为 Grafana 团队配置 Microsoft Entra 组和 Grafana 团队同步
本指南介绍如何将 Microsoft Entra 组与 Grafana 团队同步配合使用来管理 Azure 托管 Grafana 中的仪表板权限。
在 Azure 托管 Grafana 中,你可以使用 Grafana 的基于角色的访问控制 (RBAC) 角色来定义访问权限。 默认情况下,这些权限适用于 Grafana 工作区中的所有资源,而不是某个文件夹或仪表板。 如果将用户分配到 Grafana 编辑者角色,该用户将可以编辑 Grafana 工作区中的任何仪表板。 但是,借助 Grafana 的精细权限模型,你可以调整用户针对特定仪表板或仪表板文件夹的默认权限级别。
Microsoft Entra 组同步可帮助你做到这一点。 借助该功能,你可以在 Grafana 工作区中创建 Grafana 团队,将其链接到 Microsoft Entra 组,然后为该团队配置仪表板权限。 例如,你可以允许 Grafana 查看者修改仪表板,或阻止 Grafana 编辑者进行更改。
先决条件
在开始之前,请确保已做好以下准备:
- 一个 Azure 帐户和一个有效的订阅。 创建帐户。
- Azure 托管 Grafana 实例。 如果需要,请创建一个新实例。
- Microsoft Entra 组。 如果需要,请创建一个基本组并添加成员。
- 使用 Grafana 团队同步需要 Grafana 管理员角色。
向 Microsoft Entra 组分配权限
Microsoft Entra 组必须具有 Grafana 角色才能访问 Grafana 实例。
在 Grafana 工作区中,打开“访问控制(IAM)”菜单,选择“添加”>“添加新角色分配”。
向 Microsoft Entra 组分配角色(如 Grafana 查看者)。 有关分配角色的详细信息,请转到授予访问权限。
创建 Grafana 团队
请设置一个由 Microsoft Entra ID 支持的 Grafana 团队。
在 Azure 门户中,打开 Grafana 实例,然后在“设置”下选择“配置”。
选择“Microsoft Entra 团队同步设置”选项卡。
选择“创建新 Grafana 团队”。
输入 Grafana 团队的名称,然后选择“添加”。
向 Grafana 团队分配 Microsoft Entra 组
在“访问权限的分配对象”中,选择新建的 Grafana 团队。
选择“+ 添加 Microsoft Entra 组”。
在搜索框中输入 Microsoft Entra 组名称,然后在结果中选择该组名称。 单击“选择”以确认。
(可选)重复上述三个步骤,向 Grafana 团队添加更多 Microsoft Entra 组。
分配对 Grafana 文件夹或仪表板的访问权限
在 Grafana UI 中,打开某个文件夹或仪表板。
在“权限”选项卡中,选择“添加权限”。
在“为以下对象添加权限”下,选择“团队”,选择团队名称,然后选择“查看”、“编辑”或“管理”权限,然后进行保存。 你可以为用户、团队或角色添加权限。
提示
若要检查仪表板的现有访问权限,请打开仪表板并转到“权限”选项卡。此页面显示针对此仪表板分配的所有权限以及所有继承的权限。
缩小访问权限
你可以通过移除访问一个或多个文件夹的权限来限制访问权限。
例如,若要禁用在 Grafana 实例上具有 Grafana 查看者角色的用户的访问权限,请按照以下步骤移除其对 Grafana 文件夹的访问权限:
在 Grafana UI 中,转到要向用户隐藏的文件夹。
在“权限”选项卡中,选择“查看者”权限右侧的 X 按钮,以从此文件夹中移除此权限。
对要向用户隐藏的所有文件夹重复此步骤。
删除 Grafana 团队
如果不再需要 Grafana 团队,请按照以下步骤将其删除。 删除 Grafana 团队会同时删除指向 Microsoft Entra 组的链接。
在 Azure 门户中,打开 Azure 托管 Grafana 工作区。
选择“管理”“>Teams”。
选择要删除的团队右侧的“X”按钮。
选择“删除”以确认。
后续步骤
在本操作指南中,你了解了如何设置 Microsoft Entra 组支持的 Grafana 团队。 要了解如何使用团队控制对工作区中仪表板的访问,请参阅管理仪表板权限。