ה-IT התפתח בשנים האחרונות: הודות לטכנולוגיות דל קוד וללא קוד (LCNC), מספר הולך וגדל של אנשים עם רקע שונה דורשים גישה לכלים ופלטפורמות שבעבר היו זכותם של אנשים בעלי ידע טכנולוגי יותר בחברה, כמו מהנדסים או מפתחים.
מתוך אותן טכנולוגיות LCNC, הכרזנו לאחרונה אמזון SageMaker Canvas, ממשק חזותי של הצבע ולחיצה עבור אנליסטים עסקיים לבניית מודלים של למידת מכונה (ML) ויצירת תחזיות מדויקות ללא כתיבת קוד או ניסיון קודם ב-ML.
כדי לאפשר זריזות עבור אותם משתמשים חדשים תוך הבטחת אבטחת הסביבות, חברות רבות בחרו לאמץ טכנולוגיית כניסה יחידה, כגון כניסה יחידה של AWS. AWS SSO הוא שירות כניסה יחיד מבוסס ענן המקל על ניהול מרכזי של גישת SSO לכל חשבונות AWS ויישומי הענן שלך. הוא כולל פורטל משתמש שבו משתמשי קצה יכולים למצוא ולגשת לכל חשבונות ה-AWS ויישומי הענן שהוקצו להם במקום אחד, כולל יישומים מותאמים אישית התומכים בשפת Security Assertion Markup (SAML) 2.0.
בפוסט זה, אנו מדריכים אותך לאורך השלבים הדרושים להגדרת Canvas כיישום SAML 2.0 מותאם אישית ב-AWS SSO, כך שהאנליסטים העסקיים שלך יוכלו לגשת בצורה חלקה ל-Canvas עם האישורים שלהם מ-AWS SSO או מספקי זהות קיימים אחרים (IdPs), ללא צריך לעשות זאת דרך קונסולת הניהול של AWS.
סקירת פתרונות
כדי ליצור חיבור מ-AWS SSO ל- סטודיו SageMaker של אמזון אפליקציית דומיין, עליך לבצע את השלבים הבאים:
- צור פרופיל משתמש בסטודיו עבור כל משתמש AWS SSO שצריך לגשת ל-Canvas.
- צור יישום SAML 2.0 מותאם אישית ב-AWS SSO והקצה אותו למשתמשים.
- צור את הדרוש AWS זהות וניהול גישה (IAM) ספק SAML ותפקיד AWS SSO.
- מפה את המידע הדרוש מ-AWS SSO לתחום SageMaker באמצעות מיפוי תכונות.
- גש לאפליקציית Canvas מ-AWS SSO.
תנאים מוקדמים
כדי לחבר את Canvas ל-AWS SSO, עליך להגדיר את התנאים המוקדמים הבאים:
- AWS SSO באחד מאזורי ה-AWS הנתמכים. להנחיות, עיין ב תחילת עבודה.
- דומיין של SageMaker באמצעות IAM. להנחיות, עיין ב נכלל ב-Amazon SageMaker Domain באמצעות IAM.
צור פרופיל משתמש בדומיין Studio
בדומיין של Studio, לכל משתמש יש פרופיל משתמש משלו. אפליקציות סטודיו כמו Studio IDE, RStudio ו-Canvas יכולות להיווצר על ידי פרופילי משתמש אלו, והן קשורות לפרופיל המשתמש שיצר אותם.
כדי ש-AWS SSO תוכל לגשת לאפליקציית Canvas עבור פרופיל משתמש נתון, עליך למפות את שם פרופיל המשתמש לשם המשתמש ב-AWS SSO. בדרך זו, שם המשתמש של AWS SSO - ולפיכך שם פרופיל המשתמש - יכול לעבור אוטומטית על ידי AWS SSO ל-Canvas.
בפוסט זה, אנו מניחים שמשתמשי AWS SSO כבר זמינים, שנוצרו במהלך התנאים המוקדמים לכניסה ל-AWS SSO. אתה צריך פרופיל משתמש עבור כל משתמש AWS SSO שברצונך להכניס לדומיין הסטודיו שלך ולכן ל-Canvas.
כדי לאחזר מידע זה, נווט אל משתמש עמוד במסוף AWS SSO. כאן תוכל לראות את שם המשתמש של המשתמש שלך, במקרה שלנו davide-gallitelli
.
