本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 驗證 Amazon Managed Grafana 工作區中的使用者
<a name="authentication-in-AMG"></a>

個別使用者登入您的工作區，以編輯和檢視儀表板。您可以將使用者指派給您的工作區[，並為他們提供使用者、編輯器或管理員許可](AMG-manage-users-and-groups-AMG.md)。若要開始使用，您可以建立 （或使用現有的） 身分提供者來驗證使用者。

透過使用組織的身分提供者的單一登入，而不是使用 IAM，使用者會經過身分驗證，以在 Amazon Managed Grafana 工作區中使用 Grafana 主控台。每個工作區可以使用下列其中一種或兩種身分驗證方法：
+ 存放在支援安全性聲明標記語言 2.0 (SAML 2.0) 的身分提供者 (IdPs) 中的使用者憑證
+ AWS IAM Identity Center. AWS Single-sign-on(**AWS SSO**) 已重新命名為 **IAM Identity Center**。

對於每個工作區，您可以使用 SAML、IAM Identity Center 或兩者。如果您開始使用一種方法，則可以切換到使用另一種方法。

您必須授予使用者 （或其所屬的群組） 許可給工作區，才能存取工作區內的功能。如需將許可授予使用者的詳細資訊，請參閱 [管理 Amazon Managed Grafana 工作區的使用者和群組存取權](AMG-manage-users-and-groups-AMG.md)。

**Topics**
+ [搭配 Amazon Managed Grafana 工作區使用 SAML](authentication-in-AMG-SAML.md)
+ [AWS IAM Identity Center 搭配 Amazon Managed Grafana 工作區使用](authentication-in-AMG-SSO.md)

# 搭配 Amazon Managed Grafana 工作區使用 SAML
<a name="authentication-in-AMG-SAML"></a>

**注意**  
Amazon Managed Grafana 目前不支援工作區的 IdP 起始登入。您應該設定具有空白轉送狀態的 SAML 應用程式。

您可以使用 SAML 身分驗證來使用現有的身分提供者，並提供單一登入來登入 Amazon Managed Grafana 工作區的 Grafana 主控台。Amazon Managed Grafana 的 SAML 身分驗證不是透過 IAM 驗證，而是可讓您使用第三方身分提供者登入、管理存取控制、搜尋資料，以及建置視覺化效果。Amazon Managed Grafana 支援使用 SAML 2.0 標準的身分提供者，並已使用 Azure AD、CyberArk、Okta、OneLogin 和 Ping Identity 建置和測試整合應用程式。

如需如何在建立工作區期間設定 SAML 身分驗證的詳細資訊，請參閱 [建立工作區](AMG-create-workspace.md#creating-workspace)。

在 SAML 身分驗證流程中，Amazon Managed Grafana 工作區充當服務提供者 (SP)，並與 IdP 互動以取得使用者資訊。如需 SAML 的詳細資訊，請參閱[安全性聲明標記語言](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)。

您可以將 IdP 中的群組映射至 Amazon Managed Grafana 工作區中的團隊，並設定這些團隊的精細存取許可。您也可以將 IdP 中定義的組織角色映射至 Amazon Managed Grafana 工作區中的角色。例如，如果您在 IdP 中定義了**開發人員**角色，您可以將該角色映射到 Amazon Managed **Grafana** 工作區中的 Grafana Admin 角色。

**注意**  
當您建立使用 IdP 和 SAML 進行授權的 Amazon Managed Grafana 工作區時，您必須登入已連接 **AWSGrafanaAccountAdministrator** 政策的 IAM 主體。

若要登入 Amazon Managed Grafana 工作區，使用者會造訪工作區的 Grafana 主控台首頁，然後選擇**使用 SAML 登入**。工作區會讀取 SAML 組態，並將使用者重新導向至 IdP 進行身分驗證。使用者在 IdP 入口網站中輸入其登入憑證，如果他們是有效的使用者，IdP 會發出 SAML 聲明，並將使用者重新導向回 Amazon Managed Grafana 工作區。Amazon Managed Grafana 會驗證 SAML 聲明是否有效，且使用者已登入且可以使用工作區。

