Azure AD OAuth2 인증

Azure AD OAuth2 인증

Azure AD 인증을 사용하면 Azure Active Directory 테넌트를 Grafana의 ID 공급자로 사용할 수 있습니다. Azure AD 애플리케이션 역할을 사용하여 Azure Portal에서 사용자 및 그룹을 Grafana 역할에 할당할 수 있습니다. 이 항목에는 다음 섹션이 있습니다.

• Azure AD OAuth2 인증
  • Azure AD 애플리케이션 만들기
  • Grafana에서 Azure AD OAuth 사용
    • 허용된 그룹 구성
    • 허용된 도메인 구성
    • 팀 동기화(Enterprise만 해당)

Azure AD 애플리케이션 만들기

Azure AD OAuth2를 활성화하려면 Azure AD에 애플리케이션을 등록합니다.

1. Azure Portal 에 로그인 한 다음 사이드 메뉴에서 Azure Active Directory 를 클릭 합니다.
2. 둘 이상의 테넌트에 대한 액세스 권한이 있는 경우 오른쪽 상단에서 계정을 선택합니다. 사용하려는 Azure AD 테넌트로 세션을 설정합니다.
3. 사이드 메뉴의 관리 에서 앱 등록 > 신규 등록 을 클릭합니다 . 설명이 포함된 이름을 입력합니다.
4. 리디렉션 URI 아래 에서 앱 유형 Web 을 선택합니다 .
5. 다음 리디렉션 URL https://<grafana domain>/login/azuread을 추가한 다음 등록https://<grafana domain> 을 클릭 합니다. 앱의 개요 페이지가 열립니다.
6. 응용 프로그램 ID 를 기록해 두십시오 . OAuth 클라이언트 ID입니다.
7. 상단 메뉴에서 엔드포인트 를 클릭 합니다.
   • OAuth 2.0 권한 부여 끝점(v2) URL 을 기록해 둡니다. 인증 URL입니다.
   • OAuth 2.0 토큰 엔드포인트(v2) 를 확인 하세요 . 토큰 URL입니다.
8. 인증서 및 비밀 을 클릭 한 후 다음 구성을 사용하여 클라이언트 비밀 아래에 새 항목을 추가 합니다.
   • 설명: Grafana OAuth
   • 만료: 절대
9. 추가 를 클릭 한 다음 키 값을 복사합니다. 이것은 OAuth 클라이언트 암호입니다.
10. 매니페스트 를 클릭 한 다음 Grafana: 뷰어, 편집자 또는 관리자에 필요한 애플리케이션 역할 값을 정의합니다. 정의하지 않으면 모든 사용자에게 뷰어 역할이 부여됩니다. 모든 역할에는 Linux에서 생성할 수 있는 고유 ID가 필요하며 uuidgenWindows에서는 Microsoft PowerShell을 통해 생성할 수 있습니다 New-Guid.
11. 구성 파일에 고유 ID를 포함합니다.

12. 	"appRoles": [
        {
        "allowedMemberTypes": [
        "User"
        ],
        "description": "Grafana admin Users",
        "displayName": "Grafana Admin",
        "id": "SOME_UNIQUE_ID",
        "isEnabled": true,
        "lang": null,
        "origin": "Application",
        "value": "Admin"
        },
        {
        "allowedMemberTypes": [
        "User"
        ],
        "description": "Grafana read only Users",
        "displayName": "Grafana Viewer",
        "id": "SOME_UNIQUE_ID",
        "isEnabled": true,
        "lang": null,
        "origin": "Application",
        "value": "Viewer"
        },
        {
        "allowedMemberTypes": [
        "User"
        ],
        "description": "Grafana Editor Users",
        "displayName": "Grafana Editor",
        "id": "SOME_UNIQUE_ID",
        "isEnabled": true,
        "lang": null,
        "origin": "Application",
        "value": "Editor"
        }
        ],
        

    JSON
13. Azure Active Directory 로 이동 한 다음 엔터프라이즈 애플리케이션 으로 이동 합니다. 신청서를 검색하고 클릭하십시오.
14. 사용자 및 그룹 을 클릭하고 사용자 추가를 사용하여 사용자/그룹을 Grafana 역할에 추가 합니다.

Grafana에서 Azure AD OAuth 사용

1. Grafana 구성 파일 에 다음을 추가 합니다 .

[auth.azuread]
name = Azure AD
enabled = true
allow_sign_up = true
client_id = APPLICATION_ID
client_secret = CLIENT_SECRET
scopes = openid email profile
auth_url = https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/authorize
token_url = https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token
allowed_domains =
allowed_groups =
role_attribute_strict = false

다음 환경 변수를 사용하여 client_id 및 client_secret 을 구성할 수도 있습니다 .

GF_AUTH_AZUREAD_CLIENT_ID
GF_AUTH_AZUREAD_CLIENT_SECRET

참고: Grafana root_url 이 Azure 애플리케이션 리디렉션 URL에 설정되어 있는지 확인하세요.

허용된 그룹 구성

하나 이상의 그룹 구성원인 인증된 사용자에 대한 액세스를 제한하려면 allowed_groups 그룹 개체 ID의 쉼표 또는 공백으로 구분된 목록으로 설정하십시오. Azure Portal에서 특정 그룹에 대한 개체 ID를 찾을 수 있습니다.

1. Azure Active Directory -> 그룹 으로 이동합니다 . exampleID가 인 그룹 구성원에게만 액세스 권한을 부여하려면 8bab1c86-8fba-33e5-2089-1d1c80ec267d다음을 설정하십시오.
2. allowed_groups = 8bab1c86-8fba-33e5-2089-1d1c80ec267d
3. Azure Portal > Azure Active Directory > 애플리케이션 등록 > 애플리케이션 선택 -> 매니페스트 로 이동하여 Azure AD 애플리케이션 등록 매니페스트 파일에서 그룹 특성 이 활성화되어 있는지 확인 하고 다음을 설정합니다.
4. "groupMembershipClaims": "ApplicationGroup, SecurityGroup"

허용된 도메인 구성

이 allowed_domains옵션은 특정 도메인에 속한 사용자로 액세스를 제한합니다. 공백이나 쉼표로 도메인을 구분하십시오. 예를 들어,

allowed_domains = mycompany.com mycompany.org

팀 동기화(Enterprise만 해당)

Team Sync를 사용하면 Azure AD 그룹을 Grafana의 팀에 매핑하여 사용자가 올바른 팀에 자동으로 추가되도록 할 수 있습니다.

와 같은 그룹 개체 ID로 Azure AD 그룹을 참조할 수 있습니다 8bab1c86-8fba-33e5-2089-1d1c80ec267d.

자세한 내용은 팀 동기화 설명서를 참조하세요.