本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在 Amazon Managed Grafana 工作区中对用户进行身份验证
单个用户可登录工作区,编辑和查看控制面板。您可以为工作区分配用户,并[向其赋予用户、编辑者或管理员权限](AMG-manage-users-and-groups-AMG.md)。要开始使用,您需要创建(或使用现有的)身份提供者,对用户进行身份验证。
用户使用组织的身份提供者通过单点登录(SSO)进行身份验证(而不是通过使用 IAM 进行身份验证),以使用 Amazon Managed Grafana 工作区中的 Grafana 控制台。每个工作区都可以使用以下一种或两种身份验证方法:
+ 存储在支持安全断言标记语言 2.0 (SAML 2.0IdPs) 的身份提供商 () 中的用户凭证
+ AWS IAM Identity Center。 AWS Single-sign-on (**AWS SSO**) 已更名为 I **AM 身份中心**。
对于每个工作区,您可以使用 SAML 和/或 IAM Identity Center。如果您一开始使用了一种方法,也可以切换到另一种方法。
在用户访问工作区内的功能之前,必须向用户(或用户所属的组)授予工作区权限。有关向用户授予权限的更多信息,请参阅 [管理用户和组对 Amazon Managed Grafana 工作区的访问权限](AMG-manage-users-and-groups-AMG.md)。
**Topics**
+ [在 Amazon Managed Grafana 工作区中使用 SAML](authentication-in-AMG-SAML.md)
+ [AWS IAM Identity Center 与您的亚马逊托管 Grafana 工作区配合使用](authentication-in-AMG-SSO.md)
# 在 Amazon Managed Grafana 工作区中使用 SAML
**注意**
Amazon Managed Grafana 目前不支持由 IdP 发起的工作区登录。您应将 SAML 应用程序设置为使用空白中继状态。
您可以使用 SAML 身份验证来使用现有的身份提供者,并提供单点登录,以登录 Amazon Managed Grafana 工作区的 Grafana 控制台。Amazon Managed Grafana 的 SAML 身份验证不是通过 IAM 进行身份验证,而是让您使用第三方身份提供者进行登录、管理访问控制、搜索数据和构建可视化。Amazon Managed Grafana 支持使用 SAML 2.0 标准并已与 Azure AD CyberArk、Okta 和 Ping Ident OneLogin ity 构建和测试集成应用程序的身份提供商。
有关如何在创建工作区期间设置 SAML 身份验证的详细信息,请参阅 [创建工作区](AMG-create-workspace.md#creating-workspace)。
在 SAML 身份验证流程中,Amazon Managed Grafana 工作区充当服务提供商(SP),并与 IdP 交互,以获取用户信息。有关 SAML 的更多信息,请参阅[安全断言标记语言](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)。
您可以将 IdP 中的组映射到 Amazon Managed Grafana 工作区中的团队,并对这些团队设置细粒度的访问权限。您还可以将 IdP 中定义的组织角色映射为 Amazon Managed Grafana 工作区中的角色。例如,如果您在 IdP 中定义了**开发人员**角色,您可以将该角色映射为 Amazon Managed Grafana 工作区中的 **Grafana 管理员**角色。
**注意**
当您创建使用 IdP 和 SAML 进行授权的 Amazon Managed Grafana 工作空间时,您必须登录已附加策略的 IAM 委托人。**AWSGrafanaAccountAdministrator**
要登录到 Amazon Managed Grafana 工作区,用户需要访问工作区的 Grafana 控制台主页,并选择**使用 SAML 登录**。工作区会读取 SAML 配置,并将用户重定向到 IdP 进行身份验证。用户在 IdP 门户中输入登录凭证,如果是有效用户,IdP 将发出 SAML 断言,并将用户重定向回 Amazon Managed Grafana 工作区。Amazon Managed Grafana 会验证 SAML 断言是否有效,然后用户即可登录并使用工作区。
Amazon Managed Grafana 支持以下 SAML 2.0 绑定:
+ 从服务提供商(SP)到身份提供者(IdP):
+ HTTP-POST 绑定
+ HTTP 重定向绑定
+ 从身份提供者(IdP)到服务提供商(SP):
+ HTTP-POST 绑定
Amazon Managed Grafana 支持已签名和加密的断言,但不支持已签名或加密的请求。
Amazon Managed Grafana 支持由 SP 发起的请求,但不支持由 IdP 发起的请求。
## 断言映射
在 SAML 身份验证流程中,Amazon Managed Grafana 会接收断言使用者服务(ACS)回调。回调包含正在进行身份验证的用户的所有相关信息,这些信息嵌入在 SAML 响应中。Amazon Managed Grafana 会解析该响应,以便在其内部数据库中创建(或更新)用户。
当 Amazon Managed Grafana 映射用户信息时,它会查看断言中的各个属性。您可以将这些属性视为键值对,但它们包含的信息比键值对多。
Amazon Managed Grafana 提供了配置选项,您可以修改查看这些值所依据的键。
