IT har udviklet sig i de seneste år: takket være low-code og no-code (LCNC) teknologier, kræver et stigende antal mennesker med varierende baggrunde adgang til værktøjer og platforme, som tidligere var et privilegium for mere teknologikyndige personer i virksomheden, såsom ingeniører eller udviklere.
Ud af disse LCNC-teknologier har vi for nylig annonceret Amazon SageMaker lærred, en visuel peg-og-klik-grænseflade til forretningsanalytikere til at bygge maskinlæringsmodeller (ML) og generere nøjagtige forudsigelser uden at skrive kode eller have nogen tidligere ML-erfaring.
For at muliggøre agilitet for de nye brugere og samtidig sikre sikkerheden i miljøerne, har mange virksomheder valgt at anvende single sign-on teknologi, som f.eks. AWS Single Sign-On. AWS SSO er en cloud-baseret single sign-on-tjeneste, der gør det nemt at administrere SSO-adgang centralt til alle dine AWS-konti og cloud-applikationer. Den inkluderer en brugerportal, hvor slutbrugere kan finde og få adgang til alle deres tildelte AWS-konti og cloud-applikationer på ét sted, inklusive brugerdefinerede applikationer, der understøtter SAML (Security Assertion Markup Language) 2.0.
I dette indlæg leder vi dig gennem de nødvendige trin for at konfigurere Canvas som en tilpasset SAML 2.0-applikation i AWS SSO, så dine virksomhedsanalytikere problemfrit kan få adgang til Canvas med deres legitimationsoplysninger fra AWS SSO eller andre eksisterende identitetsudbydere (IdP'er) uden skal gøre det via AWS Management Console.
Løsningsoversigt
For at etablere en forbindelse fra AWS SSO til Amazon SageMaker Studio domæne-app, skal du udføre følgende trin:
- Opret en brugerprofil i Studio for hver AWS SSO-bruger, der skal have adgang til Canvas.
- Opret en tilpasset SAML 2.0-applikation i AWS SSO og tildel den til brugerne.
- Opret det nødvendige AWS identitets- og adgangsstyring (IAM) SAML-udbyder og AWS SSO-rolle.
- Kortlæg den nødvendige information fra AWS SSO til SageMaker-domænet via attributkortlægninger.
- Få adgang til Canvas-applikationen fra AWS SSO.
Forudsætninger
For at forbinde Canvas til AWS SSO skal du have følgende forudsætninger opsat:
- AWS SSO i en af de understøttede AWS-regioner. For instruktioner, se Kom godt i gang.
- Et SageMaker-domæne, der bruger IAM. For instruktioner, se Ombord på Amazon SageMaker-domæne ved hjælp af IAM.
Opret en Studio-domænebrugerprofil
I et Studio-domæne har hver bruger deres egen brugerprofil. Studio-apps som Studio IDE, RStudio og Canvas kan oprettes af disse brugerprofiler og er bundet til den brugerprofil, der har oprettet dem.
For at AWS SSO kan få adgang til Canvas-appen for en given brugerprofil, skal du knytte brugerprofilnavnet til brugernavnet i AWS SSO. På denne måde kan AWS SSO-brugernavnet – og dermed brugerprofilens navn – overføres automatisk af AWS SSO til Canvas.
I dette indlæg antager vi, at AWS SSO-brugere allerede er tilgængelige, oprettet under forudsætningerne for onboarding til AWS SSO. Du skal bruge en brugerprofil for hver AWS SSO-bruger, som du ønsker at integrere på dit Studio-domæne og derfor på Canvas.
For at hente disse oplysninger skal du navigere til Brugere side på AWS SSO-konsollen. Her kan du se brugernavnet på din bruger, i vores tilfælde davide-gallitelli
.
Med disse oplysninger kan du nu gå til dit Studio-domæne og oprette en ny brugerprofil, der hedder nøjagtigt davide-gallitelli
.
Hvis du har en anden IdP, kan du bruge enhver information fra den til at navngive din brugerprofil, så længe den er unik for dit domæne. Bare sørg for at kortlægge det korrekt iflg AWS SSO-attributkortlægning.
Opret den tilpassede SAML 2.0-applikation i AWS SSO
Det næste trin er at oprette en tilpasset SAML 2.0-applikation i AWS SSO.
- På AWS SSO-konsollen skal du vælge Applikationer i navigationsruden.
- Vælg Tilføj en ny applikation.
- Vælg Tilføj en tilpasset SAML 2.0-applikation.
- Download AWS SSO SAML-metadatafilen, som du bruger under IAM-konfigurationen.
- Til Visningsnavn, indtast et navn, som f.eks
SageMaker Canvas
efterfulgt af din region. - Til Beskrivelse, indtast en valgfri beskrivelse.
- Til Appens start-URL, lad være som den er.
