ITは近年進化してきました。ローコードおよびノーコード(LCNC)テクノロジーのおかげで、さまざまなバックグラウンドを持つ人々の増加により、以前は社内のテクノロジーに精通した個人に特権を与えていたツールやプラットフォームにアクセスする必要があります。エンジニアや開発者など。
これらのLCNCテクノロジーのうち、最近発表したのは Amazon SageMaker キャンバス、ビジネスアナリストが機械学習(ML)モデルを構築し、コードを記述したりMLの経験がなくても正確な予測を生成するための、視覚的なポイントアンドクリックインターフェイス。
環境のセキュリティを確保しながら、これらの新規ユーザーの俊敏性を実現するために、多くの企業は、次のようなシングルサインオンテクノロジを採用することを選択しています。 AWSシングルサインオン。 AWS SSOは、クラウドベースのシングルサインオンサービスであり、すべてのAWSアカウントとクラウドアプリケーションへのSSOアクセスを一元管理するのが簡単です。 これには、エンドユーザーが割り当てられたすべてのAWSアカウントとクラウドアプリケーション(Security Assertion Markup Language(SAML)2.0をサポートするカスタムアプリケーションを含む)をXNUMXか所で見つけてアクセスできるユーザーポータルが含まれています。
この投稿では、CanvasをAWSSSOでカスタムSAML2.0アプリケーションとして構成するために必要な手順を説明します。これにより、ビジネスアナリストは、AWS SSOまたは他の既存のIDプロバイダー(IdP)からの資格情報を使用してCanvasにシームレスにアクセスできます。経由でそうする必要があります AWSマネジメントコンソール.
ソリューションの概要
AWSSSOから Amazon SageMakerスタジオ ドメインアプリの場合、次の手順を完了する必要があります。
- Canvasにアクセスする必要があるすべてのAWSSSOユーザーのユーザープロファイルをStudioで作成します。
- AWSSSOでカスタムSAML2.0アプリケーションを作成し、それをユーザーに割り当てます。
- 必要なものを作成する AWS IDおよびアクセス管理 (IAM)SAMLプロバイダーとAWSSSOの役割。
- 属性マッピングを介して、AWSSSOからSageMakerドメインに必要な情報をマッピングします。
- AWSSSOからCanvasアプリケーションにアクセスします。
前提条件
CanvasをAWSSSOに接続するには、次の前提条件を設定する必要があります。
- サポートされている AWS リージョンの XNUMX つでの AWS SSO。 手順については、を参照してください。 始める.
- IAM を使用する SageMaker ドメイン。 手順については、を参照してください。 IAMを使用してAmazonSageMakerドメインにオンボード.
Studioドメインのユーザープロファイルを作成する
Studioドメインでは、すべてのユーザーが独自のユーザープロファイルを持っています。 Studio IDE、RStudio、CanvasなどのStudioアプリは、これらのユーザープロファイルによって作成でき、それらを作成したユーザープロファイルにバインドされます。
AWS SSOが特定のユーザープロファイルのCanvasアプリにアクセスするには、ユーザープロファイル名をAWSSSOのユーザー名にマップする必要があります。 このようにして、AWS SSOユーザー名(したがってユーザープロファイル名)をAWSSSOからCanvasに自動的に渡すことができます。
この投稿では、AWSSSOへのオンボーディングの前提条件の間に作成されたAWSSSOユーザーがすでに利用可能であると想定しています。 Studioドメイン、つまりCanvasにオンボードするAWSSSOユーザーごとにユーザープロファイルが必要です。
この情報を取得するには、に移動します ユーザー AWSSSOコンソールのページ。 ここでは、ユーザーのユーザー名を確認できます。この場合は davide-gallitelli
.
この情報を使用して、Studioドメインに移動し、正確に呼ばれる新しいユーザープロファイルを作成できます。 davide-gallitelli
.
別のIdPがある場合は、ドメインに固有である限り、IdPから提供された情報を使用してユーザープロファイルに名前を付けることができます。 に従って正しくマップすることを確認してください AWSSSO属性マッピング.
AWSSSOでカスタムSAML2.0アプリケーションを作成します
次のステップは、AWSSSOでカスタムSAML2.0アプリケーションを作成することです。
- AWS SSOコンソールで、[ アプリケーション ナビゲーションペインに表示されます。
- 選択する 新しいアプリケーションを追加する.
- 選択する カスタムSAML2.0アプリケーションを追加する.
