Managed Grafana与Okta SAML集成

在登录Amazon Managed Grafana时,允许使用AWS SSO或者基于SAML的IdP来登录,本文来介绍后者。

创建AMG

我们先使用一个Amazon Grafana,在页面上点击Create workspace

image-20231020085037951

为workspace命名为demo-amg, 然后进入下一步。

选择SAML作为认证方式:

image-20231020085129068

进入下一步,选择AMG可以监控的AWS服务,这里全选上:

image-20231020085248137

进入下一步,然后直接创建Workspace。

创建完成后,会提示需要额外设置SAML,点击Complete Setup

image-20231020085834116

会进入到设置SAML的页面,这里先不用管,不要关页面。先进入下一步配置Okta:

image-20231020090120361

注册Okta及配置User Type

进入Okta的页面 https://developer.okta.com/signup/

image-20231020090620955

这里直接点击Login,使用Google(或其他三方帐号)登录或注册。

登录后的页面:

image-20231020091034051

进入People页面:

image-20231020091134781

编辑用户,往下拉,在User type部分,将其设置为Admin,然后保存:

image-20231020091200837

我们需要一些字段来表示用户拥有所有访问AMG的权限,而Okta对这些信息都没有做提前设置,例如(User type, Cost Center Department)等等

Okta添加AMG应用

Applications页面,点击Browse App Catalog:

image-20231020091236728

搜索Amazon Grafana并选择:

image-20231020091316955

点击Add Integration

image-20231020091348703

保持默认设置,点击Done,完成添加:

image-20231020091418273

AMG应用添加User

接下来我们为AMG Application添加用户。点击Assgin to people:

image-20231020091505529

选择用户(目前只有一个),点击assign:

image-20231020091545561

为用户设置用户名,然后点击Save and go back:

image-20231020091613276

在Sign On页面,点击Edit:

image-20231020091925093

展开Attributes(Optional)页面,配置userType:

image-20231020092030148

在下面的Name SpaceRegion部分,需要填写AMG的属性:

image-20231020092121536

这两个字段可以在AWS页面找到:

image-20231020092148107

点击保存。

完成AWS AMG SAML设置

首先在Okta页面,需要IdP Metadata的链接,把链接copy下来或打开页面再复制URL链接:

image-20231020092310264

回到AWS AMG的页面,将Metadat URL填写进去;在Map assertion attributes部分,为admin role使用之前在Okta中配置的userType = Admin:

image-20231020092553201

保存配置。等设置完成后,就可以点击URL访问Grafana了:

image-20231020092657838

使用SAML方式登录:

image-20231020092726866

会先进行Okta身份的验证,通过后进入Grafana的页面:

image-20231020093003836