菜单
使用 Azure AD 配置 SCIM
注意
本指南介绍了如何使用 Azure AD 配置 SCIM 用户供应,以自动化 Grafana 中的用户和团队管理。
注意
此功能受
enableSCIM功能开关控制。您可以通过配置文件或环境变量启用功能开关。更多信息,请参阅功能开关文档。
先决条件
在使用 Azure AD 配置 SCIM 之前,请确保您拥有
- Grafana Enterprise 或 Grafana Cloud Advanced
- Grafana 和 Azure AD 的管理员权限
- 已配置使用 Azure AD 的 SAML 身份验证
- 在 Grafana 中启用了 SCIM 功能
在 Grafana 中配置 SCIM
要在 Grafana 中启用 SCIM 用户供应,请创建一个服务账户并生成一个服务账户令牌,该令牌将用于验证来自 Azure AD 的 SCIM 请求。
创建服务账户
- 导航至 管理 > 用户访问 > 服务账户
- 点击添加新服务账户
- 创建一个新的访问令牌并安全地保存它
- 此令牌将用于 Azure AD 配置中
在 Azure AD 中配置 SCIM
在 Azure AD 中配置企业应用程序,以实现与 Grafana 的用户和团队自动化同步。这包括创建一个新应用程序并设置身份验证和用户供应。
创建企业应用程序
- 打开 Azure Portal Entra ID (Azure AD)
- 点击 + 添加 下拉菜单
- 点击添加企业应用程序
- 点击+ 创建您自己的应用程序
- 命名应用程序并选择非图库应用
配置用户供应
- 在应用程序概览中,选择用户供应
- 点击+ 新配置
- 配置以下设置
- 租户 URL:
https://{grafana_url}/scim - 密钥令牌: 输入来自 Grafana 的服务账户令牌
- 租户 URL:
- 点击测试连接以验证配置
- 点击创建以保存设置
配置属性映射
注意
仅支持工作电子邮件地址。Azure AD 必须配置为使用
emails[type eq "work"].value进行电子邮件映射。
配置以下必需属性
| Azure AD 属性 | Grafana 属性 |
|---|---|
userPrincipalName | userName |
mail | emails[type eq "work"].value |
displayName | displayName |
启用用户供应
- 将用户供应状态设置为开启
- 配置以下设置
- 范围:选择要同步的用户和组
- 创建用户:启用
- 更新用户:启用
- 删除用户:转换为禁用
- 创建组:启用
- 更新组:启用
- 删除组:禁用
配置组用户供应
要启用组同步
- 导航至用户供应中的组选项卡
- 启用组用户供应
- 选择要与 Grafana 同步的组
- 保存更改
测试集成
完成配置后
- 在 Azure AD 中测试 SCIM 连接器
- 为应用程序分配一个测试用户
- 验证用户是否已在 Grafana 中供应
- 如果已配置,测试组同步
故障排除
有关使用 SCIM 用户供应时常见的故障和解决方案,请参阅 SCIM 故障排除指南。