- Til Relætilstand, gå ind
https://YOUR-REGION.console.aws.amazon.com/sagemaker/home?region=YOUR-REGION#/studio/canvas/open/YOUR-STUDIO-DOMAIN-ID
. - Til Sessionens varighed, vælg din sessionsvarighed. Vi foreslår 8 timer.
Sessionens varighed værdi repræsenterer den tid, du ønsker, at brugersessionen skal vare, før der kræves godkendelse igen. En time er den mest sikre, mens mere tid betyder mindre behov for interaktion. Vi vælger i dette tilfælde 8 timer svarende til én arbejdsdag. - Til Applikations ACS URL, indtast https://signin.aws.amazon.com/saml.
- Til Application SAML-publikum, gå ind
urn:amazon:webservices
.
Når dine indstillinger er gemt, skal din applikationskonfiguration ligne følgende skærmbillede.
Du kan nu tildele dine brugere til denne applikation, så applikationen vises i deres AWS SSO-portal efter login. - På Tildelte brugere fanebladet, vælg Tildel brugere.
- Vælg dine brugere.
Hvis du valgfrit vil gøre det muligt for en masse dataforskere og forretningsanalytikere i din virksomhed at bruge Canvas, er den hurtigste og nemmeste måde at bruge AWS SSO-grupper. For at gøre det opretter vi to AWS SSO-grupper: business-analysts
, data-scientists
. Vi tildeler brugerne til disse grupper efter deres roller, og giver derefter adgang til applikationen til begge grupper.
Konfigurer din IAM SAML-udbyder og AWS SSO-rolle
For at konfigurere din IAM SAML-udbyder skal du udføre følgende trin:
- På IAM-konsollen skal du vælge Identitetsudbydere i navigationsruden.
- Vælg Tilføj udbyder.
- Til Udbyder type, Vælg SAML.
- Til Udbyderens navn, indtast et navn, som f.eks
AWS_SSO_Canvas
. - Upload det metadatadokument, du downloadede tidligere.
- Bemærk ARN, der skal bruges i et senere trin.
Vi skal også oprette en ny rolle, som AWS SSO kan bruge til at få adgang til applikationen. - På IAM-konsollen skal du vælge roller i navigationsruden.
- Vælg Opret rolle.
- Til Pålidelig enhedstype, Vælg SAML 2.0 forbund.
- Til SAML 2.0-baseret udbyder, vælg den udbyder du har oprettet (
AWS_SSO_Canvas
). - Vælg ikke nogen af de to SAML 2.0-adgangsmetoder.
- Til Attribut, vælg SAML:undertype.
- Til Værdi, gå ind
persistent
. - Vælg Næste.
Vi er nødt til at give AWS SSO tilladelse til at oprette en Studio-domæne foruddefineret URL, som vi skal bruge for at udføre omdirigeringen til Canvas. - På Tilladelsespolitikker side, vælg Lav politik.
- På Opret politikfane, vælg JSON og indtast følgende kode:
- Vælg Næste: Tags og giv tags, hvis det er nødvendigt.
- Vælg Næste: Anmeldelse.
- Navngiv f.eks. politikken
CanvasSSOPresignedURL
. - Vælg Lav politik.
- Tilbage til Tilføj tilladelser side og søg efter den politik, du har oprettet.
- Vælg politikken, og vælg derefter Næste.
- Navngiv rollen f.eks
AWS_SSO_Canvas_Role
, og giv en valgfri beskrivelse. - På gennemgangssiden skal du redigere tillidspolitikken, så den matcher følgende kode:
- Gem ændringerne, og vælg derefter Opret rolle.
- Bemærk også denne rolles ARN, som skal bruges i det følgende afsnit.
Konfigurer attributtilknytningerne i AWS SSO
Det sidste trin er at konfigurere attributtilknytningerne. De attributter, du kortlægger her, bliver en del af SAML-påstanden, der sendes til applikationen. Du kan vælge, hvilke brugerattributter i din applikation, der skal knyttes til tilsvarende brugerattributter i dit tilsluttede bibliotek. For mere information, se Attributkortlægninger.
- På AWS SSO-konsollen skal du navigere til den applikation, du har oprettet.
- På Attributkortlægninger fanen, skal du konfigurere følgende tilknytninger:
Brugerattribut i applikationen | Maps til denne strengværdi eller brugerattribut i AWS SSO |
Subject |
${user:email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName |
${user:email} |
https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName |
${user:subject} |
https://aws.amazon.com/SAML/Attributes/Role |
, |
Du er færdig!
Få adgang til Canvas-applikationen fra AWS SSO
På AWS SSO-konsollen skal du notere brugerportalens URL. Vi foreslår, at du først logger ud af din AWS-konto eller åbner et inkognitobrowservindue. Naviger til brugerportalens URL, log ind med de legitimationsoplysninger, du har angivet for AWS SSO-brugeren, og vælg derefter din Canvas-applikation.
Du bliver automatisk omdirigeret til Canvas-applikationen.
