Die IT hat sich in den letzten Jahren weiterentwickelt: Dank Low-Code- und No-Code-Technologien (LCNC) benötigen immer mehr Menschen mit unterschiedlichem Hintergrund Zugriff auf Tools und Plattformen, die früher nur technisch versierten Personen im Unternehmen vorbehalten waren. wie Ingenieure oder Entwickler.
Von diesen LCNC-Technologien haben wir kürzlich angekündigt Amazon SageMaker-Leinwand, eine visuelle Point-and-Click-Oberfläche für Business-Analysten zum Erstellen von Modellen für maschinelles Lernen (ML) und zum Generieren genauer Vorhersagen, ohne Code zu schreiben oder vorherige ML-Erfahrung zu haben.
Um diesen neuen Benutzern Agilität zu ermöglichen und gleichzeitig die Sicherheit der Umgebungen zu gewährleisten, haben sich viele Unternehmen für die Einführung von Single-Sign-On-Technologien entschieden, wie z AWS-Einzelanmeldung. AWS SSO ist ein Cloud-basierter Single-Sign-On-Service, mit dem Sie den SSO-Zugriff auf alle Ihre AWS-Konten und Cloud-Anwendungen einfach zentral verwalten können. Es umfasst ein Benutzerportal, in dem Endbenutzer alle ihnen zugewiesenen AWS-Konten und Cloud-Anwendungen an einem Ort finden und darauf zugreifen können, einschließlich benutzerdefinierter Anwendungen, die Security Assertion Markup Language (SAML) 2.0 unterstützen.
In diesem Beitrag führen wir Sie durch die notwendigen Schritte, um Canvas als benutzerdefinierte SAML 2.0-Anwendung in AWS SSO zu konfigurieren, damit Ihre Geschäftsanalysten nahtlos mit ihren Anmeldeinformationen von AWS SSO oder anderen vorhandenen Identitätsanbietern (IdPs) auf Canvas zugreifen können, ohne die müssen Sie dies über die tun AWS-Managementkonsole.
Lösungsüberblick
Um eine Verbindung von AWS SSO zum Amazon SageMaker-Studio Domain-App müssen Sie die folgenden Schritte ausführen:
- Erstellen Sie ein Benutzerprofil in Studio für jeden AWS SSO-Benutzer, der auf Canvas zugreifen soll.
- Erstellen Sie eine benutzerdefinierte SAML 2.0-Anwendung in AWS SSO und weisen Sie sie den Benutzern zu.
- Erstellen Sie das Notwendige AWS Identity and Access Management and (IAM) SAML-Anbieter und AWS-SSO-Rolle.
- Ordnen Sie die erforderlichen Informationen von AWS SSO über Attributzuordnungen der SageMaker-Domäne zu.
- Greifen Sie über AWS SSO auf die Canvas-Anwendung zu.
Voraussetzungen:
Um Canvas mit AWS SSO zu verbinden, müssen Sie die folgenden Voraussetzungen eingerichtet haben:
- AWS SSO in einer der unterstützten AWS-Regionen. Anweisungen finden Sie unter Erste Schritte.
- Eine SageMaker-Domäne, die IAM verwendet. Anweisungen finden Sie unter Integrieren in die Amazon SageMaker-Domäne mit IAM.
Erstellen Sie ein Benutzerprofil für die Studio-Domäne
In einer Studio-Domäne hat jeder Benutzer sein eigenes Benutzerprofil. Studio-Apps wie Studio IDE, RStudio und Canvas können von diesen Benutzerprofilen erstellt werden und sind an das Benutzerprofil gebunden, das sie erstellt hat.
Damit AWS SSO für ein bestimmtes Benutzerprofil auf die Canvas-App zugreifen kann, müssen Sie den Benutzerprofilnamen dem Benutzernamen in AWS SSO zuordnen. Auf diese Weise kann der AWS SSO-Benutzername – und damit der Benutzerprofilname – automatisch von AWS SSO an Canvas übergeben werden.
In diesem Beitrag gehen wir davon aus, dass bereits AWS SSO-Benutzer verfügbar sind, die während der Voraussetzungen für das Onboarding bei AWS SSO erstellt wurden. Sie benötigen ein Benutzerprofil für jeden AWS SSO-Benutzer, den Sie in Ihre Studio-Domäne und damit in Canvas integrieren möchten.
Um diese Informationen abzurufen, navigieren Sie zu Nutzer Seite auf der AWS SSO-Konsole. Hier sehen Sie in unserem Fall den Benutzernamen Ihres Benutzers davide-gallitelli
.