עם המידע הזה, אתה יכול כעת לעבור לדומיין Studio שלך וליצור פרופיל משתמש חדש בשם בדיוק davide-gallitelli
.
אם יש לך IdP אחר, אתה יכול להשתמש בכל מידע שסופק על ידו כדי לתת שם לפרופיל המשתמש שלך, כל עוד הוא ייחודי לדומיין שלך. רק תוודא שאתה ממפה את זה נכון לפי מיפוי תכונות AWS SSO.
צור את אפליקציית SAML 2.0 המותאמת אישית ב-AWS SSO
השלב הבא הוא יצירת יישום SAML 2.0 מותאם אישית ב-AWS SSO.
- במסוף AWS SSO, בחר יישומים בחלונית הניווט.
- בחרו הוסף אפליקציה חדשה.
- בחרו הוסף יישום SAML 2.0 מותאם אישית.
- הורד את קובץ המטא נתונים של AWS SSO SAML, שבו אתה משתמש במהלך תצורת IAM.
- בעד הצג שם, הזן שם, כגון
SageMaker Canvas
ואחריו האזור שלך. - בעד תיאור, הזן תיאור אופציונלי.
- בעד כתובת האתר להתחלה של האפליקציה, השאר כפי שהוא.
- בעד מצב ממסר, להיכנס
https://YOUR-REGION.console.aws.amazon.com/sagemaker/home?region=YOUR-REGION#/studio/canvas/open/YOUR-STUDIO-DOMAIN-ID
. - בעד משך הפגישה, בחר את משך ההפעלה שלך. אנו מציעים 8 שעות.
השמיים משך הפגישה הערך מייצג את משך הזמן שאתה רוצה שההפעלה של המשתמש תימשך לפני שיידרש שוב אימות. שעה אחת היא המאובטחת ביותר, בעוד זמן רב יותר פירושו פחות צורך באינטראקציה. אנו בוחרים 8 שעות במקרה זה, שווה ערך ליום עבודה אחד. - בעד כתובת URL של יישום ACS, הזן https://signin.aws.amazon.com/saml.
- בעד קהל SAML של אפליקציה, להיכנס
urn:amazon:webservices
.
לאחר שמירת ההגדרות שלך, תצורת היישום שלך אמורה להיראות דומה לצילום המסך הבא.
כעת תוכל להקצות את המשתמשים שלך ליישום זה, כך שהיישום יופיע בפורטל AWS SSO שלהם לאחר הכניסה. - על משתמשים שהוקצו בחר, בחר הקצה משתמשים.
- בחר את המשתמשים שלך.
לחלופין, אם אתה רוצה לאפשר להרבה מדעני נתונים ואנליסטים עסקיים בחברה שלך להשתמש ב-Canvas, הדרך המהירה והקלה ביותר היא להשתמש בקבוצות SSO של AWS. לשם כך, אנו יוצרים שתי קבוצות AWS SSO: business-analysts
ו data-scientists
. אנו מקצים את המשתמשים לקבוצות אלו בהתאם לתפקידיהם, ולאחר מכן נותנים גישה לאפליקציה לשתי הקבוצות.
הגדר את ספק IAM SAML ואת תפקיד AWS SSO שלך
כדי להגדיר את ספק IAM SAML שלך, בצע את השלבים הבאים:
- במסוף IAM בחר ספקי זהות בחלונית הניווט.
- בחרו הוסף ספק.
- בעד סוג ספק, בחר SAML.
- בעד שם הספק, הזן שם, כגון
AWS_SSO_Canvas
. - העלה את מסמך המטא נתונים שהורדת קודם לכן.
- שימו לב ל-ARN לשימוש בשלב מאוחר יותר.
אנחנו גם צריכים ליצור תפקיד חדש עבור AWS SSO כדי להשתמש בו כדי לגשת לאפליקציה. - במסוף IAM בחר תפקידים בחלונית הניווט.
- בחרו צור תפקיד.
- בעד סוג ישות מהימנה, בחר פדרציית SAML 2.0.
- בעד ספק מבוסס SAML 2.0, בחר את הספק שיצרת (
AWS_SSO_Canvas
). - אל תבחר באחת משתי שיטות הגישה של SAML 2.0.