- IAM設定中に使用するAWSSSOSAMLメタデータファイルをダウンロードします。
- 表示名、次のような名前を入力します
SageMaker Canvas
続いてあなたの地域。 - 説明、オプションの説明を入力します。
- アプリケーション開始URL、そのままにしておきます。
- リレー状態、 入る
https://YOUR-REGION.console.aws.amazon.com/sagemaker/home?region=YOUR-REGION#/studio/canvas/open/YOUR-STUDIO-DOMAIN-ID
. - セッション期間、セッション期間を選択します。 8時間をお勧めします。
セッション期間 valueは、認証が再度必要になるまでにユーザーセッションを継続する時間を表します。 8時間が最も安全ですが、時間が長いほど対話の必要性が少なくなります。 この場合、XNUMX営業日に相当するXNUMX時間を選択します。 - アプリケーションACSURL、https://signin.aws.amazon.com/samlと入力します。
- アプリケーションSAMLオーディエンス、 入る
urn:amazon:webservices
.
設定を保存すると、アプリケーション構成は次のスクリーンショットのようになります。
これで、ユーザーをこのアプリケーションに割り当てることができるため、ログイン後にアプリケーションがAWSSSOポータルに表示されます。 - ソフトウェア設定ページで、下図のように 割り当てられたユーザー タブを選択 ユーザーを割り当てる.
- ユーザーを選択してください。
オプションで、社内の多くのデータサイエンティストやビジネスアナリストがCanvasを使用できるようにする場合、最も速くて簡単な方法はAWSSSOグループを使用することです。 そのために、XNUMXつのAWSSSOグループを作成します。 business-analysts
& data-scientists
。 ユーザーを役割に応じてこれらのグループに割り当て、両方のグループにアプリケーションへのアクセスを許可します。
IAMSAMLプロバイダーとAWSSSOロールを構成します
IAM SAMLプロバイダーを設定するには、次の手順を実行します。
- IAMコンソールで、 IDプロバイダー ナビゲーションペインに表示されます。
- 選択する プロバイダーを追加.
- プロバイダータイプ選択 SAML.
- プロバイダー名、次のような名前を入力します
AWS_SSO_Canvas
. - 以前にダウンロードしたメタデータドキュメントをアップロードします。
- 後のステップで使用するARNに注意してください。
また、AWSSSOがアプリケーションへのアクセスに使用する新しいロールを作成する必要があります。 - IAMコンソールで、 役割 ナビゲーションペインに表示されます。
- 選択する 役割を作成する.
- 信頼できるエンティティタイプ選択 SAML2.0フェデレーション.
- SAML2.0ベースのプロバイダー、作成したプロバイダーを選択します(
AWS_SSO_Canvas
). - 2.0つのSAMLXNUMXアクセス方法のどちらも選択しないでください。
- 属性、選択する SAML:sub_type.
- 値、 入る
persistent
. - 選択する Next.
AWS SSOにStudioドメインの事前署名されたURLを作成する権限を与える必要があります。これは、Canvasへのリダイレクトを実行するために必要です。 - ソフトウェア設定ページで、下図のように 権限ポリシー ページ、選択 ポリシーを作成する.
- ソフトウェア設定ページで、下図のように ポリシータブの作成、選択する JSONの 次のコードを入力します。
- 選択する 次へ:タグ 必要に応じてタグを付けます。
- 選択する 次へ:レビュー.
- たとえば、ポリシーに名前を付けます
CanvasSSOPresignedURL
. - 選択する ポリシーを作成する.
- に戻る 権限を追加 ページを開き、作成したポリシーを検索します。
- ポリシーを選択してから、 Next.
- たとえば、役割に名前を付けます
AWS_SSO_Canvas_Role
、およびオプションの説明を提供します。 - レビューページで、次のコードに一致するように信頼ポリシーを編集します。
- 変更を保存してから、 役割を作成する.
- 次のセクションで使用するこの役割のARNにも注意してください。
AWSSSOで属性マッピングを設定する
最後のステップは、属性マッピングを構成することです。 ここでマップする属性は、アプリケーションに送信されるSAMLアサーションの一部になります。 アプリケーション内のどのユーザー属性を、接続されたディレクトリ内の対応するユーザー属性にマップするかを選択できます。 詳細については、を参照してください。 属性マッピング.
- AWS SSOコンソールで、作成したアプリケーションに移動します。
- ソフトウェア設定ページで、下図のように 属性マッピング タブで、次のマッピングを構成します。
アプリケーションのユーザー属性 | AWSSSOのこの文字列値またはユーザー属性にマップします |
Subject |
${user:email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName |
${user:email} |
https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName |
${user:subject} |
https://aws.amazon.com/SAML/Attributes/Role |
, |
完了です!
