Udostępnij za pośrednictwem

Integracja logowania jednokrotnego (SSO) firmy Microsoft z aplikacją Amazon Managed Grafana

  • Artykuł

Z tego artykułu dowiesz się, jak zintegrować aplikację Amazon Managed Grafana z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji Amazon Managed Grafana z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Amazon Managed Grafana.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Amazon Managed Grafana przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Bezpłatne konto usługi Amazon Web Services (AWS) .
  • Subskrypcja aplikacji Amazon Managed Grafana z obsługą logowania jednokrotnego.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz SSO Microsoft Entra w środowisku testowym.

  • Amazon Managed Grafana obsługuje jednokrotne logowanie SSO inicjowane przez SP .
  • Rozwiązanie Amazon Managed Grafana obsługuje aprowizowanie użytkowników Just In Time.

Aby skonfigurować integrację aplikacji Amazon Managed Grafana z usługą Microsoft Entra ID, należy dodać aplikację Amazon Managed Grafana z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.
  2. Przejdź do Identity>Aplikacje>Aplikacje korporacyjne>Nowa aplikacja.
  3. W sekcji Dodawanie z galerii wpisz Amazon Managed Grafana w polu wyszukiwania.
  4. Wybierz z panelu wyników Amazon Managed Grafana, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do Twojego tenanta.

Możesz również użyć Kreatora konfiguracji aplikacji Enterprise. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o narzędziach Microsoft 365.

Konfiguracja i testowanie logowania jednokrotnego Microsoft Entra dla Amazon Managed Grafana

Skonfiguruj i przetestuj Microsoft Entra SSO z Amazon Managed Grafana, używając użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić połączenie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem w Amazon Managed Grafana.

Aby skonfigurować i przetestować Microsoft Entra SSO z Amazon Managed Grafana, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO — aby użytkownicy mogli korzystać z tej funkcji.
    1. Utwórz użytkownika testowego Microsoft Entra — aby przetestować jednokrotne logowanie do Microsoft Entra z B.Simon.
    2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z jednokrotnego logowania do Microsoft Entra.
  2. Skonfiguruj Amazon Managed Grafana SSO — aby ustawić konfigurację jednokrotnego logowania po stronie aplikacji.
    1. Utwórz użytkownika testowego Amazon Managed Grafana — aby mieć w Amazon Managed Grafana odpowiednik użytkownika B.Simon związany z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. test SSO - aby zweryfikować, czy konfiguracja działa.

Konfiguracja systemu Microsoft Entra SSO

Aby włączyć SSO Microsoft Entra, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.

  2. Przejdź do Identity>Aplikacje>Enterprise applications>Amazon Managed Grafana>jednokrotne logowanie.

  3. Na stronie Wybierz metodę logowania jednokrotnego wybierz opcję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego z SAML wybierz ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

    Edycja podstawowej konfiguracji protokołu SAML

  5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące czynności:

    a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, używając następującego wzorca: https://<namespace>.grafana-workspace.<region>.amazonaws.com/saml/metadata

    b. W polu tekstowym URL do logowania wpisz adres URL, korzystając z następującego wzorca: https://<namespace>.grafana-workspace.<region>.amazonaws.com/login/saml

    Uwaga

    Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora i adresu URL logowania. Aby uzyskać te wartości, skontaktuj się z zespołem pomocy technicznej klienta aplikacji Amazon Managed Grafana. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Aplikacja Amazon Managed Grafana oczekuje, że asercje SAML będą w określonym formacie, co wymaga dodania niestandardowych mapowań atrybutów do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych.

    obraz

  7. Oprócz powyższych aplikacja Amazon Managed Grafana oczekuje, że w odpowiedzi SAML zostanie przekazanych z powrotem kilka dodatkowych atrybutów, które są pokazane poniżej. Te atrybuty są również z góry wypełnione, ale można je przejrzeć w razie potrzeby.

