Grafana

このガイドでは、Cloudflare Zero TrustでOIDCアプリケーションとしてGrafana ↗を構成する方法について説明します。

前提条件

• Cloudflare Zero Trustに設定されたアイデンティティプロバイダー
• Grafanaアカウントへの管理者アクセス

ノート

このガイドに記載されているように、Grafanaのユーザーインターフェース（UI）を使用する代わりに、構成ファイル ↗を使用してGrafanaのOIDC SSOを構成することもできます。

1. Cloudflare Zero TrustにSaaSアプリケーションを追加する

1. Zero Trust ↗に移動し、Access > Applicationsを選択します。
2. SaaSを選択します。
3. ApplicationでGrafanaを選択します。
4. 認証プロトコルとしてOIDCを選択します。
5. Add applicationを選択します。
6. Scopesで、AccessがIDトークンに送信する属性を選択します。
7. Redirect URLsにhttps://<your-grafana-domain>/login/generic_oauthを入力します。
8. （オプション）IdPがサポートしている場合は、Proof of Key Exchange (PKCE) ↗を有効にします。PKCEはすべてのログイン試行で実行されます。
9. Client secret、Client ID、Token endpoint、およびAuthorization endpointをコピーします。
10. Save configurationを選択します。
11. （オプション）Enable App in App Launcherをオンにし、App Launcher URLにhttps://<your-grafana-domain>/loginを入力して、App Launcher設定を構成します。
12. アプリケーションのAccess policiesを構成します。
13. Doneを選択します。

2. GrafanaにSSOプロバイダーを追加する

1. Grafanaで、menuアイコン > Administration > Authentication > Generic OAuthを選択します。
2. （オプション）Display nameに新しい表示名（例：Cloudflare Access）を入力します。ユーザーはSSO経由でサインインする際に**Sign in with (display name)**を選択します。
3. 次のフィールドに入力します：
   • Client Id：Cloudflare Zero Trustのアプリケーション構成からのClient ID
   • Client secret：Cloudflare Zero Trustのアプリケーション構成からのClient secret
   • Scopes：user:emailを削除し、Cloudflare Zero Trustで構成されたスコープを入力します
   • Auth URL：Cloudflare Zero Trustのアプリケーション構成からのAuthorization endpoint
   • Token URL：Cloudflare Zero Trustのアプリケーション構成からのToken endpoint
4. Saveを選択します。

3. 統合をテストする

ログアウトし、次に**Sign in with (display name)**を選択します。Cloudflare Accessのログイン画面にリダイレクトされ、アイデンティティプロバイダーでサインインするように求められます。