IT ewoluowało w ostatnich latach: dzięki technologiom low-code i no-code (LCNC) coraz większa liczba osób o różnym pochodzeniu wymaga dostępu do narzędzi i platform, które wcześniej były przywilejem bardziej doświadczonych technologicznie osób w firmie, takich jak inżynierowie czy programiści.
Spośród tych technologii LCNC niedawno ogłosiliśmy Płótno Amazon SageMaker, wizualny interfejs typu „wskaż i kliknij” dla analityków biznesowych do tworzenia modeli uczenia maszynowego (ML) i generowania dokładnych prognoz bez pisania kodu lub wcześniejszego doświadczenia z ML.
Aby zapewnić elastyczność nowym użytkownikom przy jednoczesnym zapewnieniu bezpieczeństwa środowisk, wiele firm zdecydowało się na zastosowanie technologii pojedynczego logowania, na przykład Jednokrotne logowanie AWS. AWS SSO to oparta na chmurze usługa jednokrotnego logowania, która ułatwia centralne zarządzanie dostępem SSO do wszystkich kont AWS i aplikacji w chmurze. Obejmuje portal użytkowników, w którym użytkownicy końcowi mogą znaleźć i uzyskać dostęp do wszystkich przypisanych im kont AWS i aplikacji w chmurze w jednym miejscu, w tym aplikacji niestandardowych, które obsługują język SAML (Security Assertion Markup Language) 2.0.
W tym poście przeprowadzimy Cię przez niezbędne kroki, aby skonfigurować Canvas jako niestandardową aplikację SAML 2.0 w AWS SSO, tak aby analitycy biznesowi mogli bezproblemowo uzyskiwać dostęp do Canvas za pomocą swoich poświadczeń z AWS SSO lub innych istniejących dostawców tożsamości (IdPs), bez musisz to zrobić za pośrednictwem Konsola zarządzania AWS.
Omówienie rozwiązania
Aby nawiązać połączenie z AWS SSO do Studio Amazon SageMaker aplikacji domeny, musisz wykonać następujące czynności:
- Utwórz profil użytkownika w Studio dla każdego użytkownika logowania jednokrotnego AWS, który powinien uzyskać dostęp do Canvas.
- Utwórz niestandardową aplikację SAML 2.0 w AWS SSO i przypisz ją do użytkowników.
- Stwórz niezbędne AWS Zarządzanie tożsamością i dostępem (IAM) Dostawca SAML i rola logowania jednokrotnego AWS.
- Mapuj niezbędne informacje z AWS SSO do domeny SageMaker za pomocą mapowania atrybutów.
- Uzyskaj dostęp do aplikacji Canvas z AWS SSO.
Wymagania wstępne
Aby połączyć kanwę z logowaniem jednokrotnym AWS, musisz mieć skonfigurowane następujące wymagania wstępne:
- AWS SSO w jednym z obsługiwanych regionów AWS. Aby uzyskać instrukcje, patrz Pierwsze kroki.
- Domena SageMaker używająca IAM. Aby uzyskać instrukcje, patrz Włączenie do domeny Amazon SageMaker za pomocą IAM.
Utwórz profil użytkownika domeny Studio
W domenie Studio każdy użytkownik ma swój własny profil użytkownika. Aplikacje Studio, takie jak Studio IDE, RStudio i Canvas, mogą być tworzone przez te profile użytkowników i są powiązane z profilem użytkownika, który je utworzył.
Aby AWS SSO mogło uzyskać dostęp do aplikacji Canvas dla danego profilu użytkownika, musisz zmapować nazwę profilu użytkownika na nazwę użytkownika w AWS SSO. W ten sposób nazwa użytkownika AWS SSO — a zatem nazwa profilu użytkownika — może być automatycznie przekazywana przez AWS SSO do Canvas.
W tym poście zakładamy, że użytkownicy AWS SSO są już dostępni, utworzeni podczas warunków wstępnych dołączania do AWS SSO. Potrzebujesz profilu użytkownika dla każdego użytkownika logowania jednokrotnego AWS, którego chcesz dodać do domeny Studio, a tym samym do Canvas.
Aby pobrać te informacje, przejdź do użytkownicy w konsoli AWS SSO. Tutaj możesz zobaczyć nazwę użytkownika swojego użytkownika, w naszym przypadku davide-gallitelli
.