- בעד תְכוּנָה, בחר SAML:sub_type.
- בעד ערך, להיכנס
persistent
. - בחרו הַבָּא.
אנחנו צריכים לתת ל-AWS SSO את ההרשאה ליצור כתובת URL מוגדרת מראש של דומיין Studio, שאותה אנחנו צריכים כדי לבצע את ההפניה מחדש ל-Canvas. - על מדיניות הרשאות עמוד, בחר צור מדיניות.
- על צור כרטיסיית מדיניות, בחר JSON והזן את הקוד הבא:
- בחרו הבא: תגים ולספק תגים במידת הצורך.
- בחרו הבא: סקירה.
- תן שם למדיניות, למשל
CanvasSSOPresignedURL
. - בחרו צור מדיניות.
- לחזור ל הוסף הרשאות דף וחפש את המדיניות שיצרת.
- בחר את המדיניות ולאחר מכן בחר הַבָּא.
- תן שם לתפקיד, למשל
AWS_SSO_Canvas_Role
, וספק תיאור אופציונלי. - בדף הסקירה, ערוך את מדיניות האמון כך שתתאים לקוד הבא:
- שמור את השינויים ולאחר מכן בחר צור תפקיד.
- שימו לב גם ל-ARN של תפקיד זה, לשימוש בסעיף הבא.
הגדר את מיפוי התכונות ב-AWS SSO
השלב האחרון הוא להגדיר את מיפוי התכונות. התכונות שאתה ממפה כאן הופכות לחלק מהצהרת SAML שנשלחת לאפליקציה. אתה יכול לבחור אילו תכונות משתמש באפליקציה שלך ממפות לתכונות משתמש מתאימות בספרייה המחוברת שלך. למידע נוסף, עיין ב מיפוי תכונות.
- במסוף AWS SSO, נווט אל האפליקציה שיצרת.
- על מיפוי תכונות הכרטיסייה, הגדר את המיפויים הבאים:
תכונת משתמש באפליקציה | ממפה לערך המחרוזת או לתכונת המשתמש הזו ב-AWS SSO |
Subject |
${user:email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName |
${user:email} |
https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName |
${user:subject} |
https://aws.amazon.com/SAML/Attributes/Role |
, |
אתה סיימת!
גש לאפליקציית Canvas מ-AWS SSO
במסוף AWS SSO, רשום את כתובת האתר של פורטל המשתמש. אנו ממליצים לך להתנתק מחשבון AWS שלך תחילה, או לפתוח חלון דפדפן גלישה בסתר. נווט אל כתובת האתר של פורטל המשתמש, התחבר עם האישורים שהגדרת עבור משתמש AWS SSO, ולאחר מכן בחר את אפליקציית ה-Canvas שלך.
אתה מופנה אוטומטית לאפליקציית Canvas.
סיכום
בפוסט זה, דנו בפתרון שיאפשר לאנליסטים עסקיים לחוות ML ללא קוד דרך Canvas בצורה מאובטחת ומאוחדת דרך פורטל כניסה יחידה. לשם כך, הגדרנו את Canvas כיישום SAML 2.0 מותאם אישית בתוך AWS SSO. אנליסטים עסקיים נמצאים כעת במרחק קליק אחד משימוש ב-Canvas ופתרון אתגרים חדשים עם ML ללא קוד. זה מאפשר את האבטחה הדרושה לצוותי הנדסת ענן ואבטחה, תוך מתן זריזות ועצמאות של צוותי אנליסטים עסקיים. ניתן לשכפל תהליך דומה בכל IdP על ידי שחזור שלבים אלה והתאמתם ל-SSO הספציפי.
למידע נוסף על Canvas, בדוק הכריזה על אמזון SageMaker Canvas - יכולת למידת מכונה חזותית ללא קוד עבור אנליסטים עסקיים. Canvas גם מאפשר שיתוף פעולה קל עם צוותי מדעי הנתונים. למידע נוסף, ראה בנה, שתף, פרוס: כיצד אנליסטים עסקיים ומדעני נתונים משיגים זמן הגעה מהיר יותר לשוק באמצעות ML ללא קוד ו-Amazon SageMaker Canvas. למנהלי IT, אנו מציעים לבצע צ'ק-אאוט הגדרה וניהול של Amazon SageMaker Canvas (עבור מנהלי IT).
