本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 配置要使用的亚马逊托管 Grafana CyberArk
使用以下步骤将 Amazon Managed Grafana 配置为身份提供 CyberArk 商。这些步骤假定您已经创建了 Amazon Managed Grafana 工作区,并记下了工作区的 ID、URL 和区域。
## 第 1 步:完成的步骤 CyberArk
在中完成以下步骤 CyberArk。
**设置 CyberArk 为亚马逊托管 Grafana 的身份提供商**
1. 登录到 CyberArk 身份管理门户。
1. 选择**应用程序**,然后选择 **Web 应用程序**。
1. 选择**添加 Web 应用程序**。
1. **搜索 **Amazon Managed Grafana**,然后选择 “ SAML2.0添加”。**
1. 在 CyberArk 应用程序配置中,转到 “**信任**” 部分。
1. 在**身份提供者配置**下,选择**元数据**。
1. 选择**复制 URL**并保存 URL,以便稍后在这些步骤中使用。
1. 在**服务提供商配置**下,选择**手动配置**。
1. 指定 SAML 设置:
+ 对于 **SP 实体 ID**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商标识符** URL。
+ 对于**断言使用者服务(ACS)URL**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商回复**。
+ 将**签署响应断言**设置为**断言**。
+ 确保 **NameID 格式**为 **emailAddress**。
1. 选择**保存**。
1. **在 **SAML 响应**部分,确保 Amazon Managed Grafana 属性位于**应用程序名称中**,并且 CyberArk 该属性位于属性值中。**然后确保映射了以下属性。它们区分大小写。
+ **显示名称**设置为。**LoginUser.DisplayName**
+ **邮件**设置为**LoginUser.Email**。
+ 添加任何其他需要传递的属性。如需详细了解断言映射中可传递给 Amazon Managed Grafana 的属性,请参阅 [断言映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。
1. 选择**保存**。
1. 在**权限**部分,选择要将此应用程序分配给哪些用户和组,然后选择**保存**。
## 步骤 2:在 Amazon Managed Grafana 中完成的步骤
在 Amazon Managed Grafana 控制台中,完成以下步骤。
**完成设置为亚马逊 Managed Grafana 的 CyberArk 身份提供商**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择工作区的名称。
1. 在**身份验证**选项卡中,选择**设置 SAML 配置**。
1. 在 “**导入元数据**” 下,选择 “**上传” 或**, copy/paste然后粘贴您在上一个过程中复制的 CyberArk URL。
1. 在**断言映射**下,请执行以下操作:
+ 确保未选中**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Amazon Managed Grafana 工作区控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。您只能使用 Grafana API 对工作区进行管理更改。
+ 将**断言属性角色**设置为您选择的属性名称。
+ 将**管理员角色值**设置为与管理员用户角色相对应的值。
+ (可选)如果您更改了 CyberArk 应用程序中的默认属性,请展开**其他设置-可选**,然后设置新的属性名称。
******默认情况下,CyberA displayName 属性传递给名称属性,邮件属性同时传递给电子邮件**和****登录**属性。 CyberArk ******
1. 选择**保存 SAML 配置**。