administradores ao meu espaço de trabalho** não esteja selecionado.
**nota**
Se você escolher **Eu quero optar por não atribuir administradores ao meu espaço de trabalho**, você não poderá usar o console do espaço de trabalho do Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando o Grafana APIs.
+ Defina o **Perfil do atributo de declaração** como o nome do atributo que você escolheu.
+ Defina os **Valores do perfil de administrador** para valores correspondentes aos perfis dos usuários administradores.
+ (Opcional) Se você alterou os atributos padrão na aplicação do Okta, expanda **Configurações adicionais: opcional** e defina os novos nomes dos atributos.
Por padrão, o atributo **displayName** do Okta é passado como o atributo **name**, e o atributo **mail** do Okta é passado para os atributos **email** e **login**.
1. Escolha **Salvar configuração SAML**.
# Configurar o Amazon Managed Grafana para usar OneLogin
Use as etapas a seguir para configurar o Amazon Managed Grafana para ser usado OneLogin como provedor de identidade. Essas etapas pressupõem que você já tenha criado seu espaço de trabalho Amazon Managed Grafana e tenha anotado o ID e a região do espaço de trabalho. URLs
## Etapa 1: Etapas para concluir em OneLogin
Conclua as etapas a seguir em OneLogin.
**Para se configurar OneLogin como um provedor de identidade para o Amazon Managed Grafana**
1. Entre no OneLogin portal como administrador.
1. Escolha **Aplicações**, **Aplicações**, **Adicionar aplicação**.
1. Pesquise **Amazon Managed Service for Grafana**.
1. Atribua um **nome de exibição** de sua escolha e escolha **Salvar**.
1. Navegue até **Configuração** e insira o ID do espaço de trabalho Amazon Managed Grafana no **Namespace**, e insira a região do espaço de trabalho do Amazon Managed Grafana.
1. Na guia **Configuração**, insira o URL do espaço de trabalho do Amazon Managed Grafana.
1. Você pode deixar o parâmetro **adminRole** como o **No Default** padrão e preenchê-lo usando a guia **Regras**, caso um administrador exija um valor correspondente no Amazon Managed Grafana. Neste exemplo, o **perfil do atributo de declaração** seria definido como **adminRole** no Amazon Managed Grafana, com um valor true. Você pode apontar esse valor para qualquer atributo no locatário. Clique em **\$1** para adicionar e configurar parâmetros para atender aos requisitos da sua organização.
1. Escolha a guia **Regras**, depois **Adicionar regra**, e dê um nome à regra. No campo **Condições** (a declaração if), adicionamos **E-mail contém [endereço de e-mail]**. **No campo **Ações** (a declaração then), selecionamos **Definir AdminRole no Amazon Managed Service** e selecionamos **Macro** no menu suspenso **Definir função de administrador**, com um valor verdadeiro.** A organização pode escolher regras distintas para resolver diferentes casos de uso.
1. Escolha **Salvar**. Vá para **Mais ações** novamente e escolha **Reaplicar mapeamentos de autorizações**. Você deve reaplicar os mapeamentos sempre que criar ou atualizar regras.
1. Anote o **URL do emissor**, que você usará posteriormente na configuração no console do Amazon Managed Grafana. Em seguida, escolha **Salvar**.
1. Escolha a guia **Acesso** para atribuir as OneLogin funções que devem acessar o Amazon Managed Grafana e selecione uma política de segurança do aplicativo.
## Etapa 2: etapas a serem concluídas no Amazon Managed Grafana
Execute as etapas a seguir no console do Amazon Managed Grafana.
**Para concluir a configuração OneLogin como provedor de identidade para o Amazon Managed Grafana**
1. Abra o console do Amazon Managed Grafana em [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).
1. No painel de navegação, escolha o ícone de calendário.
1. Escolha **Todos os espaços de trabalho**.
1. Escolha o nome do espaço de trabalho.
1. Na guia **Autenticação**, escolha **Definir a configuração SAML**.
1. Em **Importar os metadados**, escolha **Carregar ou copiar/colar e colar** a URL do OneLogin emissor que você copiou do OneLogin console no procedimento anterior.
1. Em **Mapeamento de declarações**, faça o seguinte:
+ Certifique-se de que **Eu quero optar por não atribuir administradores ao meu espaço de trabalho** não esteja selecionado.
**nota**
Se você escolher **Eu quero optar por não atribuir administradores ao meu espaço de trabalho**, você não poderá usar o console do espaço de trabalho do Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando o Grafana APIs.
+ Defina o **Perfil do atributo de declaração** como o nome do atributo que você escolheu. O valor padrão para OneLogin é **AdminRole**.
+ Defina os **Valores do perfil de administrador** para valores correspondentes aos perfis dos usuários administradores.
