OAuth / SSO
Тема дорожной карты · Grafana
Интеграции OAuth 2.0 и SSO в Grafana позволяют пользователям входить с помощью существующей корпоративной или социальной учётной записи — Google Workspace, GitHub, GitLab, Azure Active Directory, Keycloak или любого Generic OAuth / OIDC-провайдера — без создания отдельной учётной записи в Grafana. OAuth SSO настраивается в разделах [auth.generic_oauth], [auth.github], [auth.google] или других специфичных для провайдера разделах файла grafana.ini, где указываются client ID, client secret, URL авторизации, URL токена и необходимые области (scopes) провайдера идентификации. Grafana может автоматически сопоставлять членство в OAuth-группах или пользовательские утверждения (claims) с ролями и командами Grafana через настройки role_attribute_path и groups_attribute_path, обеспечивая provisioning пользователей «на лету», когда новые пользователи получают правильные права Grafana при первом входе без каких-либо ручных действий администратора Grafana. Установка auto_login = true в разделе OAuth пропускает страницу входа Grafana и перенаправляет пользователей прямо к провайдеру идентификации, улучшая SSO-опыт в организациях, где все пользователи аутентифицируются через один провайдер. Когда GF_AUTH_DISABLE_LOGIN_FORM=true сочетается с OAuth-провайдером, встроенная форма входа Grafana скрывается, делая SSO единственным методом аутентификации.
Как это работает
OAuth / SSO: смените дефолтный admin-пароль (/etc/grafana/grafana.ini [security].admin_password), задайте secret_key (для подписи), отключите signup ([users].allow_sign_up=false), используйте auth-провайдеры (LDAP, OAuth, OIDC, SAML для enterprise), HTTPS на reverse proxy, folder-level permissions для ограничения, кто что видит. Service accounts (API-токены) — для программного доступа; никогда личные API-ключи.
Когда применять
SSO (OIDC через Yandex ID, Keycloak, Authentik) — до того как > 5 юзеров; ручное управление юзерами устаревает. Folder-level permissions — для компартментализации команд. Аудит, у кого admin (раз в квартал). Ротация API-токенов. Никогда не выставляйте /api/datasources публично — там хранятся datasource-credentials.
Типичные ошибки
Ловушки OAuth / SSO: общий admin-аккаунт "для удобства" (нет audit trail); SSO group-claims не маппятся на Grafana-orgs (все получают дефолтную роль); credentials datasource в plaintext-конфиге (используйте шифрование Grafana или secrets-менеджер).