您可以使用 Amazon Managed Grafana 控制台将以下 SAML 断言属性映射到 Amazon Managed Grafana 中的值:
+ 对于**断言属性角色**,指定 SAML 断言中用作用户角色的属性名称。
+ 对于**断言属性名称**,指定 SAML 断言中用作 SAML 用户完整“友好”名称的属性名称。
+ 对于**断言属性登录**,指定 SAML 断言中用作 SAML 用户登录名称的属性名称。
+ 对于**断言属性电子邮件**,指定 SAML 断言中用作 SAML 用户电子邮件名称的属性名称。
+ 对于**断言属性组织**,指定 SAML 断言中用作用户组织“友好”名称的属性名称。
+ 对于**断言属性组**,指定 SAML 断言中用作用户组“友好”名称的属性名称。
+ 对于**允许的组织**,您可以限制用户的访问权限,仅允许那些属于 IdP 中特定组织的成员访问。
+ 对于**编辑者角色值**,指定 IdP 中的用户角色,这些用户角色都将被授予 Amazon Managed Grafana 工作区的 `Editor` 角色。
## 连接到身份提供者
以下外部身份提供者已通过 Amazon Managed Grafana 进行测试,并直接在其应用程序目录或库中提供应用程序,以帮助您使用 SAML 配置 Amazon Managed Grafana。
**Topics**
+ [断言映射](#AMG-SAML-Assertion-Mapping)
+ [连接到身份提供者](#authentication-in-AMG-SAML-providers)
+ [配置 Amazon Managed Grafana 以使用 Azure AD](AMG-SAML-providers-Azure.md)
+ [配置要使用的亚马逊托管 Grafana CyberArk](AMG-SAML-providers-CyberArk.md)
+ [配置 Amazon Managed Grafana 以使用 Okta](AMG-SAML-providers-okta.md)
+ [配置要使用的亚马逊托管 Grafana OneLogin](AMG-SAML-providers-onelogin.md)
+ [配置 Amazon Managed Grafana 以使用 Ping Identity](AMG-SAML-providers-pingone.md)
# 配置 Amazon Managed Grafana 以使用 Azure AD
使用以下步骤配置 Amazon Managed Grafana,以将 Azure Active Directory 用作身份提供者。这些步骤假设您已经创建了 Amazon Managed Grafana 工作空间,并且记下了*工作空间* ID *URLs*、和。*AWS 区域*
## 步骤 1:在 Azure Active Directory 中完成的步骤
在 Azure Active Directory 中完成以下步骤。
**将 Azure Active Directory 设置为 Amazon Managed Grafana 的身份提供者**
1. 以管理员身份登录 Azure 控制台。
1. 选择 **Azure Active Directory**。
1. 选择**企业应用程序**。
1. 搜索 **Amazon Managed G SAML2 rafana** .0,然后将其选中。
1. 选择应用程序,然后选择**设置**。
1. 在 Azure Active Directory 应用程序配置中,选择**用户和组**。
1. 将应用程序分配给所需的用户和组。
1. 选择 **Single sign-on**(单点登录)。
1. 选择**下一步**,进入 SAML 配置页面。
1. 指定 SAML 设置:
+ 对于**标识符(实体 ID)**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商标识符** URL。
+ 对于**回复 URL(断言使用者服务 URL)**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商回复**。
+ 确保已选择**签署断言**,且未选择**加密断言**。
1. 在**用户属性和声明**部分,确保这些属性已映射。它们区分大小写。
+ **mail** 设置为 **user.userprincipalname**。
+ **displayName** 设置为 **user.displayname**。
+ **Unique User Identifier** 设置为 **user.userprincipalname**。
+ 添加任何其他需要传递的属性。如需详细了解断言映射中可传递给 Amazon Managed Grafana 的属性,请参阅 [断言映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。
1. 复制 **SAML 元数据 URL**,以在 Amazon Managed Grafana 工作区配置中使用。
## 步骤 2:在 Amazon Managed Grafana 中完成的步骤
在 Amazon Managed Grafana 控制台中,完成以下步骤。
**要完成将 Azure Active Directory 设置为 Amazon Managed Grafana 的身份提供者**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择工作区的名称。
1. 在**身份验证**选项卡中,选择**设置 SAML 配置**。
1. 在**导入元数据**下,选择**上传或复制/粘贴**,然后粘贴您在上一节中从 **SAML 元数据 URL** 中复制的 Azure Active Directory URL。
