本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 Amazon Managed Grafana 以使用 CyberArk
使用下列步驟將 Amazon Managed Grafana 設定為使用 CyberArk 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區,並記下工作區的 ID、URLs和區域。
## 步驟 1:在 CyberArk 中完成的步驟
完成 CyberArk 中的下列步驟。
**將 CyberArk 設定為 Amazon Managed Grafana 的身分提供者**
1. 登入 CyberArk Identity Admin 入口網站。
1. 選擇**應用程式**、**Web 應用程式**。
1. 選擇**新增 Web 應用程式**。
1. 搜尋 **Amazon Managed Grafana for SAML2.0**,然後選擇**新增**。
1. 在 CyberArk 應用程式組態中,前往**信任**區段。
1. 在**身分提供者組態**下,選擇**中繼資料**。
1. 選擇**複製 URL** 並儲存 URL 以供稍後在這些步驟中使用。
1. 在**服務提供者組態**下,選擇**手動組態**。
1. 指定您的 SAML 設定:
+ 對於 **SP 實體 ID**,請從 Amazon Managed Grafana 工作區貼上您的**服務提供者識別符** URL。
+ 對於**聲明消費者服務 (ACS) URL**,請將 Amazon Managed Grafana 工作區的**回覆貼到您的服務提供者**中。
+ 將**簽署回應聲明**設定為**聲明**。
+ 請確定 **NameID 格式**為 **emailAddress**。
1. 選擇**儲存**。
1. 在 **SAML 回應**區段中,確定 Amazon Managed Grafana 屬性位於**應用程式名稱**中,且 CyberArk 屬性位於**屬性值**中。然後,確定下列屬性已映射。它們區分大小寫。
+ **displayName** 是使用 **LoginUser.DisplayName** 設定。
+ **郵件**是使用 **LoginUser.Email** 設定。
+ 新增您要傳遞的任何其他屬性。如需您可以在聲明映射中傳遞給 Amazon Managed Grafana 之屬性的詳細資訊,請參閱 [聲明映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。
1. 選擇**儲存**。
1. 在**許可**區段中,選擇要指派此應用程式的使用者和群組,然後選擇**儲存**。
## 步驟 2:在 Amazon Managed Grafana 中完成的步驟
在 Amazon Managed Grafana 主控台中完成下列步驟。
**完成將 CyberArk 設定為 Amazon Managed Grafana 的身分提供者**
1. 開啟位於 https://[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。
1. 在導覽窗格中,選擇功能表圖示。
1. 選擇**所有工作區**。
1. 選擇工作區的名稱。
1. 在**身分驗證**索引標籤中,選擇**設定 SAML 組態**。
1. 在**匯入中繼資料下**,選擇**上傳或複製/貼上**,然後貼上您在先前程序中複製的 CyberArk URL。
1. 在**聲明映射**下,執行下列動作:
+ 確定**未選取不將管理員指派給我的工作區**。
**注意**
如果您選擇**不將管理員指派給我的工作區**,您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區,包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
+ 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。
+ 將**管理員角色值**設定為對應至管理員使用者角色的值。
+ (選用) 如果您變更了 CyberArk 應用程式中的預設屬性,請展開**其他設定 - 選用**,然後設定新的屬性名稱。
根據預設,CyberA **displayName** 屬性會傳遞至**名稱**屬性,而 CyberArk **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。
1. 選擇**儲存 SAML 組態**。