    Nazwa Atrybut źródłowy
    nazwa wyświetlana wyświetlana_nazwa_użytkownika
    poczta nazwa_główna_użytkownika

  8. Na stronie Konfiguracja logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź Federation Metadata XML i wybierz Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    Link do pobierania certyfikatu

  9. W sekcji Konfigurowanie aplikacji Amazon Managed Grafana skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Skopiuj adresy URL konfiguracji

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku szybkiego startu dotyczącym tworzenia i przypisywania konta użytkownika, aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfigurowanie jednokrotnego logowania Amazon Managed Grafana

  1. Zaloguj się do konsoli zarządzanej aplikacji Amazon Grafana jako administrator.

  2. Wybierz pozycję Utwórz obszar roboczy.

    Zrzut ekranu przedstawiający tworzenie obszaru roboczego. Obszar roboczy

  3. Na stronie Określanie szczegółów obszaru roboczego wpisz unikatową nazwę obszaru roboczego i wybierz przycisk Dalej.

    Zrzut ekranu przedstawia szczegóły obszaru roboczego.

  4. Na stronie Konfigurowanie ustawień zaznacz pole wyboru Security Assertion Markup Language(SAML) i włącz opcję Usługa zarządzana jako typ uprawnień, a następnie wybierz przycisk Dalej.

    Zrzut ekranu przedstawia ustawienia obszaru roboczego.

  5. W ustawieniach uprawnień zarządzanych przez usługę wybierz pozycję Bieżące konto i wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający ustawienia uprawnień.

  6. Na stronie Przeglądanie i tworzenie sprawdź wszystkie szczegóły obszaru roboczego i wybierz pozycję Utwórz obszar roboczy.

    Zrzut ekranu przedstawia stronę przeglądania i tworzenia.

  7. Po utworzeniu obszaru roboczego wybierz pozycję Ukończ konfigurację , aby ukończyć konfigurację protokołu SAML.

    Zrzut ekranu przedstawia konfigurację protokołu SAML.

  8. Na stronie Security Assertion Markup Language (SAML) wykonaj następujące kroki.

    Zrzut ekranu przedstawia konfigurację protokołu SAML.

    1. Skopiuj wartość identyfikatora dostawcy usług (identyfikator jednostki) , wklej tę wartość w polu tekstowym identyfikatora w sekcji Podstawowa konfiguracja protokołu SAML.

    2. Skopiuj wartość pola Adres URL odpowiedzi dostawcy usług (adres URL usługi Assertion Consumer Service) i wklej tę wartość w polu tekstowym Adres URL odpowiedzi w sekcji Podstawowa Konfiguracja protokołu SAML .

    3. Skopiuj wartość adresu URL logowania dostawcy usług, wklej tę wartość do pola tekstowego URL logowania w sekcji Podstawowa konfiguracja SAML.

    4. Otwórz pobrany plik XML metadanych federacji w Notatniku i przekaż plik XML, wybierając opcję Wybierz plik .

    5. W sekcji mapowania asercji wypełnij wymagane wartości według swoich potrzeb.

    6. Wybierz Zapisz konfigurację SAML.

Tworzenie użytkownika testowego aplikacji Amazon Managed Grafana

W tej sekcji w aplikacji Amazon Managed Grafana jest tworzony użytkownik o nazwie Britta Simon. System Amazon Managed Grafana obsługuje aprowizację użytkowników w trybie just-in-time, która jest domyślnie włączona. Nie masz żadnych zadań do wykonania w tej sekcji. Jeśli użytkownik jeszcze nie istnieje w aplikacji Amazon Managed Grafana, zostanie utworzony po uwierzytelnieniu.

Testowanie SSO

W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra, korzystając z następujących opcji.

  • Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania zarządzanego przez aplikację Amazon Grafana, w którym można zainicjować przepływ logowania.

  • Bezpośrednio przejdź do Amazon Managed Grafana Sign-on URL i zainicjuj przepływ logowania z tego miejsca.

  • Możesz użyć usługi Microsoft My Apps. Po wybraniu kafelka Amazon Managed Grafana w obszarze Moje aplikacje ta opcja przekierowuje do adresu URL logowania do aplikacji Amazon Managed Grafana. Aby uzyskać więcej informacji na temat moich aplikacji, zobacz Introduction to the My Apps( Wprowadzenie do aplikacji My Apps).

Powiązana zawartość

Po skonfigurowaniu aplikacji Amazon Managed Grafana możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę nad sesjami za pomocą Microsoft Defender for Cloud Apps.