1. 在**断言映射**下,请执行以下操作:
+ 确保未选中**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Amazon Managed Grafana 工作区控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。只有使用 Grafana APIs 才能对工作区进行管理更改。
+ 将**断言属性角色**设置为您选择的属性名称。
+ 将**管理员角色值**设置为与管理员用户角色相对应的值。
+ (可选)如果您更改了 Azure Active Directory 应用程序中的默认属性,请展开**附加设置 - 可选**,然后设置新的属性名称。
默认情况下,Azure 的 **displayName** 属性作为 **Name** 属性传递,Ping Identity 的 **mail** 属性同时传递给 **email** 和 **login** 属性。
1. 选择**保存 SAML 配置**。
# 配置要使用的亚马逊托管 Grafana CyberArk
使用以下步骤将 Amazon Managed Grafana 配置为身份提供 CyberArk 商。这些步骤假设您已经创建了 Amazon Managed Grafana 工作空间,并且已经记下了工作空间的 ID URLs 和区域。
## 第 1 步:完成的步骤 CyberArk
在中完成以下步骤 CyberArk。
**设置 CyberArk 为亚马逊托管 Grafana 的身份提供商**
1. 登录到 CyberArk 身份管理门户。
1. 选择**应用程序**,然后选择 **Web 应用程序**。
1. 选择**添加 Web 应用程序**。
1. **在 **Amazon Managed Grafana 中搜索 .0 SAML2,**然后选择 “添加”。**
1. 在 CyberArk 应用程序配置中,转到 “**信任**” 部分。
1. 在**身份提供者配置**下,选择**元数据**。
1. 选择**复制 URL**并保存 URL,以便稍后在这些步骤中使用。
1. 在**服务提供商配置**下,选择**手动配置**。
1. 指定 SAML 设置:
+ 对于 **SP 实体 ID**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商标识符** URL。
+ 对于**断言使用者服务(ACS)URL**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商回复**。
+ 将**签署响应断言**设置为**断言**。
+ 确保 **NameID 格式**为 **emailAddress**。
1. 选择**保存**。
1. **在 **SAML 响应**部分,确保 Amazon Managed Grafana 属性位于**应用程序名称中**,并且 CyberArk 该属性位于属性值中。**然后确保映射了以下属性。它们区分大小写。
+ **显示名称****设置为。LoginUser DisplayName**。
+ **邮件**设置为 **LoginUser.Email。**
+ 添加任何其他需要传递的属性。如需详细了解断言映射中可传递给 Amazon Managed Grafana 的属性,请参阅 [断言映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。
1. 选择**保存**。
1. 在**权限**部分,选择要将此应用程序分配给哪些用户和组,然后选择**保存**。
## 步骤 2:在 Amazon Managed Grafana 中完成的步骤
在 Amazon Managed Grafana 控制台中,完成以下步骤。
**完成设置为亚马逊 Managed Grafana 的 CyberArk 身份提供商**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择工作区的名称。
1. 在**身份验证**选项卡中,选择**设置 SAML 配置**。
1. 在 “**导入元数据**” 下,选择 “**上传” 或 “复制/粘**贴”,然后粘贴您在上一个过程中复制的 CyberArk URL。
1. 在**断言映射**下,请执行以下操作:
+ 确保未选中**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Amazon Managed Grafana 工作区控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。只有使用 Grafana APIs 才能对工作区进行管理更改。
+ 将**断言属性角色**设置为您选择的属性名称。
+ 将**管理员角色值**设置为与管理员用户角色相对应的值。
+ (可选)如果您更改了 CyberArk 应用程序中的默认属性,请展开**其他设置-可选**,然后设置新的属性名称。
******默认情况下,CyberA displayName 属性传递给名称属性,邮件属性同时传递给电子邮件**和****登录**属性。 CyberArk ******
1. 选择**保存 SAML 配置**。
# 配置 Amazon Managed Grafana 以使用 Okta
使用以下步骤配置 Amazon Managed Grafana,以将 Okta 用作身份提供者。这些步骤假设您已经创建了 Amazon Managed Grafana 工作空间,并且已经记下了工作空间的 ID URLs 和区域。
## 步骤 1:在 Okta 中完成的步骤
在 Okta 中完成以下步骤。
