Аутентификация
Тема дорожной карты · Grafana
Grafana поддерживает несколько методов аутентификации из коробки — от встроенного входа по логину/паролю до корпоративных SSO-интеграций, — давая организациям гибкость для соответствия требованиям безопасности и управления идентификацией. Простейший метод аутентификации — встроенная база пользователей Grafana, где учётные записи управляются в разделе Administration > Users интерфейса Grafana; это подходит для небольших команд, но должно сочетаться с надёжными паролями и параметром allow_sign_up = false в grafana.ini для предотвращения несанкционированных регистраций. Для организаций с существующим провайдером идентификации Grafana поддерживает OAuth 2.0 / OIDC (Google, GitHub, GitLab, Azure AD, Generic OAuth), SAML (Enterprise) и LDAP-аутентификацию — всё это настраивается в разделах [auth.*] файла grafana.ini или через соответствующие переменные окружения GF_AUTH_*. Grafana также поддерживает анонимный доступ, управляемый параметром GF_AUTH_ANONYMOUS_ENABLED=true, что полезно для дашбордов с публичным доступом только на чтение, встраиваемых без входа в систему. Аутентификация в Grafana интегрируется со слоем авторизации: как только пользователь аутентифицирован, его роль (Viewer, Editor или Admin) и членство в командах определяют доступные для него дашборды и источники данных.
Как это работает
Аутентификация: смените дефолтный admin-пароль (/etc/grafana/grafana.ini [security].admin_password), задайте secret_key (для подписи), отключите signup ([users].allow_sign_up=false), используйте auth-провайдеры (LDAP, OAuth, OIDC, SAML для enterprise), HTTPS на reverse proxy, folder-level permissions для ограничения, кто что видит. Service accounts (API-токены) — для программного доступа; никогда личные API-ключи.
Когда применять
SSO (OIDC через Yandex ID, Keycloak, Authentik) — до того как > 5 юзеров; ручное управление юзерами устаревает. Folder-level permissions — для компартментализации команд. Аудит, у кого admin (раз в квартал). Ротация API-токенов. Никогда не выставляйте /api/datasources публично — там хранятся datasource-credentials.
Типичные ошибки
Ловушки Аутентификация: общий admin-аккаунт "для удобства" (нет audit trail); SSO group-claims не маппятся на Grafana-orgs (все получают дефолтную роль); credentials datasource в plaintext-конфиге (используйте шифрование Grafana или secrets-менеджер).