Amazon Managed Grafana 支援下列 SAML 2.0 繫結：
+ 從服務提供者 (SP) 到身分提供者 (IdP)：
  + HTTP-POST 繫結
  + HTTP-Redirect 繫結
+ 從身分提供者 (IdP) 到服務提供者 (SP)：
  + HTTP-POST 繫結

Amazon Managed Grafana 支援已簽署和加密的聲明，但不支援已簽署或加密的請求。

Amazon Managed Grafana 支援 SP 起始的請求，且不支援 IdP 起始的請求。

## 聲明映射
<a name="AMG-SAML-Assertion-Mapping"></a>

在 SAML 身分驗證流程中，Amazon Managed Grafana 會收到聲明消費者服務 (ACS) 回呼。回呼包含正在驗證之使用者的所有相關資訊，內嵌在 SAML 回應中。Amazon Managed Grafana 會剖析回應，以在內部資料庫中建立 （或更新） 使用者。

當 Amazon Managed Grafana 映射使用者資訊時，它會查看聲明中的個別屬性。您可以將這些屬性視為索引鍵/值對，雖然它們包含比它更多的資訊。

Amazon Managed Grafana 提供組態選項，讓您可以修改要查看哪些索引鍵以取得這些值。

您可以使用 Amazon Managed Grafana 主控台，將下列 SAML 聲明屬性對應至 Amazon Managed Grafana 中的值：
+ 對於 **Assertion 屬性角色**，請在 SAML 聲明中指定要用作使用者角色的屬性名稱。
+ 對於 **Assertion 屬性名稱**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者完整「易記」名稱。
+ 對於 **Assertion 屬性登入**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者登入名稱。
+ 對於 **Assertion 屬性電子郵件**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者電子郵件名稱。
+ 對於 **Assertion 屬性組織**，請在 SAML 聲明中指定屬性的名稱，以用於使用者組織的「易記」名稱。
+ 對於 **Assertion 屬性群組**，請在 SAML 聲明中指定屬性的名稱，以用於使用者群組的「易記」名稱。
+ 對於**允許的組織**，您只能將使用者存取權限制為 IdP 中特定組織的成員。
+ 對於**編輯器角色值**，請指定 IdP 中的使用者角色，該角色應該在 Amazon Managed Grafana 工作區中授予該`Editor`角色。

## 連線至您的身分提供者
<a name="authentication-in-AMG-SAML-providers"></a>

下列外部身分提供者已使用 Amazon Managed Grafana 進行測試，並直接在其應用程式目錄或程式庫中提供應用程式，以協助您使用 SAML 設定 Amazon Managed Grafana。

**Topics**
+ [聲明映射](#AMG-SAML-Assertion-Mapping)
+ [連線至您的身分提供者](#authentication-in-AMG-SAML-providers)
+ [設定 Amazon Managed Grafana 以使用 Azure AD](AMG-SAML-providers-Azure.md)
+ [設定 Amazon Managed Grafana 以使用 CyberArk](AMG-SAML-providers-CyberArk.md)
+ [設定 Amazon Managed Grafana 以使用 Okta](AMG-SAML-providers-okta.md)
+ [設定 Amazon Managed Grafana 以使用 OneLogin](AMG-SAML-providers-onelogin.md)
+ [設定 Amazon Managed Grafana 使用 Ping 身分](AMG-SAML-providers-pingone.md)

# 設定 Amazon Managed Grafana 以使用 Azure AD
<a name="AMG-SAML-providers-Azure"></a>

使用下列步驟將 Amazon Managed Grafana 設定為使用 Azure Active Directory 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區，並記下工作區 *ID*、*URLs*和 *AWS 區域*。