**将 Okta 设置为 Amazon Managed Grafana 的身份提供者**
1. 以管理员身份登录 Okta 控制台。
1. 在左侧面板中选择**应用程序**、**应用程序**。
1. 选择**浏览应用程序目录**,然后搜索 **Amazon Managed Grafana**。
1. 选择 **Amazon Managed Grafana**,然后选择**添加**、**完成**。
1. 选择该应用程序,以开始设置。
1. 在**登录**选项卡中,选择**编辑**。
1. 在**高级登录设置**下,分别在**名称空间**和**区域**字段中输入您的 Amazon Managed Grafana 工作区 ID 和地区。**你的亚马逊托管 Grafana 工作空间 ID 和区域可以在你的亚马逊托管 Grafana 工作空间网址中找到,格式为.grafana-workspace。*workspace-id* *Region*.amazonaws.com。**
1. 选择**保存**。
1. 在 **SAML 2.0** 下,复制**身份提供者元数据**的 URL。您稍后将在 Amazon Managed Grafana 控制台中使用它。
1. 在**分配**选项卡中,选择您希望能够使用 Amazon Managed Grafana 的**人员**和**组**。
## 步骤 2:在 Amazon Managed Grafana 中完成的步骤
在 Amazon Managed Grafana 控制台中,完成以下步骤。
**完成将 Okta 设置为 Amazon Managed Grafana 的身份提供者**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择工作区的名称。
1. 在**身份验证**选项卡中,选择**完成设置**。
1. 在**导入元数据**下,选择**上传或复制/粘贴**,并粘贴在之前过程中复制的 Okta URL。
1. 在**断言映射**下,请执行以下操作:
+ 确保未选中**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Amazon Managed Grafana 工作区控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。只有使用 Grafana APIs 才能对工作区进行管理更改。
+ 将**断言属性角色**设置为您选择的属性名称。
+ 将**管理员角色值**设置为与管理员用户角色相对应的值。
+ (可选)如果您更改了 Okta 应用程序中的默认属性,请展开**附加设置 - 可选**,然后设置新的属性名称。
默认情况下,Okta 的 **displayName** 属性会传递给 **name** 属性,Okta 的 **mail** 属性会传递给 **email** 和 **login** 属性。
1. 选择**保存 SAML 配置**。
# 配置要使用的亚马逊托管 Grafana OneLogin
使用以下步骤将亚马逊托管 Grafana 配置为身份提供 OneLogin 商。这些步骤假设您已经创建了 Amazon Managed Grafana 工作空间,并且已经记下了工作空间的 ID URLs 和区域。
## 第 1 步:完成的步骤 OneLogin
在中完成以下步骤 OneLogin。
**设置 OneLogin 为亚马逊托管 Grafana 的身份提供商**
1. 以管理员身份登录 OneLogin 门户。
1. 依次选择**应用程序**、**应用程序**、**添加应用程序**。
1. 搜索 **Amazon Managed Service for Grafana**。
1. 指定您选择的**显示名称**,然后选择**保存**。
1. 导航至**配置**,在**名称空间**中输入 Amazon Managed Grafana 工作区 ID,并输入 Amazon Managed Grafana 工作区的区域。
1. 在**配置**选项卡中,输入 Amazon Managed Grafana 工作区 URL。
1. 如果管理员需要 Amazon Managed Grafana 中的相应值,可以将 **adminRole** 参数保留为默认的**无默认值**,然后使用**规则**选项卡填充其值。在此示例中,**断言属性角色**将设置为 Amazon Managed Grafana 中的 **adminRole**,值为 true。您可以将此值指向租户中的任何属性。单击 **\$1** 可添加和配置参数,以满足您组织的要求。
1. 选择**规则**选项卡,选择**添加规则**,然后为您的规则命名。在**条件**字段(if 语句)中,添加**电子邮件包含 [电子邮件地址]**。在 “**操作**” 字段(当时的语句)中,我们选择 “** AdminRole 在亚马逊托管服务中设置**”,然后在 “**将 adminRole 设置为**” 下拉列表中选择 “**宏**”,值为 **true**。您的组织可以选择不同的规则来应对不同的应用场景。
1. 选择**保存**。转到**更多操作**,选择**重新应用权限映射**。每当创建或更新规则时,都必须重新应用映射。
1. 记下**发布者 URL**,以便稍后在 Amazon Managed Grafana 控制台的配置中使用。然后选择**保存**。
1. 选择 “**访问权限**” 选项卡以分配访问亚马逊托管 Grafana 的 OneLogin角色,然后选择应用程序安全策略。
## 步骤 2:在 Amazon Managed Grafana 中完成的步骤
在 Amazon Managed Grafana 控制台中,完成以下步骤。
