Связаться с намиПодключиться

Создать OIDC-приложение в Yandex Identity Hub для интеграции с Grafana Cloud

Статья создана
Обновлена 29 октября 2025 г.

Примечание

Функциональность находится на стадии Preview.

Grafana Cloud — это управляемая облачная платформа для мониторинга и наблюдаемости (observability), которая включает в себя Grafana, Prometheus, Loki и другие инструменты визуализации и анализа данных. Grafana Cloud поддерживает OpenID Connect (OIDC) аутентификацию для обеспечения безопасного единого входа пользователей организации.

Чтобы пользователи вашей организации могли аутентифицироваться в Grafana Cloud с помощью технологии единого входа по стандарту OpenID Connect, создайте OIDC-приложение в Identity Hub и настройте его на стороне Identity Hub и на стороне Grafana Cloud.

Управлять OIDC-приложениями может пользователь, которому назначена роль organization-manager.oauthApplications.admin или выше.

Чтобы дать доступ пользователям вашей организации в Grafana Cloud:

  1. Создайте аккаунт в Grafana Cloud.
  2. Создайте приложение.
  3. Настройте интеграцию.
  4. Убедитесь в корректной работе приложения

Создайте аккаунт в Grafana Cloud

Если у вас нет аккаунта в Grafana Cloud, создайте его:

  1. Перейдите на страницу регистрации Grafana Cloud.
  2. Заполните регистрационную форму:
    • Укажите ваш email-адрес.
    • Создайте надежный пароль.
  3. Нажмите Create my account.
  4. Подтвердите регистрацию, следуя инструкциям в письме, отправленном на указанный email.
  5. Выберите имя организации (это будет частью URL вашего экземпляра). Например your-org.
  6. После входа в систему убедитесь, что у вас есть права администратора для настройки OIDC в вашей организации Grafana Cloud.
  7. Запишите URL вашего экземпляра Grafana Cloud (например, https://your-org.grafana.net), который потребуется для настройки интеграции.

Примечание

Для настройки OIDC в Grafana Cloud требуются права администратора организации. Если у вас нет необходимых прав, обратитесь к администратору вашей организации в Grafana Cloud.

Создайте приложение

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения.
  3. В правом верхнем углу страницы нажмите Создать приложение и в открывшемся окне:

    1. Выберите метод единого входа OIDC (OpenID Connect).

    2. В поле Имя задайте имя создаваемого приложения: grafana-cloud-oidc-app.

    3. В поле Каталог выберите каталог, в котором будет создан OAuth-клиент для приложения.

    4. (Опционально) В поле Описание задайте описание приложения.

    5. (Опционально) Добавьте метки:

      1. Нажмите Добавить метку.
      2. Введите метку в формате ключ: значение.
      3. Нажмите Enter.

    6. Нажмите Создать приложение.

Настройте интеграцию

Чтобы настроить интеграцию Grafana Cloud с созданным OIDC-приложением в Identity Hub, выполните настройки на стороне Grafana Cloud и на стороне Identity Hub.

Настройте OIDC-приложение на стороне Yandex Identity Hub

Получите учетные данные приложения

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.

  3. На вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) разверните секцию Дополнительные атрибуты и скопируйте значения параметров, которые необходимо задать на стороне Grafana Cloud:

    • ClientID — уникальный идентификатор приложения.
    • OpenID Configuration — URL с конфигурацией всех необходимых для настройки интеграции параметров.

  4. В блоке Секреты приложения нажмите кнопку Добавить секрет и в открывшемся окне:

    1. (Опционально) Добавьте произвольное описание создаваемого секрета.
    2. Нажмите Создать.

    В окне отобразится сгенерированный секрет приложения. Сохраните полученное значение.

    Важно

    После обновления или закрытия страницы с информацией о приложении посмотреть секрет будет невозможно.

    Если вы закрыли или обновили страницу, не сохранив сгенерированный секрет, используйте кнопку Добавить секрет, чтобы создать новый.

    Чтобы удалить секрет, в списке секретов на странице OIDC-приложения в строке с нужным секретом нажмите значок и выберите Удалить.

Настройте Redirect URI

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.

  3. Справа сверху нажмите Редактировать и в открывшемся окне:

    1. В поле Redirect URI укажите эндпоинт аутентификации для вашего экземпляра Grafana Cloud в форме:
    <URL_экземпляра_Grafana_Cloud>/login/generic_oauth

    Например: https://your-org.grafana.net/login/generic_oauth.

    1. Нажмите Сохранить.

Настройте OIDC-приложение на стороне Grafana Cloud

Чтобы настроить аутентификацию по стандарту OpenID Connect на стороне Grafana Cloud, в левой панели выберите раздел Administration и в нем подраздел Authentication.
В основном окне выберите Generic OAuth.

В настройках Generic OAuth:

  1. В поле Name укажите: OpenID Connect.
  2. В поле Scopes введите последовательно: openid, email, profile.
  3. В поле Client ID укажите значение, скопированное при настройке OIDC-приложения в Identity Hub в поле ClientID.
  4. В поле Client Secret укажите значение, скопированное при настройке OIDC-приложения в Identity Hub в блоке Секреты приложения.
  5. Нажмите Enter OpenID Connect Discovery URL и в открывшемся окне укажите URL, скопированный при настройке OIDC-приложения в Identity Hub в поле OpenID Configuration.
  6. Allow sign up: активируйте для автоматического создания пользователей при первом входе.

Добавьте пользователя

Чтобы пользователи вашей организации могли аутентифицироваться в Grafana Cloud с помощью OIDC-приложения Identity Hub, необходимо явно добавить в OIDC-приложение нужных пользователей и/или группы пользователей.

Примечание

Управлять пользователями и группами, добавленными в OIDC-приложение, может пользователь, которому назначена роль organization-manager.oidcApplications.userAdmin или выше.

Добавьте пользователя в приложение:

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное приложение.
  3. Перейдите на вкладку Пользователи и группы.
  4. Нажмите Добавить пользователей.
  5. В открывшемся окне выберите нужного пользователя или группу пользователей.
  6. Нажмите Добавить.

Убедитесь в корректной работе приложения

Чтобы убедиться в корректной работе OIDC-приложения и интеграции с Grafana Cloud, выполните аутентификацию в Grafana Cloud от имени одного из добавленных в приложение пользователей.

Для этого:

  1. В браузере перейдите по адресу вашего экземпляра Grafana Cloud (например, https://your-org.grafana.net).
  2. Если вы были авторизованы в Grafana Cloud, выйдите из профиля.
  3. На странице авторизации Grafana Cloud нажмите Sign in with OpenID Connect.
  4. На странице авторизации Yandex Cloud укажите email и пароль пользователя. Пользователь должен быть добавлен в приложение или состоять в группе, добавленной в приложение.
  5. Убедитесь, что вы авторизовались в Grafana Cloud.
Предыдущая
SAML
Следующая
Managed Service for OpenSearch