本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Amazon Managed Grafana 使用 Ping 身分
<a name="AMG-SAML-providers-pingone"></a>

使用下列步驟將 Amazon Managed Grafana 設定為使用 Ping Identity 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區，並記下工作區的 ID、URLs和區域。

## 步驟 1：在 Ping Identity 中完成的步驟
<a name="AMG-SAML-providers-pingone-step1"></a>

完成 Ping Identity 中的下列步驟。

**將 Ping Identity 設定為 Amazon Managed Grafana 的身分提供者**

1. 以管理員身分登入 Ping Identity 主控台。

1. 選擇 **Applications (應用程式)**。

1. 選擇**新增應用程式**、**搜尋應用程式目錄**。

1. 搜尋 **Amazon Managed Grafana for SAML** 應用程式，然後選擇**設定**。

1. 在 Ping Identity 應用程式中，選擇**下一步**以前往 SAML 組態頁面。然後進行下列 SAML 設定：
   + 對於**聲明消費者服務**，請將 Amazon Managed Grafana 工作區的**回覆 URL 貼到您的服務提供者**中。
   + 對於**實體 ID**，請從 Amazon Managed Grafana 工作區貼上您的**服務提供者識別符**。
   + 確定已選取**簽署聲明**，且未選取**加密聲明**。

1. 選擇**繼續至下一步**。

1. 在 **SSO 屬性映射**中，請確定 Amazon Managed Grafana 屬性位於**應用程式屬性**中，且 Ping Identity 屬性位於 **Identity Bridge 屬性**中。然後進行下列設定：
   + **郵件**必須是**電子郵件 （工作）**。
   + **displayName** 必須是 **Display Name**。
   + **SAML\$1SUBJECT** 必須是**電子郵件 （工作）**。然後，針對此屬性選擇**進階**，將**要傳送至 SP 的名稱 ID 格式**設定為 **urn：oasis：names：tc：SAML：2.0：nameid-format：transient**，然後選擇**儲存**。
   + 在您要傳遞的任何其他屬性中新增 。
   + 新增您要傳遞的任何其他屬性。如需您可以在聲明映射中傳遞給 Amazon Managed Grafana 之屬性的詳細資訊，請參閱 [聲明映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。

1. 選擇**繼續至下一步**。

1. 在**群組存取**中，選擇要指派此應用程式的群組。

1. 選擇**繼續至下一步**。

1. 複製開頭為 的 **SAML 中繼資料 URL**`https://admin- api.pingone.com/latest/metadata/`。您稍後會在組態中使用此功能。

1. 選擇**完成**。

## 步驟 2：在 Amazon Managed Grafana 中完成的步驟
<a name="AMG-SAML-providers-pingone-step2"></a>

在 Amazon Managed Grafana 主控台中完成下列步驟。

**完成將 Ping Identity 設定為 Amazon Managed Grafana 的身分提供者**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇工作區的名稱。

1. 在**身分驗證**索引標籤中，選擇**設定 SAML 組態**。

1. 在**匯入中繼資料下**，選擇**上傳或複製/貼上**，然後貼上您在先前程序中複製的 Ping URL。

1. 在**聲明映射**下，執行下列動作：
   + 確定**未選取不將管理員指派給我的工作區**。
**注意**  
如果您選擇**不將管理員指派給我的工作區**，您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
   + 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。
   + 將**管理員角色值**設定為對應至管理員使用者角色的值。
   + （選用） 如果您變更了 Ping Identity 應用程式中的預設屬性，請展開**其他設定 - 選用**，然後設定新的屬性名稱。

     根據預設，Ping Identity **displayName** 屬性會傳遞至**名稱**屬性，而 Ping Identity **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。

1. 選擇**儲存 SAML 組態**。