1. IDaaS平台添加Grafana
1.1 用管理员账号登录飞天云信IDaaS管理平台。
1.2 点击【应用管理】-【企业应用列表】查看自己的所有应用。
1.3 点击【添加应用】按钮,选择【集成应用】,点击【进入应用市场】(或者点击【应用管理】-【应用市场】),选择【Grafana】,填入应用名称后,点击【下一步】,在通用配置处按要求填入信息后,点击【确定】,即可在企业应用列表查看新添加的应用。
字段说明:
| 字段 | 字段说明 |
| 集成应用名称 | 通常填写为Grafana,也可自定义。此名称会展示在你的应用列表。 |
| 认证地址 | 可随意填写,配置完成后用户可复制该链接直接登录到Grafana。 |
| 用户标识 | 访问应用时充当用户标识的属性。 |
| 登录地址 | Grafana平台的登录地址(域名格式)。 |
| App Secret | 系统自动生成 |
| Authorization端点 | 系统自动生成 |
| Token端点 | 系统自动生成 |
| 用户信息端点 | 系统自动生成 |
| Issuer | 系统自动生成 |
| 服务发现地址 | 系统自动生成 |
| JWKS公钥端点 | 系统自动生成 |
| 安全等级 | 该应用未关联任何策略时,将智能匹配对应安全等级的认证策略,具体策略配置详情可在【认证管理】-【自适应认证】页面查看。 |
1.4 在企业应用列表点击应用图标,切换到【访问授权】标签页,添加允许用户访问权限。
2. Grafana平台配置
2.1 根据你的安装方式,找到Grafana的配置文件,可以参考Grafana文档,需要的配置项内容从1.3添加的Grafana通用配置获取。
[auth.generic_oauth]
;OAuth 登录名称,会在登录界面显示
name = iam
;开启 OAuth 登录
enabled = true
;是否允许不存在的用户自动注册
allow_sign_up = true
;Client ID,从飞天云信IDaaS管理平台Grafana应用的通用配置复制
client_id = CFDBEEBBC4B9BFEC9034
;Client Secret,从飞天云信IDaaS管理平台Grafana应用的通用配置复制
client_secret = 13BFE60DA0E18D3EB69E72B8838F348C6FDFAC95
;需要获取的授权范围,建议按本示例填写
scopes = email phone profile openid
;是否在请求认证时不传 scopes 参数,必须为 false
empty_scopes = false
;邮箱属性
email_attribute_name = email
email_attribute_path = me
login_attribute_path = me
;用户名属性
name_attribute_path = name
;角色属性
;role_attribute_path = role
;role_attribute_strict = false
;id_token 属性
id_token_attribute_name = id_token
;Auth URL,从飞天云信IDaaS管理平台Grafana应用的通用配置复制
auth_url = http://Grafananewtest.yufaiam.com/api/oauth/authorize
;Token URL,从 飞天云信IDaaS管理平台Grafana应用的通用配置复制
token_url = http://Grafananewtest.yufaiam.com/api/oauth/token
;API URL,从 飞天云信IDaaS管理平台Grafana应用的通用配置复制
api_url = http://Grafananewtest.yufaiam.com/api/oauth/oidc/me
;允许登录的邮箱域名,比如这里填写 test.com,就只有邮箱后缀为 test.com 的用户可以登录,多个用空格分隔
allowed_domains = ftsafe.com
tls_skip_verify_insecure = false
2.2 配置完成后,重启Grafana。
3. 体验单点登录
3.1 登录用户门户系统。
3.2 登录成功后,在菜单栏【应用中心】处,可以看到1.3添加的Grafana应用系统,点击应用图标可以单点登录到Grafana。
提示:需要按照关联策略中的规则,认证通过后登录进其应用系统。