**完成设置 OneLogin 为亚马逊托管 Grafana 的身份提供商**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择工作区的名称。
1. 在**身份验证**选项卡中,选择**设置 SAML 配置**。
1. 在 “**导入元数据**” 下,选择**上传或复制/粘**贴并粘贴您在上一个过程中从 OneLogin 控制台复制的 OneLogin发行者 URL。
1. 在**断言映射**下,请执行以下操作:
+ 确保未选中**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Amazon Managed Grafana 工作区控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。只有使用 Grafana APIs 才能对工作区进行管理更改。
+ 将**断言属性角色**设置为您选择的属性名称。的默认值 OneLogin 为 **adminRole。**
+ 将**管理员角色值**设置为与管理员用户角色相对应的值。
+ (可选)如果您更改了 OneLogin 应用程序中的默认属性,请展开**其他设置-可选**,然后设置新的属性名称。
默认情况下, OneLogin **displayNam** e 属性传递给**名称**属性, OneLogin **邮件**属性同时传递给**电子邮件**和**登录**属性。
1. 选择**保存 SAML 配置**。
# 配置 Amazon Managed Grafana 以使用 Ping Identity
使用以下步骤配置 Amazon Managed Grafana,以将 Ping Identity 用作身份提供者。这些步骤假设您已经创建了 Amazon Managed Grafana 工作空间,并且已经记下了工作空间的 ID URLs 和区域。
## 步骤 1:在 Ping Identity 中完成的步骤
在 Ping Identy 中,完成以下步骤。
**将 Ping Identity 设置为 Amazon Managed Grafana 的身份提供者**
1. 以管理员身份登录 Ping Identity 控制台。
1. 选择**应用程序**。
1. 依次选择**添加应用程序**、**搜索应用程序目录**。
1. 搜索 **Amazon Managed Grafana for SAML** 应用程序,然后选择它,并选择**设置**。
1. 在 Ping Identity 应用程序中,选择**下一步**进入 SAML 配置页面。然后进行以下 SAML 设置:
+ 对于**断言使用者服务**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商回复 URL**。
+ 对于**实体 ID**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商标识符**。
+ 确保已选择**签署断言**,且未选择**加密断言**。
1. 选择**继续下一步**。
1. 在 **SSO 属性映射**中,确保 Amazon Managed Grafana 属性在**应用程序属性**中,而 Ping Identity 属性在**身份桥接属性**中。然后进行以下设置:
+ **mail** 必须是**电子邮件(工作)**。
+ **displayName** 必须是**显示名称**。
+ **SAML\$1SUBJECT** 必须是**电子邮件(工作)**。然后为此属性选择**高级**,将**发送给 SP 的名称 ID 格式**设置为 **urn:oasis:names:tc:SAML:2.0:nameid-format:transient**,然后选择**保存**。
+ 添加要传递的任何其他属性。
+ 添加要传递的任何其他属性。如需详细了解断言映射中可传递给 Amazon Managed Grafana 的属性,请参阅 [断言映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。
1. 选择**继续下一步**。
1. 在**组访问**中,选择要将此应用程序分配给哪些组。
1. 选择**继续下一步**。
1. 复制以 `https://admin- api.pingone.com/latest/metadata/` 开头的 **SAML 元数据 URL**。您稍后将在配置中使用它。
1. 选择**结束**。
## 步骤 2:在 Amazon Managed Grafana 中完成的步骤
在 Amazon Managed Grafana 控制台中,完成以下步骤。
**完成将 Ping Identity 设置为 Amazon Managed Grafana 的身份提供者**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择工作区的名称。
1. 在**身份验证**选项卡中,选择**设置 SAML 配置**。
1. 在**导入元数据**下,选择**上传或复制/粘贴**,并粘贴在之前过程中复制的 Ping Identity URL。
1. 在**断言映射**下,请执行以下操作:
+ 确保未选中**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Amazon Managed Grafana 工作区控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。只有使用 Grafana APIs 才能对工作区进行管理更改。
+ 将**断言属性角色**设置为您选择的属性名称。
+ 将**管理员角色值**设置为与管理员用户角色相对应的值。
+ (可选)如果您更改了 Ping Identity 应用程序中的默认属性,请展开**附加设置 - 可选**,然后设置新的属性名称。