Konklusion
I dette indlæg diskuterede vi en løsning, der gør det muligt for forretningsanalytikere at opleve no-code ML via Canvas på en sikker og samlet måde gennem en enkelt log-on-portal. For at gøre dette konfigurerede vi Canvas som en tilpasset SAML 2.0-applikation i AWS SSO. Forretningsanalytikere er nu et klik væk fra at bruge Canvas og løse nye udfordringer med no-code ML. Dette muliggør den sikkerhed, der er behov for af cloud-ingeniør- og sikkerhedsteams, samtidig med at det giver mulighed for smidighed og uafhængighed af forretningsanalytikere. En lignende proces kan replikeres i enhver IdP ved at reproducere disse trin og tilpasse dem til den specifikke SSO.
For at lære mere om Canvas, tjek ud Annoncering af Amazon SageMaker Canvas – en visuel, ingen kode maskinindlæringskapacitet for forretningsanalytikere. Canvas muliggør også nemt samarbejde med datavidenskabsteams. For at lære mere, se Byg, del, implementer: hvordan forretningsanalytikere og dataforskere opnår hurtigere time-to-market ved hjælp af no-code ML og Amazon SageMaker Canvas. For IT-administratorer foreslår vi at tjekke ud Opsætning og administration af Amazon SageMaker Canvas (til it-administratorer).
Om forfatteren
Davide Gallitelli er en Specialist Solutions Architect for AI/ML i EMEA-regionen. Han er baseret i Bruxelles og arbejder tæt sammen med kunder i hele Benelux. Han har været udvikler siden meget ung, og begyndte at kode i en alder af 7. Han begyndte at lære AI/ML i sine senere år på universitetet, og er blevet forelsket i det siden da.
- Coinsmart. Europas bedste Bitcoin og Crypto Exchange.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. FRI ADGANG.
- CryptoHawk. Altcoin radar. Gratis prøveversion.
- Kilde: https://aws.amazon.com/blogs/machine-learning/enable-business-analysts-to-access-amazon-sagemaker-canvas-without-using-the-aws-management-console-with-aws- sso/
- "
- 100
- 7
- a
- Om
- adgang
- Ifølge
- Konto
- præcis
- opnå
- Handling
- administratorer
- Alle
- tillade
- allerede
- Amazon
- beløb
- annoncerede
- En anden
- app
- Anvendelse
- applikationer
- apps
- tildelt
- attributter
- Godkendelse
- automatisk
- til rådighed
- AWS
- bliver
- før
- grænse
- browser
- Bruxelles
- bygge
- virksomhed
- canvas
- tilfælde
- udfordringer
- kontrol
- Vælg
- valgt
- Cloud
- kode
- samarbejde
- Virksomheder
- selskab
- fuldføre
- betingelse
- Konfiguration
- Tilslut
- tilsluttet
- tilslutning
- Konsol
- Tilsvarende
- skabe
- oprettet
- Legitimationsoplysninger
- skik
- kunde
- data
- datalogi
- dag
- indsætte
- Udvikler
- udviklere
- domæne
- ned
- i løbet af
- hver
- effekt
- muliggøre
- muliggør
- Engineering
- Ingeniører
- sikring
- Indtast
- enhed
- etablere
- præcist nok
- eksempel
- eksisterende
- erfaring
- hurtigere
- hurtigste
- Fornavn
- efter
- fra
- generere
- Gruppens
- have
- link.
- Hvordan
- HTTPS
- Identity
- omfatter
- Herunder
- stigende
- enkeltpersoner
- oplysninger
- interaktion
- grænseflade
- IT
- Sprog
- LÆR
- læring
- Forlade
- Lang
- Se
- kærlighed
- maskine
- machine learning
- lave
- maerker
- administrere
- ledelse
- styring
- kort
- Match
- midler
- metoder
- ML
- modeller
- mere
- mest
- Naviger
- Navigation
- nødvendig
- næste
- nummer
- onboarding
- åbent
- Andet
- egen
- del
- Mennesker
- Platforme
- politikker
- politik
- Portal
- Forudsigelser
- tidligere
- Main
- behandle
- Profil
- Profiler
- give
- forudsat
- udbyder
- udbydere
- nylige
- for nylig
- omdirigere
- region
- repræsenterer
- kræver
- påkrævet
- ressource
- gennemgå
- roller
- Videnskab
- forskere
- problemfrit
- Søg
- sikker
- Sikret
- sikkerhed
- tjeneste
- sæt
- Del
- lignende
- siden
- enkelt
- So
- solid
- løsninger
- Løsninger
- specialist
- specifikke
- starte
- påbegyndt
- Statement
- Studio
- support
- Understøttet
- hold
- Teknologier
- Teknologier
- derfor
- Gennem
- hele
- tid
- værktøjer
- Stol
- enestående
- universitet
- brug
- brugere
- værdi
- udgave
- mens
- inden for
- uden
- Arbejde
- virker
- skrivning
- år
- unge
- Din