概要
AWS Grafanaにログインする際に、IdPとしてOracleIdentityCloudService(IDCS)を利用してログインします。
その際のSAML設定の仕方を紹介します。
AWS GrafanaがサポートしているIdPは以下です。
- Azure Active Directory
- CyberArk
- Okta
- OneLogin
- Ping Identity
そう、OracleIdentityCloudService(IDCS)はサポートされていません。
故に、本文書も非公式な内容であり、
ご利用頂く場合は"自己責任"で実施ください。
連携手順
1.Grafana構築
1-1.ワークスペースの作成
ワークスペース名を入力し、「次へ」
SAMLに☑をいれて、「次へ」
データソースは利用する物を選択し、「次へ」
ワークスペースの作成が完了したら、「セットアップを完了にする」をクリック
1-2.SAML設定
AWSコンソールで「SAMLの設定」をクリック
ステップ1部分の情報は後の工程で利用するので、メモしておく
ステップ2に関しては後でおこなう
ステップ3は先に実施可能
各項目の入力を実施
管理者ロールの値は後で設定するIDCS側のグループ名と一致する必要がある
エディタロール値に関しては、grafanaのエディター権限をIDCSユーザーに付与したい場合は設定する
こちらもIDCS側のグループ名と一致する必要がある
2.IDCS構築
2-1.アプリケーション登録
アプリケーション画面から「追加」⇒「SAMLアプリケーション」をクリック
アプリケーション名を入力
アイコンは必要であれば設定
自分のアプリケーションに表示は☑をはずしておく
※2022/09/09現在、GrafanaはIdP開始フローに対応していないため
先程メモした内容を入力
エンティティ名:サービスプロバイダー識別子 (エンティティ ID)
アサーション・コンシューマのURL:サービスプロバイダーの応答 URL (Assertion Consumer Service URL)
属性構成はAWS側の「ステップ 3: アサーション属性をマッピングする」部分と設定をあわせる
★★★重要★★★
NameID形式は「一時」を設定する
アイデンティティ・プロパイダ・メタデータのダウンロードを実施しておく
2-2.グループ登録
グループを作成し、先程作成したアプリに紐づける
グループにはユーザーをアサインしておく
3.GrafanaへのIdPメタデータのインポート
AWS Grafana画面でSAML設定を再度開き、先程ダウンロードした「アイデンティティ・プロパイダ・メタデータ」を
アップロードする
連携確認
1.Grafana画面にアクセス
AWSコンソールのGrafana画面から、「GrafanaワークスペースURL」の部分をクリックする
Grafanaのログイン画面に飛ばされるので、「Sign in with SAML」をクリックする
IDCSのログイン画面が表示されるので、ユーザー名・パスワードを入力後「サイン・イン」をクリック
Grafanaの画面が表示されれば、SAMLログイン完了