默认情况下,Ping Identity 的 **displayName** 属性会传递给 **name** 属性,Ping Identity 的 **mail** 属性会传递给 **email** 和 **login** 属性。
1. 选择**保存 SAML 配置**。
# AWS IAM Identity Center 与您的亚马逊托管 Grafana 工作区配合使用
Amazon Managed Grafana AWS IAM Identity Center 与之集成,为您的员工提供身份联合。使用 Amazon Managed Grafana 和 IAM Identity Center,用户将被重定向到其现有的公司目录,以使用现有凭证登录。然后,他们会无缝登录到其 Amazon Managed Grafana 工作区。这可确保密码策略和双因素身份验证等安全设置得到强制实施。使用 IAM Identity Center 不会影响现有的 IAM 配置。
如果您没有现有的用户目录,或不想使用联合身份验证,IAM Identity Center 会提供一个集成的用户目录,您可以用它为 Amazon Managed Grafana 创建用户和组。Amazon Managed Grafana 不支持使用 IAM 用户和角色在 Amazon Managed Grafana 工作区内分配权限。
有关 IAM 身份中心的更多信息,请参阅[什么是 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。有关开始使用 IAM Identity Center 的更多信息,请参阅[入门](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。
要使用 IAM 身份中心,您还必须为该账户 AWS Organizations 激活。如果需要,Amazon Managed Grafana 可以在您创建第一个配置为使用 IAM Identity Center 的工作区时,为您激活 Organizations。
## 使用 IAM Identity Center 的场景所需的权限
本节介绍将 Amazon Managed Grafana 和 IAM Identity Center 一起使用时,所需的策略。管理 Amazon Managed Grafana 所需的策略根据您的 AWS 账户是否属于某个组织而有所不同。
### 在账号中创建 Grafana 管理员 AWS Organizations
要授予在组织中创建和管理 Amazon Managed Grafana 工作空间以及允许依赖关系(例如 AWS IAM Identity Center)的权限,请将以下策略分配给角色。
+ 分配 **AWSGrafanaAccountAdministrator**IAM 策略以允许管理亚马逊托管 Grafana 工作空间。
+ **AWSSSODirectory管理员**允许该角色在设置 Amazon Managed Grafana 工作空间时使用 IAM 身份中心。
+ 要允许在整个组织中创建和管理 Amazon Managed Grafana 工作空间,请为该角色提供 IAM 策略。**AWSSSOMasterAccountAdministrator**或者,为该角色提供 **AWSSSOMemberAccountAdministrator**IAM 策略,允许在组织的单个成员账户中创建和管理工作空间。
+ 如果您想允许该角色将亚马逊托管 Grafana 工作空间升级到 Grafana 企业,也可以选择向该角色授予 IA **AWSMarketplaceManageSubscriptions**M 策略(或同等权限)。
如果要在创建 Amazon Managed Grafana 工作区时使用服务托管权限,则创建工作区的角色还必须拥有 `iam:CreateRole`、`iam:CreatePolicy` 和 `iam:AttachRolePolicy` 权限。这些是部署 CloudFormation StackSets 允许您读取组织账户中数据源的策略所必需的。
**重要**
通过向用户授予 `iam:CreateRole`、`iam:CreatePolicy` 和 `iam:AttachRolePolicy` 权限,用户将获得对 AWS 账户的完全管理访问权限。例如,具有这些权限的用户可以创建一个对所有资源具有完全权限的策略,并将该策略附加到任何角色。请谨慎地为相关人员授予这些权限。
要查看授予的权限 **AWSGrafanaAccountAdministrator**,请参阅 [AWS 托管策略: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)
### 在单个独立账户中创建和管理 Amazon Managed Grafana 工作区和用户
独立 AWS 账户是指不是组织成员的账户。有关的更多信息 AWS Organizations,请参阅[什么是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
要授予在独立账户中创建和管理 Amazon Managed Grafana 工作区和用户的权限,请将以下 IAM 策略分配给角色:
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectory管理员**
**重要**
该**AWSOrganizationsFullAccess**策略向角色授予该角色对您的 AWS 账户的完全管理权限。请谨慎地为相关人员授予这些权限。
要查看授予的权限 **AWSGrafanaAccountAdministrator**,请参阅 [AWS 托管策略: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)