Teams и Organizations
Тема дорожной карты · Grafana
Grafana использует два организационных инструмента для группировки пользователей и управления доступом: организации и команды. Организация в Grafana — это полностью изолированный тенант со своими пользователями, дашбордами, источниками данных и правилами алертинга, что делает её подходящей для разделения совершенно разных бизнес-подразделений или клиентов на общем экземпляре Grafana; переключение между организациями выполняется через меню профиля пользователя. Команды — более лёгкий способ группировки внутри одной организации: администратор создаёт команду (например, platform-sre или data-engineering), добавляет в неё участников и затем назначает команду как viewer или editor для конкретных папок дашбордов, что позволяет реализовывать мультикомандные экземпляры Grafana, где каждая команда видит только нужные ей дашборды. Членство в командах можно синхронизировать автоматически из групп OAuth-провайдера через настройки teams_url и team_ids_attribute_path в конфигурации OAuth Grafana, устраняя необходимость ручного назначения пользователей в команды. Для большинства развёртываний достаточно одной организации Grafana, где команды используются для управления видимостью дашбордов на уровне папок, но несколько организаций полезны, когда требуется строгая изоляция данных между тенантами — так как они не позволяют пользователям даже видеть источники данных других организаций.
Как это работает
Teams и Organizations: смените дефолтный admin-пароль (/etc/grafana/grafana.ini [security].admin_password), задайте secret_key (для подписи), отключите signup ([users].allow_sign_up=false), используйте auth-провайдеры (LDAP, OAuth, OIDC, SAML для enterprise), HTTPS на reverse proxy, folder-level permissions для ограничения, кто что видит. Service accounts (API-токены) — для программного доступа; никогда личные API-ключи.
Когда применять
SSO (OIDC через Yandex ID, Keycloak, Authentik) — до того как > 5 юзеров; ручное управление юзерами устаревает. Folder-level permissions — для компартментализации команд. Аудит, у кого admin (раз в квартал). Ротация API-токенов. Никогда не выставляйте /api/datasources публично — там хранятся datasource-credentials.
Типичные ошибки
Ловушки Teams и Organizations: общий admin-аккаунт "для удобства" (нет audit trail); SSO group-claims не маппятся на Grafana-orgs (все получают дефолтную роль); credentials datasource в plaintext-конфиге (используйте шифрование Grafana или secrets-менеджер).