## 步驟 1：在 Azure Active Directory 中完成的步驟
<a name="AMG-SAML-providers-Azure-step1"></a>

完成 Azure Active Directory 中的下列步驟。

**將 Azure Active Directory 設定為 Amazon Managed Grafana 的身分提供者**

1. 以管理員身分登入 Azure 主控台。

1. 選擇 **Azure Active Directory**。

1. 選擇**企業應用程式**。

1. 搜尋並選取 **Amazon Managed Grafana SAML2.0。**

1. 選取應用程式，然後選擇**設定**。

1. 在 Azure Active Directory 應用程式組態中，選擇**使用者和群組**。

1. 將應用程式指派給您想要的使用者和群組。

1. 選擇 **Single sign-on** (單一登入)。

1. 選擇**下一步**以前往 SAML 組態頁面。

1. 指定您的 SAML 設定：
   + 對於**識別符 （實體 ID)**，請從 Amazon Managed Grafana 工作區貼上您的**服務提供者識別符** URL。
   + 對於**回覆 URL （聲明消費者服務 URL)**，請將 Amazon Managed Grafana 工作區的**回覆貼到您的服務供應商**中。
   + 確定已選取**簽署聲明**，且未選取**加密聲明**。

1. 在**使用者屬性和宣告**區段中，確定這些屬性已映射。它們區分大小寫。
   + **郵件**是使用 **user.userprincipalname** 設定。
   + **displayName** 是使用 **user.displayname** 設定。
   + 使用 **user.userprincipalname** 設定**唯一使用者識別符**。
   + 新增您要傳遞的任何其他屬性。如需您可以在聲明映射中傳遞給 Amazon Managed Grafana 之屬性的詳細資訊，請參閱 [聲明映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。

1. 複製 **SAML 中繼資料 URL** 以用於 Amazon Managed Grafana 工作區組態。

## 步驟 2：在 Amazon Managed Grafana 中完成的步驟
<a name="AMG-SAML-providers-Azure-step2"></a>

在 Amazon Managed Grafana 主控台中完成下列步驟。

**完成將 Azure Active Directory 設定為 Amazon Managed Grafana 的身分提供者**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇工作區的名稱。

1. 在**身分驗證**索引標籤中，選擇**設定 SAML 組態**。

1. 在**匯入中繼資料下**，選擇**上傳或複製/貼上**，然後貼上您在上一節中從 **SAML 中繼資料 URL 複製的 Azure Active Directory URL**。

1. 在**聲明映射**下，執行下列動作：
   + 確定**未選取不將管理員指派給我的工作區**。
**注意**  
如果您選擇**不將管理員指派給我的工作區**，您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
   + 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。
   + 將**管理員角色值**設定為對應至管理員使用者角色的值。
   + （選用） 如果您變更 Azure Active Directory 應用程式中的預設屬性，請展開**其他設定 - 選用**，然後設定新的屬性名稱。

     根據預設，Azure **displayName** 屬性會做為**名稱**屬性傳遞，而 Ping Identity **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。

1. 選擇**儲存 SAML 組態**。

# 設定 Amazon Managed Grafana 以使用 CyberArk
<a name="AMG-SAML-providers-CyberArk"></a>

使用下列步驟將 Amazon Managed Grafana 設定為使用 CyberArk 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區，並記下工作區的 ID、URLs和區域。

## 步驟 1：在 CyberArk 中完成的步驟
<a name="AMG-SAML-providers-cyberark-step1"></a>

完成 CyberArk 中的下列步驟。

**將 CyberArk 設定為 Amazon Managed Grafana 的身分提供者**

1. 登入 CyberArk Identity Admin 入口網站。

1. 選擇**應用程式**、**Web 應用程式**。

1. 選擇**新增 Web 應用程式**。

1. 搜尋 **Amazon Managed Grafana for SAML2.0**，然後選擇**新增**。

1. 在 CyberArk 應用程式組態中，前往**信任**區段。

1. 在**身分提供者組態**下，選擇**中繼資料**。

1. 選擇**複製 URL** 並儲存 URL 以供稍後在這些步驟中使用。

1. 在**服務提供者組態**下，選擇**手動組態**。

1. 指定您的 SAML 設定：
   + 對於 **SP 實體 ID**，請從 Amazon Managed Grafana 工作區貼上您的**服務提供者識別符** URL。
   + 對於**聲明消費者服務 (ACS) URL**，請將 Amazon Managed Grafana 工作區的**回覆貼到您的服務提供者**中。
   + 將**簽署回應聲明**設定為**聲明**。
   + 請確定 **NameID 格式**為 **emailAddress**。