AWSSSOからCanvasアプリケーションにアクセスします
AWS SSOコンソールで、ユーザーポータルのURLを書き留めます。 最初にAWSアカウントからログアウトするか、シークレットブラウザウィンドウを開くことをお勧めします。 ユーザーポータルのURLに移動し、AWS SSOユーザーに設定したクレデンシャルでログインしてから、Canvasアプリケーションを選択します。
Canvasアプリケーションに自動的にリダイレクトされます。
まとめ
この投稿では、ビジネスアナリストがシングルサインオンポータルを介して安全で統一された方法でCanvasを介してノーコードMLを体験できるようにするソリューションについて説明しました。 これを行うために、AWSSSO内でCanvasをカスタムSAML2.0アプリケーションとして構成しました。 ビジネスアナリストは、Canvasをワンクリックで使用し、ノーコードMLで新しい課題を解決することができます。 これにより、クラウドエンジニアリングおよびセキュリティチームが必要とするセキュリティが可能になると同時に、ビジネスアナリストチームの敏捷性と独立性が実現します。 これらの手順を再現し、特定のSSOに適合させることで、同様のプロセスを任意のIdPで複製できます。
Canvasの詳細については、チェックアウトしてください Amazon SageMaker Canvasの発表–ビジネスアナリスト向けの視覚的でノーコードの機械学習機能。 Canvasを使用すると、データサイエンスチームとのコラボレーションも簡単になります。 詳細については、を参照してください。 構築、共有、デプロイ:ビジネスアナリストとデータサイエンティストがノーコードMLとAmazonSageMakerCanvasを使用して市場投入までの時間を短縮する方法。 IT管理者の方は、チェックアウトすることをお勧めします Amazon SageMaker Canvasのセットアップと管理(IT管理者向け).
著者について
ダビデガリテッリ は、EMEA地域のAI/MLのスペシャリストソリューションアーキテクトです。 彼はブリュッセルを拠点とし、ベネルクス全体で顧客と緊密に協力しています。 彼は幼い頃から開発者であり、7歳でコーディングを始めました。彼は大学の晩年にAI / MLを学び始め、それ以来、AI/MLに夢中になっています。
- "
- 100
- 7
- a
- 私たちについて
- アクセス
- 従った
- 正確な
- 達成する
- Action
- 管理者
- すべて
- 許可
- 既に
- Amazon
- 量
- 発表の
- 別の
- アプリ
- 申し込み
- アプリ
- 割り当てられた
- 属性
- 認証
- 自動的に
- 利用できます
- AWS
- になる
- 国境
- ブラウザ
- ブリュッセル
- ビルド
- ビジネス
- キャンバス
- 場合
- 課題
- 点検
- 選択する
- 選ばれた
- クラウド
- コード
- 環境、テクノロジーを推奨
- 企業
- 会社
- コンプリート
- 条件
- お問合せ
- 交流
- 接続
- 領事
- 対応する
- 作ります
- 作成した
- Credentials
- カスタム
- 顧客
- データ
- データサイエンス
- 中
- 展開します
- Developer
- 開発者
- ドメイン
- ダウン
- 間に
- 各
- 効果
- enable
- 可能
- エンジニアリング
- エンジニア
- 確保する
- 入力します
- エンティティ
- 確立する
- 正確に
- 例
- 既存の
- 体験
- 速いです
- 最速
- 名
- フォロー中
- から
- 生成する
- グループの
- 持って
- こちら
- 認定条件
- HTTPS
- アイデンティティ
- 含ま
- 含めて
- の増加
- 個人
- 情報
- 相互作用
- インタフェース
- IT
- 言語
- LEARN
- 学習
- コメントを残す
- 長い
- 見て
- 愛
- 機械
- 機械学習
- make
- 作る
- 管理します
- 管理
- 管理する
- 地図
- 一致
- 手段
- メソッド
- ML
- モデル
- 他には?
- 最も
- ナビゲート
- ナビゲーション
- 必要
- 次の
- 数
- 新人研修
- 開いた
- その他
- 自分の
- 部
- のワークプ
- プラットフォーム
- ポリシー
- 方針
- ポータル
- 予測
- 前
- 校長
- プロセス
- プロフィール
- 対応プロファイル
- 提供します
- 提供
- プロバイダー
- プロバイダ
- 最近
- 最近
- リダイレクト
- 地域
- 表し
- 必要とする
- の提出が必要です
- リソースを追加する。
- レビュー
- 職種
- 科学
- 科学者たち
- シームレス
- を検索
- 安全に
- セキュア
- セキュリティ
- サービス
- セッションに
- シェアする
- 同様の
- から
- So
- 固体
- 溶液
- ソリューション
- 専門家
- 特定の
- start
- 開始
- ステートメント
- 研究
- サポート
- サポート
- チーム
- テクノロジー
- テクノロジー
- したがって、
- 介して
- 全体
- 時間
- 豊富なツール群
- 信頼
- ユニーク
- 大学
- つかいます
- users
- 値
- バージョン
- while
- 以内
- 無し
- 仕事
- 作品
- 書き込み
- 年
- 若い
- あなたの