Mit diesen Informationen können Sie nun zu Ihrer Studio-Domain gehen und ein neues Benutzerprofil mit dem Namen „exact“ erstellen davide-gallitelli
.
Wenn Sie einen anderen IdP haben, können Sie alle von ihm bereitgestellten Informationen verwenden, um Ihr Benutzerprofil zu benennen, solange sie für Ihre Domäne eindeutig sind. Stellen Sie nur sicher, dass Sie es richtig zuordnen AWS SSO-Attributzuordnung.
Erstellen Sie die benutzerdefinierte SAML 2.0-Anwendung in AWS SSO
Der nächste Schritt besteht darin, eine benutzerdefinierte SAML 2.0-Anwendung in AWS SSO zu erstellen.
- Wählen Sie in der AWS SSO-Konsole aus Anwendungen im Navigationsbereich.
- Auswählen Fügen Sie eine neue Anwendung hinzu.
- Auswählen
Fügen Sie eine benutzerdefinierte SAML 2.0-Anwendung hinzu.
- Laden Sie die AWS SSO SAML-Metadatendatei herunter, die Sie während der IAM-Konfiguration verwenden.
- Aussichten für Angezeigter NameGeben Sie einen Namen ein, z
SageMaker Canvas
gefolgt von Ihrer Region. - Aussichten für BeschreibungGeben Sie eine optionale Beschreibung ein.
- Aussichten für Start-URL der Anwendung, Lass es wie es ist.
- Aussichten für Relaiszustand, eingeben
https://YOUR-REGION.console.aws.amazon.com/sagemaker/home?region=YOUR-REGION#/studio/canvas/open/YOUR-STUDIO-DOMAIN-ID
. - Aussichten für Sitzungsdauer, wählen Sie Ihre Sitzungsdauer. Wir empfehlen 8 Stunden.
Das Sitzungsdauer Der Wert stellt die Zeitspanne dar, die die Benutzersitzung dauern soll, bevor eine erneute Authentifizierung erforderlich ist. Eine Stunde ist am sichersten, während mehr Zeit weniger Interaktionsbedarf bedeutet. Wir wählen in diesem Fall 8 Stunden, was einem Arbeitstag entspricht. - Aussichten für ACS-URL der Anwendung, geben Sie https://signin.aws.amazon.com/saml ein.
- Aussichten für Anwendungs-SAML-Zielgruppe, eingeben
urn:amazon:webservices
.
Nachdem Ihre Einstellungen gespeichert wurden, sollte Ihre Anwendungskonfiguration ähnlich wie im folgenden Screenshot aussehen.
Sie können nun Ihre Benutzer dieser Anwendung zuweisen, sodass die Anwendung nach der Anmeldung in deren AWS SSO-Portal erscheint. - Auf dem Zugewiesene Benutzer Tab, wählen Sie Benutzer zuweisen.
- Wählen Sie Ihre Benutzer aus.
Wenn Sie optional vielen Datenwissenschaftlern und Geschäftsanalysten in Ihrem Unternehmen die Verwendung von Canvas ermöglichen möchten, ist der schnellste und einfachste Weg die Verwendung von AWS SSO-Gruppen. Dazu erstellen wir zwei AWS SSO-Gruppen: business-analysts
und data-scientists
. Wir ordnen die Benutzer diesen Gruppen gemäß ihrer Rollen zu und gewähren dann beiden Gruppen Zugriff auf die Anwendung.
Konfigurieren Sie Ihren IAM-SAML-Anbieter und Ihre AWS-SSO-Rolle
Führen Sie die folgenden Schritte aus, um Ihren IAM-SAML-Anbieter zu konfigurieren:
- Wählen Sie in der IAM-Konsole Identitätsanbieter im Navigationsbereich.
- Auswählen Anbieter hinzufügen.
- Aussichten für AnbietertypWählen SAML.
- Aussichten für AnbieternameGeben Sie einen Namen ein, z
AWS_SSO_Canvas
. - Laden Sie das zuvor heruntergeladene Metadatendokument hoch.
- Notieren Sie sich den ARN, der in einem späteren Schritt verwendet werden soll.
Wir müssen auch eine neue Rolle für AWS SSO erstellen, um auf die Anwendung zuzugreifen. - Wählen Sie in der IAM-Konsole Rollen im Navigationsbereich.
- Auswählen Rolle erstellen.
- Aussichten für Vertrauenswürdiger EntitätstypWählen SAML 2.0-Verbund.
- Aussichten für SAML 2.0-basierter Anbieter, wählen Sie den von Ihnen erstellten Anbieter (
AWS_SSO_Canvas
). - Wählen Sie keine der beiden SAML 2.0-Zugriffsmethoden aus.