1. 選擇**儲存**。

1. 在 **SAML 回應**區段中，請確定 Amazon Managed Grafana 屬性位於**應用程式名稱**中，且 CyberArk 屬性位於**屬性值**中。然後，確定下列屬性已映射。它們區分大小寫。
   + **displayName** 是使用 **LoginUser.DisplayName** 設定。
   + **郵件**是使用 **LoginUser.Email** 設定。
   + 新增您要傳遞的任何其他屬性。如需您可以在聲明映射中傳遞給 Amazon Managed Grafana 之屬性的詳細資訊，請參閱 [聲明映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。

1. 選擇**儲存**。

1. 在**許可**區段中，選擇要指派此應用程式的使用者和群組，然後選擇**儲存**。

## 步驟 2：在 Amazon Managed Grafana 中完成的步驟
<a name="AMG-SAML-providers-cyberark-step2"></a>

在 Amazon Managed Grafana 主控台中完成下列步驟。

**完成將 CyberArk 設定為 Amazon Managed Grafana 的身分提供者**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇工作區的名稱。

1. 在**身分驗證**索引標籤中，選擇**設定 SAML 組態**。

1. 在**匯入中繼資料下**，選擇**上傳或複製/貼上**，然後貼上您在先前程序中複製的 CyberArk URL。

1. 在**聲明映射**下，執行下列動作：
   + 確定**未選取不將管理員指派給我的工作區**。
**注意**  
如果您選擇**不將管理員指派給我的工作區**，您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
   + 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。
   + 將**管理員角色值**設定為對應至管理員使用者角色的值。
   + （選用） 如果您變更了 CyberArk 應用程式中的預設屬性，請展開**其他設定 - 選用**，然後設定新的屬性名稱。

     根據預設，CyberA **displayName** 屬性會傳遞至**名稱**屬性，而 CyberArk **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。

1. 選擇**儲存 SAML 組態**。

# 設定 Amazon Managed Grafana 以使用 Okta
<a name="AMG-SAML-providers-okta"></a>

使用下列步驟將 Amazon Managed Grafana 設定為使用 Okta 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區，並記下工作區的 ID、URLs和區域。

## 步驟 1：在 Okta 中完成的步驟
<a name="AMG-SAML-providers-okta-step1"></a>

在 Okta 中完成下列步驟。

**將 Okta 設定為 Amazon Managed Grafana 的身分提供者**

1. 以管理員身分登入 Okta 主控台。

1. 在左側面板中，選擇**應用程式**、**應用程式**。

1. 選擇**瀏覽應用程式目錄**並搜尋 **Amazon Managed Grafana**。

1. 選擇 **Amazon Managed Grafana**，然後選擇**新增**、**完成**。

1. 選擇應用程式以開始設定。

1. 在**登入**索引標籤中，選擇**編輯**。

1. 在**進階登入設定**下，分別在**命名空間**和區域欄位中輸入您的 Amazon Managed Grafana 工作區 ID 和您的**區域**。您可以在 Amazon Managed Grafana 工作區 URL 中找到您的 Amazon Managed Grafana 工作區 ID 和區域，格式為 ***workspace-id*.grafana-workspace.*Region*.amazonaws.com**。

1. 選擇**儲存**。

1. 在 **SAML 2.0 下**，複製**身分提供者中繼資料**的 URL。您稍後會在 Amazon Managed Grafana 主控台的此程序中使用此功能。

1. 在**指派**索引標籤中，選擇您要能夠使用 Amazon Managed Grafana **的人員**和**群組**。

## 步驟 2：在 Amazon Managed Grafana 中完成的步驟
<a name="AMG-SAML-providers-okta-step2"></a>

在 Amazon Managed Grafana 主控台中完成下列步驟。

**完成將 Okta 設定為 Amazon Managed Grafana 的身分提供者**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇工作區的名稱。

1. 在**身分驗證**索引標籤中，選擇**完成設定**。

1. 在**匯入中繼資料下**，選擇**上傳或複製/貼上**，然後貼上您在先前程序中複製的 Okta URL。

1. 在**聲明映射**下，執行下列動作：
   + 確定**未選取不將管理員指派給我的工作區**。
**注意**  
如果您選擇**不將管理員指派給我的工作區**，您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
   + 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。
   + 將**管理員角色值**設定為對應至管理員使用者角色的值。
   + （選用） 如果您變更了 Okta 應用程式中的預設屬性，請展開**其他設定 - 選用**，然後設定新的屬性名稱。