Mając te informacje, możesz teraz przejść do swojej domeny Studio i utworzyć nowy profil użytkownika o nazwie dokładnie davide-gallitelli
.
Jeśli masz innego dostawcę tożsamości, możesz użyć dowolnych dostarczonych przez niego informacji, aby nazwać swój profil użytkownika, o ile jest on unikalny dla Twojej domeny. Tylko upewnij się, że mapujesz go poprawnie zgodnie z Mapowanie atrybutów logowania jednokrotnego AWS.
Utwórz niestandardową aplikację SAML 2.0 w AWS SSO
Następnym krokiem jest utworzenie niestandardowej aplikacji SAML 2.0 w AWS SSO.
- W konsoli AWS SSO wybierz Konsultacje w okienku nawigacji.
- Dodaj Dodaj nową aplikację.
- Dodaj Dodaj niestandardową aplikację SAML 2.0.
- Pobierz plik metadanych AWS SSO SAML, którego używasz podczas konfiguracji uprawnień.
- W razie zamówieenia projektu Wyświetlana nazwa, wprowadź nazwę, na przykład
SageMaker Canvas
a następnie w Twoim regionie. - W razie zamówieenia projektu Opiswprowadź opcjonalny opis.
- W razie zamówieenia projektu URL początkowy aplikacji, pozostaw bez zmian.
- W razie zamówieenia projektu Stan przekaźnika, wchodzić
https://YOUR-REGION.console.aws.amazon.com/sagemaker/home?region=YOUR-REGION#/studio/canvas/open/YOUR-STUDIO-DOMAIN-ID
. - W razie zamówieenia projektu Czas trwania sesji, wybierz czas trwania sesji. Sugerujemy 8 godzin.
Połączenia Czas trwania sesji wartość reprezentuje czas, przez który sesja użytkownika ma trwać, zanim uwierzytelnianie będzie ponownie wymagane. Jedna godzina jest najbezpieczniejsza, a więcej czasu oznacza mniejszą potrzebę interakcji. Wybieramy w tym przypadku 8 godzin, co odpowiada jednemu dniu pracy. - W razie zamówieenia projektu Adres URL aplikacji ACS, wpisz https://signin.aws.amazon.com/saml.
- W razie zamówieenia projektu Odbiorcy aplikacji SAML, wchodzić
urn:amazon:webservices
.
Po zapisaniu ustawień konfiguracja aplikacji powinna wyglądać podobnie do poniższego zrzutu ekranu.
Możesz teraz przypisać swoich użytkowników do tej aplikacji, aby aplikacja pojawiła się w ich portalu AWS SSO po zalogowaniu. - Na Przypisani użytkownicy kartę, wybierz Przypisz użytkowników.
- Wybierz swoich użytkowników.
Opcjonalnie, jeśli chcesz umożliwić wielu analitykom danych i analitykom biznesowym w Twojej firmie korzystanie z Canvas, najszybszym i najłatwiejszym sposobem jest użycie grup AWS SSO. W tym celu tworzymy dwie grupy AWS SSO: business-analysts
i data-scientists
. Przypisujemy użytkowników do tych grup zgodnie z ich rolami, a następnie dajemy dostęp do aplikacji obu grupom.
Skonfiguruj dostawcę uprawnień SAML i rolę logowania jednokrotnego w AWS
Aby skonfigurować dostawcę uprawnień SAML, wykonaj następujące czynności:
- W konsoli IAM wybierz Dostawcy tożsamości w okienku nawigacji.
- Dodaj Dodaj dostawcę.
- W razie zamówieenia projektu Typ dostawcy, Wybierz SAML.
- W razie zamówieenia projektu Nazwa dostawcy, wprowadź nazwę, na przykład
AWS_SSO_Canvas
. - Prześlij pobrany wcześniej dokument metadanych.
- Zanotuj ARN, aby użyć go na późniejszym etapie.
Musimy również utworzyć nową rolę dla AWS SSO, aby uzyskać dostęp do aplikacji. - W konsoli IAM wybierz role w okienku nawigacji.
- Dodaj Utwórz rolę.
- W razie zamówieenia projektu Zaufany typ podmiotu, Wybierz Federacja SAML 2.0.