- Aussichten für Attribut, wählen SAML:sub_type.
- Aussichten für Wert, eingeben
persistent
. - Auswählen
Weiter.
Wir müssen AWS SSO die Berechtigung erteilen, eine vorsignierte URL für die Studio-Domäne zu erstellen, die wir für die Umleitung zu Canvas benötigen. - Auf dem Berechtigungsrichtlinien Seite wählen Richtlinie erstellen.
- Auf dem Registerkarte Richtlinie erstellen, wählen JSON und geben Sie den folgenden Code ein:
- Auswählen Weiter: Schlagwörter und stellen Sie bei Bedarf Tags bereit.
- Auswählen Weiter: Rezension.
- Benennen Sie die Richtlinie beispielsweise
CanvasSSOPresignedURL
. - Auswählen Richtlinie erstellen.
- Gehe zurück zum Berechtigungen hinzufügen Seite und suchen Sie nach der Richtlinie, die Sie erstellt haben.
- Wählen Sie die Richtlinie aus, und wählen Sie dann aus Weiter.
- Benennen Sie beispielsweise die Rolle
AWS_SSO_Canvas_Role
, und geben Sie eine optionale Beschreibung ein. - Bearbeiten Sie auf der Überprüfungsseite die Vertrauensrichtlinie so, dass sie dem folgenden Code entspricht:
- Speichern Sie die Änderungen und wählen Sie dann Rolle erstellen.
- Beachten Sie auch den ARN dieser Rolle, der im folgenden Abschnitt verwendet werden soll.
Konfigurieren Sie die Attributzuordnungen in AWS SSO
Der letzte Schritt besteht darin, die Attributzuordnungen zu konfigurieren. Die Attribute, die Sie hier zuordnen, werden Teil der SAML-Assertion, die an die Anwendung gesendet wird. Sie können auswählen, welche Benutzerattribute in Ihrer Anwendung entsprechenden Benutzerattributen in Ihrem verbundenen Verzeichnis zugeordnet werden. Weitere Informationen finden Sie unter Attributzuordnungen.
- Navigieren Sie in der AWS SSO-Konsole zu der von Ihnen erstellten Anwendung.
- Auf dem Attributzuordnungen Konfigurieren Sie auf der Registerkarte die folgenden Zuordnungen:
Benutzerattribut in der Anwendung | Wird diesem Zeichenfolgenwert oder Benutzerattribut in AWS SSO zugeordnet |
Subject |
${user:email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName |
${user:email} |
https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName |
${user:subject} |
https://aws.amazon.com/SAML/Attributes/Role |
, |
Sie sind fertig!
Greifen Sie über AWS SSO auf die Canvas-Anwendung zu
Notieren Sie sich in der AWS SSO-Konsole die Benutzerportal-URL. Wir empfehlen Ihnen, sich zuerst von Ihrem AWS-Konto abzumelden oder ein Inkognito-Browserfenster zu öffnen. Navigieren Sie zur URL des Benutzerportals, melden Sie sich mit den Anmeldeinformationen an, die Sie für den AWS SSO-Benutzer festgelegt haben, und wählen Sie dann Ihre Canvas-Anwendung aus.
Sie werden automatisch zur Canvas-Anwendung weitergeleitet.
Zusammenfassung
In diesem Beitrag haben wir eine Lösung besprochen, die es Geschäftsanalysten ermöglicht, No-Code-ML über Canvas auf sichere und einheitliche Weise über ein Single-Sign-On-Portal zu erleben. Dazu haben wir Canvas als benutzerdefinierte SAML 2.0-Anwendung innerhalb von AWS SSO konfiguriert. Business-Analysten sind jetzt nur noch einen Klick davon entfernt, Canvas zu verwenden und neue Herausforderungen mit No-Code-ML zu lösen. Dies ermöglicht die Sicherheit, die von Cloud-Engineering- und Sicherheitsteams benötigt wird, und ermöglicht gleichzeitig die Agilität und Unabhängigkeit von Business-Analystenteams. Ein ähnlicher Prozess kann in jedem IdP repliziert werden, indem diese Schritte reproduziert und an das spezifische SSO angepasst werden.
Weitere Informationen zu Canvas finden Sie unter Ankündigung von Amazon SageMaker Canvas – eine visuelle maschinelle Lernfunktion ohne Code für Business-Analysten. Canvas ermöglicht auch eine einfache Zusammenarbeit mit Data-Science-Teams. Weitere Informationen finden Sie unter Build, Share, Deploy: Wie Business-Analysten und Data Scientists mit No-Code-ML und Amazon SageMaker Canvas eine schnellere Markteinführung erreichen. Für IT-Administratoren empfehlen wir das Auschecken Einrichten und Verwalten von Amazon SageMaker Canvas (für IT-Administratoren).
