本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Amazon Managed Grafana 以使用 Azure AD
<a name="AMG-SAML-providers-Azure"></a>

使用下列步驟將 Amazon Managed Grafana 設定為使用 Azure Active Directory 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區，並記下工作區 *ID*、*URLs*和 *AWS 區域*。

## 步驟 1：在 Azure Active Directory 中完成的步驟
<a name="AMG-SAML-providers-Azure-step1"></a>

完成 Azure Active Directory 中的下列步驟。

**將 Azure Active Directory 設定為 Amazon Managed Grafana 的身分提供者**

1. 以管理員身分登入 Azure 主控台。

1. 選擇 **Azure Active Directory**。

1. 選擇**企業應用程式**。

1. 搜尋並選取 **Amazon Managed Grafana SAML2.0。**

1. 選取應用程式，然後選擇**設定**。

1. 在 Azure Active Directory 應用程式組態中，選擇**使用者和群組**。

1. 將應用程式指派給您想要的使用者和群組。

1. 選擇 **Single sign-on** (單一登入)。

1. 選擇**下一步**以前往 SAML 組態頁面。

1. 指定您的 SAML 設定：
   + 對於**識別符 （實體 ID)**，請從 Amazon Managed Grafana 工作區貼上您的**服務提供者識別符** URL。
   + 對於**回覆 URL （聲明消費者服務 URL)**，請將 Amazon Managed Grafana 工作區的**回覆貼到您的服務供應商**中。
   + 確定已選取**簽署聲明**，且未選取**加密聲明**。

1. 在**使用者屬性和宣告**區段中，確定這些屬性已映射。它們區分大小寫。
   + **郵件**是使用 **user.userprincipalname** 設定。
   + **displayName** 是使用 **user.displayname** 設定。
   + 使用 **user.userprincipalname** 設定**唯一使用者識別符**。
   + 新增您要傳遞的任何其他屬性。如需您可以在聲明映射中傳遞給 Amazon Managed Grafana 之屬性的詳細資訊，請參閱 [聲明映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。

1. 複製 **SAML 中繼資料 URL** 以用於 Amazon Managed Grafana 工作區組態。

## 步驟 2：在 Amazon Managed Grafana 中完成的步驟
<a name="AMG-SAML-providers-Azure-step2"></a>

在 Amazon Managed Grafana 主控台中完成下列步驟。

**完成將 Azure Active Directory 設定為 Amazon Managed Grafana 的身分提供者**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇工作區的名稱。

1. 在**身分驗證**索引標籤中，選擇**設定 SAML 組態**。

1. 在**匯入中繼資料下**，選擇**上傳或複製/貼上**，然後貼上您在上一節中從 **SAML 中繼資料 URL 複製的 Azure Active Directory URL**。

1. 在**聲明映射**下，執行下列動作：
   + 確定**未選取不將管理員指派給我的工作區**。
**注意**  
如果您選擇**不將管理員指派給我的工作區**，您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
   + 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。
   + 將**管理員角色值**設定為對應至管理員使用者角色的值。
   + （選用） 如果您變更 Azure Active Directory 應用程式中的預設屬性，請展開**其他設定 - 選用**，然後設定新的屬性名稱。

     根據預設，Azure **displayName** 屬性會做為**名稱**屬性傳遞，而 Ping Identity **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。

1. 選擇**儲存 SAML 組態**。