grafana
# Grafana 插件配置手册
# 单点登录配置
OAuth协议
# 在SSO360中配置
# 1. 添加Grafana 应用
管理员登录SSO360平台,【后台管理】-->【应用管理】-->【应用中心】-->【新增应用】
应用地址填写Grafana的OAuth回调地址:[https|http]😕/{grafana_host}/login/generic_oauth,【确定】
(grafana_host:替换为您的grafana域名,例如10.10.1.xx)
授权模式勾选【授权码模式】
登陆回调地址填写Grafana的OAuth回调地址:[https|http]😕/{grafana_host}/login/generic_oauth
应用登录属性、SSO360登录属性选择【email】,并点击【保存】按钮
# 2. 应用授权
【后台管理】-->【用户服务管理】-->【用户管理】,查找用户后,点击【查看详情】
【应用信息】-->【添加应用】
勾选【Grafana】,点击【确定】
# 在Grafana中配置
# 前置条件
- 使用“win+R”键,唤起运行窗口,输入cmd,并回车
- 输入——服务器地址(例如ssh root@10.10.1.xx) 命令,并回车
- 输入password——您的grafana服务的密码,并回车,则成功登录
# 编辑Grafana配置文件
grafana.ini**(vim /etc/grafana/grafana.ini)**
输入vim /etc/grafana/grafana.ini口令,并回车
替换掉client_id和client_secret(创建grafana应用时,客户端凭证处获取)
- 替换掉auth、token、api的url地址(把你的租户控制台域名填写到前面,例如:https://xxx.xxx.sso360.cn/api/sso/protocol/oauth2.0/authorize)
输入shift+:指令,再输入wq并回车,则配置保存成功
#################################### Server ####################################
[server]
# Protocol (http, https, h2, socket)
;protocol = http
# The ip address to bind to, empty will bind to all interfaces
;http_addr =
# The http port to use
;http_port = 3000
# The public facing domain name used to access grafana from a browser
;domain =
# Redirect to correct domain if host header does not match domain
# Prevents DNS rebinding attacks
;enforce_domain = false
# The full public facing url you use in browser, used for redirects and emails
# If you use reverse proxy and sub path specify full url (with sub path)
# #若grafana的访问端口不是默认端口3000,则需要配置该项,例如root_url = http:10.10.1.65:80
;root_url = %(protocol)s://%(domain)s:%(http_port)s/
...
...
...
...
################################## Generic OAuth ##########################
[auth.generic_oauth]
enabled = true
name = OAuth
##是否允许通过OAuth登录时自动注册新用户
allow_sign_up = false
##SSO360上Grafana的ClientId
client_id =
##SSO360上Grafana的ClientSecret
client_secret =
;scopes =
;empty_scopes = false
;email_attribute_name = email:primary
;email_attribute_path =
;login_attribute_path =
;name_attribute_path =
;id_token_attribute_name =
##认证授权地址
auth_url =
##获取token地址
token_url =
##UserInfo地址
api_url =
;allowed_domains =
;team_ids =
;allowed_organizations =
;role_attribute_path =
;role_attribute_strict = false
;tls_skip_verify_insecure = false
;tls_client_cert =
;tls_client_key =
;tls_client_ca =
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
示例:
# 重启Grafana
输入systemctl restart grafana-server指令并回车
# 单点登录验证
# 验证方式(二选一即可)
通过SSO360用户中心点击Grafana应用
通过Grafana登录页点击【Sign in with OAuth】按钮
# 验证结果
# 数据同步配置
说明:LDAP数据同步配置繁琐,且依赖于LDAP环境,建议使用OAuth单点登录配置(参考上文单点登录配置)
# 前置条件
您必须提前配置好了LDAP环境,参照LDAP环境配置 (opens new window)
您必须拥有grafana服务的使用权限
# grafana配置LDAP验证登录
- 连接您公司搭建grafana服务的SSH,找到grafana的配置文件(grafana.ini),
取消enabled=true,config_file=/etc/grafana/ldap.toml , allow_sign_up=true的注释
config_file为LDAP配置文件的路径(默认路径为 /etc/grafana/ldap.toml)
- 配置LDAP的配置文件(ldap.toml)
- 配置完成重启grafana服务。页面搜索LDAP用户,可以搜到即配置成功,可以使用LDAP用户登录grafana(每次修改配置文件都需要重启一次)
# 在grafana查看LDAP同步的用户
在【configuration>users】模块,查看从LDAP环境同步过来的用户信息。