Über den Autor
David Gallitelli ist ein Specialist Solutions Architect für AI/ML in der EMEA-Region. Er hat seinen Sitz in Brüssel und arbeitet eng mit Kunden in den Benelux-Ländern zusammen. Er ist seit sehr jungen Jahren Entwickler und begann im Alter von 7 Jahren mit dem Programmieren. In seinen späteren Jahren an der Universität begann er, KI/ML zu lernen, und hat sich seitdem darin verliebt.
- Coinsmart. Europas beste Bitcoin- und Krypto-Börse.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. DEN FREIEN ZUGANG.
- CryptoHawk. Altcoin-Radar. Kostenlose Testphase.
- Quelle: https://aws.amazon.com/blogs/machine-learning/enable-business-analysts-to-access-amazon-sagemaker-canvas-without-using-the-aws-management-console-with-aws- auch/
- "
- 100
- 7
- a
- Über uns
- Zugang
- Nach
- Konto
- genau
- Erreichen
- Action
- Administratoren
- Alle
- Zulassen
- bereits
- Amazon
- Betrag
- angekündigt
- Ein anderer
- App
- Anwendung
- Anwendungen
- Apps
- zugewiesen
- Attribute
- Authentifizierung
- Im Prinzip so, wie Sie es von Google Maps kennen.
- verfügbar
- AWS
- werden
- Bevor
- Grenze
- Browser
- Brüssel
- bauen
- Geschäft
- Leinwand
- Häuser
- Herausforderungen
- Überprüfung
- Auswählen
- gewählt
- Cloud
- Code
- Zusammenarbeit
- Unternehmen
- Unternehmen
- abschließen
- Zustand
- Konfiguration
- Vernetz Dich
- Sie
- Verbindung
- Konsul (Console)
- Dazugehörigen
- erstellen
- erstellt
- Referenzen
- Original
- Kunde
- technische Daten
- Datenwissenschaft
- Tag
- einsetzen
- Entwickler:in / Unternehmen
- Entwickler
- Domain
- nach unten
- im
- jeder
- bewirken
- ermöglichen
- ermöglicht
- Entwicklung
- Ingenieure
- Gewährleistung
- Enter
- Einheit
- etablieren
- genau
- Beispiel
- vorhandenen
- ERFAHRUNGEN
- beschleunigt
- schnellsten
- Vorname
- Folgende
- für
- erzeugen
- Gruppen
- mit
- hier
- Ultraschall
- HTTPS
- Identitätsschutz
- Dazu gehören
- Einschließlich
- zunehmend
- Einzelpersonen
- Information
- Interaktion
- Schnittstelle
- IT
- Sprache
- LERNEN
- lernen
- Verlassen
- Lang
- aussehen
- ich liebe
- Maschine
- Maschinelles Lernen
- um
- MACHT
- verwalten
- Management
- flächendeckende Gesundheitsprogramme
- Karte
- Spiel
- Mittel
- Methoden
- ML
- für
- mehr
- vor allem warme
- Navigieren
- Navigation
- notwendig,
- weiter
- Anzahl
- Einsteigen
- XNUMXh geöffnet
- Andere
- besitzen
- Teil
- Personen
- Plattformen
- Politik durchzulesen
- Datenschutzrichtlinien
- Portal
- Prognosen
- früher
- Principal
- Prozessdefinierung
- Profil
- Profil
- die
- vorausgesetzt
- Versorger
- Anbieter
- kürzlich
- kürzlich
- umleiten
- Region
- representiert
- erfordern
- falls angefordert
- Ressourcen
- Überprüfen
- Rollen
- Wissenschaft
- Wissenschaftler
- nahtlos
- Suche
- Verbindung
- Gesicherte
- Sicherheitdienst
- kompensieren
- Teilen
- ähnlich
- da
- Single
- So
- solide
- Lösung
- Lösungen
- Spezialist
- spezifisch
- Anfang
- begonnen
- Erklärung
- Studio Adressen
- Support
- Unterstützte
- Teams
- Technologies
- Technologie
- Das
- deswegen
- Durch
- während
- Zeit
- Werkzeuge
- Vertrauen
- einzigartiges
- Universität
- -
- Nutzer
- Wert
- Version
- während
- .
- ohne
- Arbeiten
- Werk
- Schreiben
- Jahr
- jung
- Ihr