Связаться с намиПодключиться

Создать SAML-приложение в Yandex Identity Hub для интеграции с Grafana Cloud

Статья создана
Обновлена 7 ноября 2025 г.

Примечание

Функциональность находится на стадии Preview.

Grafana Cloud — это управляемая облачная платформа для мониторинга и наблюдаемости (observability), которая включает в себя Grafana, Prometheus, Loki и другие инструменты визуализации и анализа данных. Grafana Cloud поддерживает SAML-аутентификацию для обеспечения безопасного единого входа пользователей организации.

Чтобы пользователи вашей организации могли аутентифицироваться в Grafana Cloud с помощью технологии единого входа по стандарту SAML, создайте SAML-приложение в Identity Hub и настройте его на стороне Identity Hub и на стороне Grafana Cloud.

Управлять SAML-приложениями может пользователь, которому назначена роль organization-manager.samlApplications.admin или выше.

Чтобы дать доступ пользователям вашей организации в Grafana Cloud:

  1. Создайте аккаунт в Grafana Cloud.
  2. Создайте приложение.
  3. Настройте интеграцию.
  4. Убедитесь в корректной работе приложения

Создайте аккаунт в Grafana Cloud

Если у вас нет аккаунта в Grafana Cloud, создайте его:

  1. Перейдите на страницу регистрации Grafana Cloud.
  2. Заполните регистрационную форму:
    • Укажите ваш email-адрес.
    • Создайте надежный пароль.
  3. Нажмите Create my account.
  4. Подтвердите регистрацию, следуя инструкциям в письме, отправленном на указанный email.
  5. Выберите имя организации (это будет частью URL вашего экземпляра). Например your-org.
  6. После входа в систему убедитесь, что у вас есть права администратора для настройки SAML в Grafana Cloud.

Примечание

Для настройки SAML в Grafana Cloud требуются права администратора организации. Если у вас нет необходимых прав, обратитесь к администратору вашей организации в Grafana Cloud.

Создайте приложение

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения.
  3. В правом верхнем углу страницы нажмите Создать приложение и в открывшемся окне:

    1. Выберите метод единого входа SAML (Security Assertion Markup Language).

    2. В поле Имя задайте имя создаваемого приложения: grafana-cloud-app.

    3. (Опционально) В поле Описание задайте описание приложения.

    4. (Опционально) Добавьте метки:

      1. Нажмите Добавить метку.
      2. Введите метку в формате ключ: значение.
      3. Нажмите Enter.

    5. Нажмите Создать приложение.

Настройте интеграцию

Чтобы настроить интеграцию Grafana Cloud с созданным SAML-приложением в Identity Hub, выполните настройки на стороне Grafana Cloud и на стороне Identity Hub.

Настройте SAML-приложение на стороне Grafana Cloud

  1. Чтобы настроить аутентификацию по стандарту SAML на стороне Grafana Cloud, в левой панели выберите раздел Administration и в нем подраздел Authentication.
  2. В основном окне выберите SAML.

Далее следуйте шагам, описанным ниже:

Общие настройки

Убедитесь, что активирована опция Allow signup — автоматическое создание пользователей на стороне Grafana Cloud при авторизации через SSO. Если опция неактивна, авторизоваться смогут только пользователи, уже созданные на стороне Grafana Cloud.

Подпись запросов

Настройте сертификат для подписи исходящих запросов.

Совет

В данный момент Yandex Identity Hub не поддерживает проверку подписи запросов, поэтому рекомендуем оставить опцию Sign requests отключенной.

Подключение Grafana к IdP

Настройте связь между Grafana Cloud и Identity Hub:

  1. В блоке Configure IdP using Grafana metadata скопируйте и сохраните адреса эндпоинтов для получения метаданных (Metadata URL) и отправки запросов на аутентификацию пользователей (Assertion Consumer Service URL). В дальнейшем вам понадобится второй из этих адресов при настройке интеграции на стороне Identity Hub.

  2. Настройте адрес эндпоинта для получения метаданных из Identity Hub:

    1. Войдите в сервис Yandex Identity Hub.
    2. На панели слева выберите Приложения и выберите нужное SAML-приложение.
    3. На вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) скопируйте значение поля Metadata URL.
    4. Вернитесь в Grafana Cloud и в блоке Finish configuring Grafana using IdP data вставьте скопированный адрес в поле Metadata URL.

Сопоставление атрибутов пользователей

Настройте соответствие между полями объектов пользователей в Grafana Cloud и Identity Hub:

  1. В блоке Assertion attributes mappings укажите:

    • в поле Name attribute: fullname;
    • в поле Login attribute: login;
    • в поле Email attribute: emailaddress.

  2. Если необходимо, чтобы пользователи в Grafana Cloud при входе получали одну из базовых ролей (Viewer, Editor, Admin), добавьте атрибут групп пользователей. Для этого в поле Role attribute укажите groups.