     根據預設，Okta **displayName** 屬性會傳遞至**名稱**屬性，而 Okta **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。

1. 選擇**儲存 SAML 組態**。

# 設定 Amazon Managed Grafana 以使用 OneLogin
<a name="AMG-SAML-providers-onelogin"></a>

使用下列步驟將 Amazon Managed Grafana 設定為使用 OneLogin 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區，並記下工作區的 ID、URLs和區域。

## 步驟 1：在 OneLogin 中完成的步驟
<a name="AMG-SAML-providers-onelogin-step1"></a>

完成 OneLogin 中的下列步驟。

**將 OneLogin 設定為 Amazon Managed Grafana 的身分提供者**

1. 以管理員身分登入 OneLogin 入口網站。

1. 選擇**應用程式**、**應用程式**、**新增應用程式**。

1. 搜尋 **Amazon Managed Service for Grafana**。

1. 指派您選擇的**顯示名稱**，然後選擇**儲存**。

1. 導覽至**組態**，然後在**命名空間**中輸入 Amazon Managed Grafana 工作區 ID，然後輸入 Amazon Managed Grafana 工作區的區域。

1. 在**組態**索引標籤中，輸入您的 Amazon Managed Grafana 工作區 URL。

1. 如果管理員在 Amazon Managed Grafana 中需要對應的值，您可以將 **adminRole** 參數保留為預設**無預設**，並使用**規則**索引標籤填入。在此範例中，**Assertion 屬性角色**將設定為 Amazon Managed Grafana 中的 **adminRole**，值為 true。您可以將此值指向租用戶中的任何屬性。按一下 **\$1** 來新增和設定參數，以符合組織的需求。

1. 選擇**規則**索引標籤，選擇**新增規則**，並為規則命名。在**條件**欄位中 (if 陳述式），我們新增**電子郵件包含 【電子郵件地址】**。在**動作**欄位 （然後陳述式） 中，我們選取在 **Amazon Managed Service 中設定 AdminRole**，然後在將 **adminRole 設定為**下拉式清單中選取**巨集**，值為 **true**。您的組織可以選擇不同的規則來解決不同的使用案例。

1. 選擇**儲存**。移至**更多動作**，然後選擇**重新套用權利映射**。每當您建立或更新規則時，都必須重新套用映射。

1. 請記下**發行者 URL**，您稍後會在 Amazon Managed Grafana 主控台的組態中使用。然後選擇 **Save** (儲存)。

1. 選擇**存取**索引標籤來指派要存取 Amazon Managed Grafana 的 OneLogin 角色，然後選取應用程式安全政策。

## 步驟 2：在 Amazon Managed Grafana 中完成的步驟
<a name="AMG-SAML-providers-onelogin-step2"></a>

在 Amazon Managed Grafana 主控台中完成下列步驟。

**完成將 OneLogin 設定為 Amazon Managed Grafana 的身分提供者**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇工作區的名稱。

1. 在**身分驗證**索引標籤中，選擇**設定 SAML 組態**。

1. 在**匯入中繼資料下**，選擇**上傳或複製/貼上**，然後貼上您在先前程序中從 OneLogin 主控台複製的 OneLogin 發行者 URL。

1. 在**聲明映射**下，執行下列動作：
   + 確定**未選取不將管理員指派給我的工作區**。
**注意**  
如果您選擇**不將管理員指派給我的工作區**，您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
   + 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。OneLogin 的預設值為 **adminRole**。
   + 將**管理員角色值**設定為對應至管理員使用者角色的值。
   + （選用） 如果您變更了 OneLogin 應用程式中的預設屬性，請展開**其他設定 - 選用**，然後設定新的屬性名稱。

     根據預設，OneLogin **displayName** 屬性會傳遞至**名稱**屬性，而 OneLogin **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。

