Managed Service for Grafana mendukung otentikasi terpadu dengan Azure AD. Topik ini menjelaskan cara menyiapkan otentikasi terpadu dengan Azure AD dan mengonfigurasi peran untuk pengguna dan kelompok berdasarkan izin aplikasi Azure AD.
Prasyarat
-
Anda telah membuat ruang kerja Grafana.
-
Anda telah mengonfigurasi Azure AD.
Untuk informasi selengkapnya, lihat dokumentasi otentikasi Azure AD di Grafana open source .
Langkah 1: Buat registrasi aplikasi
-
Masuk ke Azure Portal. Di panel navigasi sebelah kiri, pilih Azure AD.
CatatanJika Anda memiliki beberapa domain AD, pilih domain AD dan tenant yang akan digunakan.
-
Di panel navigasi sebelah kiri, klik App registration > New Registration.
-
Tambahkan URL pengalihan. Untuk platform, pilih Web. Masukkan URL Grafana dalam format berikut:
https://<my_grafana_server_name_or_ip>:<grafana_server_port>/login/azuread. Lalu, klik Register. Azure kemudian akan mengalihkan Anda ke halaman ikhtisar aplikasi baru. -
Di bagian Certificates & secrets, tambahkan client secret baru.
Langkah 2: Atur izin
-
Di panel navigasi sebelah kiri, klik Manifest untuk menentukan peran dan izin aplikasi.
Grafana menyediakan tiga peran: Viewer, Editor, dan Admin. Jika Anda tidak menetapkan peran, Grafana secara default akan memberikan peran Viewer kepada semua pengguna. Setiap peran memerlukan ID unik. Anda dapat menggunakan generator UUID atau perintah PowerShell New-Guid untuk menghasilkan ID unik tersebut. Contoh kodenya sebagai berikut:
CatatanGanti setiap placeholder SOME_UNIQUE_ID dengan ID unik yang telah dihasilkan.
"appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "Grafana org admin Users", "displayName": "Grafana Org Admin", "id": "SOME_UNIQUE_ID", "isEnabled": true, "lang": null, "origin": "Application", "value": "Admin" }, { "allowedMemberTypes": [ "User" ], "description": "Grafana read only Users", "displayName": "Grafana Viewer", "id": "SOME_UNIQUE_ID", "isEnabled": true, "lang": null, "origin": "Application", "value": "Viewer" }, { "allowedMemberTypes": [ "User" ], "description": "Grafana Editor Users", "displayName": "Grafana Editor", "id": "SOME_UNIQUE_ID", "isEnabled": true, "lang": null, "origin": "Application", "value": "Editor" } ], -
Di Azure AD, buka halaman Enterprise applications, lalu cari dan pilih aplikasi Anda.
-
Klik Users and groups, lalu tambahkan pengguna dan tetapkan peran.
Langkah 3: Konfigurasi parameter Grafana
-
Masuk ke Managed Service for Grafana console. Di panel navigasi sebelah kiri, klik Workspace Management.
-
Pada halaman Workspace Management, klik ID ruang kerja yang ingin Anda kelola.
-
Di panel navigasi sebelah kiri, klik Parameter Settings.
-
Pada daftar parameter di sebelah kiri, pilih
auth.azureadlalu klik Modify Parameters. -
Konfigurasikan parameter sebagai berikut lalu klik Save and Apply.
[auth.azuread] name = Azure AD enabled = true allow_sign_up = true client_id = <client_id> client_secret = <client_secret> scopes = openid email profile auth_url= https://login.microsoftonline.com/<application-id>/oauth2/v2.0/authorize token_url = https://login.microsoftonline.com/<application-id>/oauth2/v2.0/token allowed_domains = allowed_groups =Catatanclient_id,client_secret, danapplication-idadalah nilai dari registrasi aplikasi Azure Anda.Deskripsi parameter:
-
Anda dapat menemukan client ID dan client secret di halaman Certificates & secrets.
-
Anda dapat menemukan Auth URL dan Token URL dengan mengklik Endpoints di halaman Overview.
-
Langkah 4: Masuk ke Grafana
Setelah Anda mengonfigurasi parameter Azure, tunggu sekitar satu menit agar pengaturan diterapkan. Buka URL Grafana Anda dan klik Sign in with Azure AD. Masuk yang berhasil menandakan bahwa Anda telah berhasil mengonfigurasi otentikasi terpadu dengan Azure AD untuk Grafana.
Jika Anda tidak dapat masuk ke Grafana, pastikan alamat IP perangkat Anda berada dalam daftar putih alamat IP publik atau daftar putih akses privat untuk ruang kerja tersebut.