    Примечание

    Если не настроить сопоставление ролей, все пользователи будут входить с ролью по умолчанию — Viewer.

    Далее, в блоке Role mapping укажите названия групп, пользователи которых получат соответствующие роли. Например:

    • В поле Viewer: grafana-viewer;
    • В поле Editor: grafana-editor;
    • В поле Admin: grafana-admin.

    Группы необходимо будет создать при настройке приложения на стороне Identity Hub.

  3. Ниже, в поле Name identifier format выберите Email address.

    Имена атрибутов пользователей в Identity Hub можно посмотреть и настроить в вашем приложении на вкладке Атрибуты.

  4. Сохраните настройки, нажав кнопку Save and enable.

Настройте SAML-приложение на стороне Yandex Identity Hub

Настройте эндпоинты поставщика услуг

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное SAML-приложение.
  3. Справа сверху нажмите Редактировать и в открывшемся окне:
    1. В поле SP EntityID вставьте адрес эндпоинта, который вы скопировали на третьем шаге настройки интеграции в Grafana Cloud в поле Metadata URL.
    2. В поле ACS URL вставьте адрес эндпоинта, который вы скопировали на третьем шаге настройки интеграции в Grafana Cloud в поле Assertion Consumer Service URL.
    3. Нажмите Сохранить.

Настройте атрибуты пользователей

Важно

Для интеграции с Grafana Cloud необходимо, чтобы у пользователей был атрибут login.

Если у пользователей нет атрибута login, добавьте его:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения и выберите нужное приложение.

  3. Перейдите на вкладку Атрибуты.

  4. В правом верхнем углу страницы нажмите Добавить атрибут и в открывшемся окне:

    1. В поле Имя атрибута введите login.
    2. В поле Значение выберите SubjectClaims.preferred_username.
    3. Нажмите Добавить.

Если вы настроили сопоставление ролей на стороне Grafana Cloud, добавьте атрибут групп пользователей. Для этого:

  1. В правом верхнем углу страницы нажмите Добавить атрибут группы и в открывшемся окне:
  2. В поле Передаваемые группы выберите Только назначенные группы.
  3. Нажмите Добавить.

Подробнее о настройке атрибутов см. Настройте атрибуты пользователей и групп.

Добавьте пользователя

Чтобы пользователи вашей организации могли аутентифицироваться в Grafana Cloud с помощью SAML-приложения Identity Hub, необходимо явно добавить в SAML-приложение нужных пользователей и/или группы пользователей.

Примечание

Управлять пользователями и группами, добавленными в SAML-приложение, может пользователь, которому назначена роль organization-manager.samlApplications.userAdmin или выше.

  1. Если вы настроили сопоставление ролей на стороне Grafana Cloud, создайте нужные группы:

    1. Войдите в сервис Yandex Identity Hub.
    2. На панели слева выберите Группы.
    3. В правом верхнем углу страницы нажмите Создать группу.
    4. Задайте название, например, grafana-viewer.
    5. Нажмите Создать группу.
    6. Добавьте пользователей в группу:
      1. Перейдите на вкладку Участники.
      2. Нажмите Добавить участника.
      3. В открывшемся окне выберите нужных пользователей.
      4. Нажмите Сохранить.

    Аналогично создайте группы grafana-editor и grafana-admin.

  2. Добавьте пользователей в приложение:

    1. Войдите в сервис Yandex Identity Hub.
    2. На панели слева выберите Приложения и выберите нужное приложение.
    3. Перейдите на вкладку Пользователи и группы.
    4. Нажмите Добавить пользователей.
    5. В открывшемся окне выберите нужного пользователя или группу пользователей.
    6. Нажмите Добавить.

Убедитесь в корректной работе приложения

Чтобы убедиться в корректной работе SAML-приложения и интеграции с Grafana Cloud, выполните аутентификацию в Grafana Cloud от имени одного из добавленных в приложение пользователей. Для этого:

  1. В браузере перейдите по адресу вашего экземпляра Grafana Cloud (например, https://your-org.grafana.net).
  2. Если вы были авторизованы в Grafana Cloud, выйдите из профиля.
  3. На странице авторизации Grafana Cloud нажмите Sign in with SAML.
  4. На странице авторизации Yandex Cloud укажите имеил и пароль пользователя. Пользователь должен быть добавлен в приложение или состоять в группе, добавленной в приложение.
  5. Убедитесь, что вы авторизовались в Grafana Cloud.
  6. Если вы настроили сопоставление ролей, перейдите в профиль пользователя в Grafana Cloud и убедитесь, что в блоке Organization отображается соответствующая роль.

См. также

Предыдущая
Обзор
Следующая
OpenID Connect