+ (Opcional) Se você alterou os atributos padrão em seu OneLogin aplicativo, expanda **Configurações adicionais - opcional** e defina os novos nomes dos atributos.
**Por padrão, o atributo OneLogin **displayName** é passado para **o atributo name e OneLogin **o**** atributo mail é passado para **os** atributos de e-mail e login.**
1. Escolha **Salvar configuração SAML**.
# Configurar o Amazon Managed Grafana para usar o Ping Identity
Use as etapas a seguir para configurar o Amazon Managed Grafana para usar o Ping Identity como um provedor de identidade. Essas etapas pressupõem que você já tenha criado seu espaço de trabalho Amazon Managed Grafana e tenha anotado o ID e a região do espaço de trabalho. URLs
## Etapa 1: etapas a serem concluídas no Ping Identity
Conclua as etapas a seguir no Ping Identity.
**Para configurar o Ping Identity como um provedor de identidade do Amazon Managed Grafana**
1. Faça login no console do Ping Identity como administrador.
1. Selecione **Aplicações**.
1. Escolha **Adicionar aplicação**, **Pesquisar catálogo de aplicações**.
1. Pesquise a aplicação do **Amazon Managed Grafana for SAML**, selecione-a e escolha **Configuração**.
1. Na aplicação do Ping Identity, escolha **Próximo** para acessar a página de configuração SAML. Em seguida, realize as seguintes configurações do SAML:
+ Em **Serviço do Consumidor de Declaração**, cole o **URL da resposta do provedor de serviços** no espaço de trabalho do Amazon Managed Grafana.
+ Em **ID de entidade**, cole o **Identificador do provedor de serviços** no espaço de trabalho do Amazon Managed Grafana.
+ Verifique se a opção **Subscrever declaração** está selecionada e se a opção **Criptografar a declaração** não está selecionada.
1. Selecione **Avançar para a próxima etapa**.
1. Em **Mapeamento de atributos de SSO**, certifique-se de que o atributo Amazon Managed Grafana esteja no **Atributo da aplicação** e que o atributo Ping Identity esteja no **Atributo do Identity Bridge**. Em seguida, realize as seguintes configurações:
+ **e-mail** deve ser **E-mail (trabalho)**.
+ **displayName** deve ser **Nome de exibição**.
+ **SAML\$1SUBJECT** deve ser o **E-mail (trabalho)**. Depois, para esse atributo, escolha **Avançado**, defina o **Formato do ID do nome a ser enviado ao SP** como **urn:oasis:names:tc:SAML:2.0:nameid-format:transient** e escolha **Salvar**.
+ Adicione qualquer outro atributo que você gostaria de passar.
+ Adicione quaisquer outros atributos que você gostaria de passar. Para obter mais informações sobre os atributos que você pode passar para o Amazon Managed Grafana no mapeamento de declarações, consulte [Mapeamento de declarações](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping).
1. Selecione **Avançar para a próxima etapa**.
1. Em **Acesso do grupo**, escolha a quais grupos atribuir essa aplicação.
1. Selecione **Avançar para a próxima etapa**.
1. Copie o **URL de metadados do SAML** que começa com `https://admin- api.pingone.com/latest/metadata/`. Você usará isso posteriormente na configuração.
1. Escolha **Terminar**.
## Etapa 2: etapas a serem concluídas no Amazon Managed Grafana
Execute as etapas a seguir no console do Amazon Managed Grafana.
**Para concluir a configuração do Ping Identity como um provedor de identidade para o Amazon Managed Grafana**
1. Abra o console do Amazon Managed Grafana em [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).
1. No painel de navegação, escolha o ícone de calendário.
1. Escolha **Todos os espaços de trabalho**.
1. Escolha o nome do espaço de trabalho.
1. Na guia **Autenticação**, escolha **Definir a configuração SAML**.
1. Em **Importar os metadados**, escolha **Carregar ou copiar e colar** e cole o URL do Ping que você copiou no procedimento anterior.
1. Em **Mapeamento de declarações**, faça o seguinte:
+ Certifique-se de que **Eu quero optar por não atribuir administradores ao meu espaço de trabalho** não esteja selecionado.
**nota**
Se você escolher **Eu quero optar por não atribuir administradores ao meu espaço de trabalho**, você não poderá usar o console do espaço de trabalho do Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando o Grafana APIs.
+ Defina o **Perfil do atributo de declaração** como o nome do atributo que você escolheu.
+ Defina os **Valores do perfil de administrador** para valores correspondentes aos perfis dos usuários administradores.
+ (Opcional) Se você alterou os atributos padrão na aplicação do Ping Identity, expanda **Configurações adicionais: opcional** e defina os novos nomes dos atributos.
Por padrão, o atributo **displayName** do Ping Identity é passado como o atributo **name**, e o atributo **mail** do Ping Identity é passado para os atributos **email** e **login**.
1. Escolha **Salvar configuração SAML**.