1. 選擇**儲存 SAML 組態**。

# 設定 Amazon Managed Grafana 使用 Ping 身分
<a name="AMG-SAML-providers-pingone"></a>

使用下列步驟將 Amazon Managed Grafana 設定為使用 Ping Identity 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區，並記下工作區的 ID、URLs和區域。

## 步驟 1：在 Ping Identity 中完成的步驟
<a name="AMG-SAML-providers-pingone-step1"></a>

完成 Ping Identity 中的下列步驟。

**將 Ping Identity 設定為 Amazon Managed Grafana 的身分提供者**

1. 以管理員身分登入 Ping Identity 主控台。

1. 選擇 **Applications (應用程式)**。

1. 選擇**新增應用程式**、**搜尋應用程式目錄**。

1. 搜尋 **Amazon Managed Grafana for SAML** 應用程式，然後選擇**設定**。

1. 在 Ping Identity 應用程式中，選擇**下一步**以前往 SAML 組態頁面。然後進行下列 SAML 設定：
   + 對於**聲明消費者服務**，請將 Amazon Managed Grafana 工作區的**回覆 URL 貼到您的服務提供者**中。
   + 對於**實體 ID**，請從 Amazon Managed Grafana 工作區貼上您的**服務提供者識別符**。
   + 確定已選取**簽署聲明**，且未選取**加密聲明**。

1. 選擇**繼續至下一步**。

1. 在 **SSO 屬性映射**中，請確定 Amazon Managed Grafana 屬性位於**應用程式屬性**中，且 Ping Identity 屬性位於 **Identity Bridge 屬性**中。然後進行下列設定：
   + **郵件**必須是**電子郵件 （工作）**。
   + **displayName** 必須是 **Display Name**。
   + **SAML\$1SUBJECT** 必須是**電子郵件 （工作）**。然後，針對此屬性選擇**進階**，將**要傳送至 SP 的名稱 ID 格式**設定為 **urn：oasis：names：tc：SAML：2.0：nameid-format：transient**，然後選擇**儲存**。
   + 在您要傳遞的任何其他屬性中新增 。
   + 新增您要傳遞的任何其他屬性。如需您可以在聲明映射中傳遞給 Amazon Managed Grafana 之屬性的詳細資訊，請參閱 [聲明映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。

1. 選擇**繼續至下一步**。

1. 在**群組存取**中，選擇要指派此應用程式的群組。

1. 選擇**繼續至下一步**。

1. 複製開頭為 的 **SAML 中繼資料 URL**`https://admin- api.pingone.com/latest/metadata/`。您稍後會在組態中使用此功能。

1. 選擇**完成**。

## 步驟 2：在 Amazon Managed Grafana 中完成的步驟
<a name="AMG-SAML-providers-pingone-step2"></a>

在 Amazon Managed Grafana 主控台中完成下列步驟。

**完成將 Ping Identity 設定為 Amazon Managed Grafana 的身分提供者**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇工作區的名稱。

1. 在**身分驗證**索引標籤中，選擇**設定 SAML 組態**。

1. 在**匯入中繼資料下**，選擇**上傳或複製/貼上**，然後貼上您在先前程序中複製的 Ping URL。

1. 在**聲明映射**下，執行下列動作：
   + 確定**未選取不將管理員指派給我的工作區**。
**注意**  
如果您選擇**不將管理員指派給我的工作區**，您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
   + 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。
   + 將**管理員角色值**設定為對應至管理員使用者角色的值。
   + （選用） 如果您變更了 Ping Identity 應用程式中的預設屬性，請展開**其他設定 - 選用**，然後設定新的屬性名稱。

     根據預設，Ping Identity **displayName** 屬性會傳遞至**名稱**屬性，而 Ping Identity **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。

1. 選擇**儲存 SAML 組態**。

# AWS IAM Identity Center 搭配 Amazon Managed Grafana 工作區使用
<a name="authentication-in-AMG-SSO"></a>

Amazon Managed Grafana 與 整合 AWS IAM Identity Center ，為您的員工提供聯合身分。使用 Amazon Managed Grafana 和 IAM Identity Center，使用者會重新導向至其現有的公司目錄，以其現有的憑證登入。然後，他們會無縫登入其 Amazon Managed Grafana 工作區。這可確保強制執行密碼政策和雙重驗證等安全設定。使用 IAM Identity Center 不會影響您現有的 IAM 組態。