על המחבר
דויד גליטלי הוא אדריכל פתרונות מומחה עבור AI/ML באזור EMEA. הוא מבוסס בבריסל ועובד בשיתוף פעולה הדוק עם לקוחות ברחבי בנלוקס. הוא מפתח מגיל צעיר מאוד, התחיל לקוד בגיל 7. הוא התחיל ללמוד AI/ML בשנותיו המאוחרות באוניברסיטה, ומאז התאהב בזה.
- Coinsmart. בורסת הביטקוין והקריפטו הטובה באירופה.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה חופשית.
- CryptoHawk. רדאר אלטקוין. ניסיון חינם.
- מקור: https://aws.amazon.com/blogs/machine-learning/enable-business-analysts-to-access-amazon-sagemaker-canvas-without-using-the-aws-management-console-with-aws- sso/
- "
- 100
- 7
- a
- אודות
- גישה
- פי
- חֶשְׁבּוֹן
- מדויק
- להשיג
- פעולה
- מנהלים
- תעשיות
- מאפשר
- כְּבָר
- אמזון בעברית
- כמות
- הודיע
- אחר
- האפליקציה
- בקשה
- יישומים
- אפליקציות
- שהוקצה
- תכונות
- אימות
- באופן אוטומטי
- זמין
- AWS
- להיות
- לפני
- גבול
- דפדפן
- בריסל
- לִבנוֹת
- עסקים
- בד
- מקרה
- האתגרים
- בדיקה
- בחרו
- נבחר
- ענן
- קוד
- שיתוף פעולה
- חברות
- חברה
- להשלים
- מצב
- תְצוּרָה
- לְחַבֵּר
- מחובר
- הקשר
- קונסול
- תוֹאֵם
- לִיצוֹר
- נוצר
- אישורים
- מנהג
- לקוח
- נתונים
- מדע נתונים
- יְוֹם
- לפרוס
- מפתח
- מפתחים
- תחום
- מטה
- בְּמַהֲלָך
- כל אחד
- השפעה
- לאפשר
- מאפשר
- הנדסה
- מהנדסים
- הבטחתי
- זן
- ישות
- להקים
- בדיוק
- דוגמה
- קיימים
- ניסיון
- מהר יותר
- המהיר ביותר
- ראשון
- הבא
- החל מ-
- ליצור
- קבוצה
- יש
- כאן
- איך
- HTTPS
- זהות
- כולל
- כולל
- גדל
- אנשים
- מידע
- אינטראקציה
- מִמְשָׁק
- IT
- שפה
- לִלמוֹד
- למידה
- יציאה
- ארוך
- נראה
- אהבה
- מכונה
- למידת מכונה
- לעשות
- עושה
- לנהל
- ניהול
- ניהול
- מַפָּה
- להתאים
- אומר
- שיטות
- ML
- מודלים
- יותר
- רוב
- נווט
- ניווט
- הכרחי
- הבא
- מספר
- Onboarding
- לפתוח
- אחר
- שֶׁלוֹ
- חלק
- אֲנָשִׁים
- פלטפורמות
- מדיניות
- מדיניות
- כניסה
- התחזיות
- קודם
- מנהל
- תהליך
- פּרוֹפִיל
- פרופילים
- לספק
- ובלבד
- ספק
- ספקים
- לאחרונה
- לאחרונה
- הפניה
- באזור
- מייצג
- לדרוש
- נדרש
- משאב
- סקירה
- תפקיד
- מדע
- מדענים
- בצורה חלקה
- חיפוש
- לבטח
- מְאוּבטָח
- אבטחה
- שרות
- סט
- שיתוף
- דומה
- since
- יחיד
- So
- מוצק
- פִּתָרוֹן
- פתרונות
- מומחה
- ספציפי
- התחלה
- החל
- הצהרה
- סטודיו
- תמיכה
- נתמך
- צוותי
- טכנולוגיות
- טכנולוגיה
- השמיים
- לכן
- דרך
- בכל
- זמן
- כלים
- סומך
- ייחודי
- אוניברסיטה
- להשתמש
- משתמשים
- ערך
- גרסה
- בזמן
- בתוך
- לְלֹא
- תיק עבודות
- עובד
- כתיבה
- שנים
- צעיר