如果您沒有現有的使用者目錄或不想聯合，IAM Identity Center 會提供整合的使用者目錄，可用來為 Amazon Managed Grafana 建立使用者和群組。Amazon Managed Grafana 不支援使用 IAM 使用者和角色在 Amazon Managed Grafana 工作區中指派許可。

如需 IAM Identity Center 的詳細資訊，請參閱[什麼是 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 。如需 IAM Identity Center 入門的詳細資訊，請參閱[入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。

若要使用 IAM Identity Center，您還必須為帳戶 AWS Organizations 啟用 。如有需要，Amazon Managed Grafana 可以在您建立設定為使用 IAM Identity Center 的第一個工作區時為您啟用 Organizations。

## 使用 IAM Identity Center 的案例所需的許可
<a name="SSO-permission-scenarios"></a>

本節說明搭配 IAM Identity Center 使用 Amazon Managed Grafana 所需的政策。管理 Amazon Managed Grafana 所需的政策會根據 AWS 您的帳戶是否為組織的一部分而有所不同。

### 在 AWS Organizations 帳戶中建立 Grafana 管理員
<a name="SSO-policy-org"></a>

若要授予在組織中建立和管理 Amazon Managed Grafana 工作區的許可，並允許相依性，例如 AWS IAM Identity Center，將下列政策指派給角色。
+ 指派 **AWSGrafanaAccountAdministrator** IAM 政策，以允許管理 Amazon Managed Grafana 工作區。
+ **AWSSSODirectoryAdministrator** 允許角色在設定 Amazon Managed Grafana 工作區時使用 IAM Identity Center。
+ 若要允許在整個組織中建立和管理 Amazon Managed Grafana 工作區，請為角色提供 **AWSSSOMasterAccountAdministrator** IAM 政策。或者，為角色提供 **AWSSSOMemberAccountAdministrator** IAM 政策，以允許在組織的單一成員帳戶中建立和管理工作區。
+ 如果您想要允許角色將 Amazon Managed Grafana 工作區升級到 Grafana 企業，您也可以選擇性地為角色提供 **AWSMarketplaceManageSubscriptions** IAM 政策 （或同等許可）。

如果您想要在建立 Amazon Managed Grafana 工作區時使用服務受管許可，則建立工作區的角色也必須具有 `iam:CreateRole`、 `iam:CreatePolicy`和 `iam:AttachRolePolicy`許可。這些是使用 CloudFormation StackSets 部署政策的必要條件，可讓您讀取組織帳戶中的資料來源。

**重要**  
將 `iam:CreateRole`、`iam:CreatePolicy` 和 `iam:AttachRolePolicy` 許可授與使用者，可給予該使用者對您 AWS 帳戶的完整管理存取權。例如，擁有這些許可的使用者，可以建立具有所有資源完整許可的政策，並將該政策連接至任何角色。對於您授與這些許可的對象，請務必謹慎。

若要查看授予 **AWSGrafanaAccountAdministrator** 的許可，請參閱 [AWS 受管政策：AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

### 在單一獨立帳戶中建立和管理 Amazon Managed Grafana 工作區和使用者
<a name="SSO-examples-standalone"></a>

獨立 AWS 帳戶是不是組織成員的帳戶。如需 的詳細資訊 AWS Organizations，請參閱[什麼是 AWS Organizations？](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)

若要授予在獨立帳戶中建立和管理 Amazon Managed Grafana 工作區和使用者的許可，請將下列 IAM 政策指派給角色：
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAdministrator**

**重要**  
授予角色 **AWSOrganizationsFullAccess** 政策可讓該角色完整管理 AWS 存取您的帳戶。對於您授與這些許可的對象，請務必謹慎。

若要查看授予 **AWSGrafanaAccountAdministrator** 的許可，請參閱 [AWS 受管政策：AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)