- W razie zamówieenia projektu Dostawca oparty na SAML 2.0, wybierz utworzonego dostawcę (
AWS_SSO_Canvas
). - Nie wybieraj żadnej z dwóch metod dostępu SAML 2.0.
- W razie zamówieenia projektu Atrybutwybierz SAML:pod_typ.
- W razie zamówieenia projektu wartość, wchodzić
persistent
. - Dodaj Następna.
Musimy przyznać jednokrotnemu logowaniu w AWS uprawnienia do utworzenia predefiniowanego adresu URL domeny Studio, którego potrzebujemy do wykonania przekierowania do Canvas. - Na Zasady uprawnień wybierz stronę Utwórz politykę.
- Na Utwórz kartę zasadwybierz JSON i wprowadź następujący kod:
- Dodaj Dalej:Tagi i w razie potrzeby podaj tagi.
- Dodaj Dalej:Przegląd.
- Nazwij politykę, na przykład
CanvasSSOPresignedURL
. - Dodaj Utwórz politykę.
- Powrót do Dodaj uprawnienia i wyszukaj utworzone przez siebie zasady.
- Wybierz zasady, a następnie wybierz Następna.
- Nazwij rolę, na przykład
AWS_SSO_Canvas_Role
i podaj opcjonalny opis. - Na stronie recenzji edytuj zasady zaufania, aby dopasować następujący kod:
- Zapisz zmiany, a następnie wybierz Utwórz rolę.
- Należy również zwrócić uwagę na ARN tej roli, której można użyć w poniższej sekcji.
Skonfiguruj mapowania atrybutów w AWS SSO
Ostatnim krokiem jest skonfigurowanie mapowań atrybutów. Zamapowane tutaj atrybuty stają się częścią potwierdzenia SAML wysyłanego do aplikacji. Możesz wybrać, które atrybuty użytkownika w aplikacji są odwzorowane na odpowiadające atrybuty użytkownika w połączonym katalogu. Aby uzyskać więcej informacji, zobacz Mapowania atrybutów.
- W konsoli AWS SSO przejdź do utworzonej aplikacji.
- Na Mapowania atrybutów skonfiguruj następujące mapowania:
Atrybut użytkownika w aplikacji | Mapuje do tej wartości ciągu lub atrybutu użytkownika w AWS SSO |
Subject |
${user:email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName |
${user:email} |
https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName |
${user:subject} |
https://aws.amazon.com/SAML/Attributes/Role |
, |
Jesteś skończony!
Uzyskaj dostęp do aplikacji Canvas z AWS SSO
W konsoli AWS SSO zanotuj adres URL portalu użytkownika. Sugerujemy najpierw wylogować się z konta AWS lub otworzyć okno przeglądarki w trybie incognito. Przejdź do adresu URL portalu użytkownika, zaloguj się przy użyciu poświadczeń ustawionych dla użytkownika AWS SSO, a następnie wybierz aplikację Canvas.
Zostaniesz automatycznie przekierowany do aplikacji Canvas.
Wnioski
W tym poście omówiliśmy rozwiązanie umożliwiające analitykom biznesowym doświadczanie ML bez użycia kodu za pośrednictwem Canvas w bezpieczny i ujednolicony sposób za pośrednictwem portalu jednokrotnego logowania. W tym celu skonfigurowaliśmy Canvas jako niestandardową aplikację SAML 2.0 w ramach AWS SSO. Analitycy biznesowi są teraz o jedno kliknięcie od korzystania z Canvas i rozwiązywania nowych wyzwań za pomocą uczenia maszynowego bez użycia kodu. Zapewnia to bezpieczeństwo potrzebne zespołom inżynierii chmury i bezpieczeństwa, jednocześnie zapewniając elastyczność i niezależność zespołów analityków biznesowych. Podobny proces można powtórzyć w dowolnym dostawcy tożsamości, odtwarzając te kroki i dostosowując je do określonego logowania jednokrotnego.
Aby dowiedzieć się więcej o Canvas, sprawdź Przedstawiamy Amazon SageMaker Canvas — wizualną możliwość uczenia maszynowego bez kodu dla analityków biznesowych. Canvas umożliwia również łatwą współpracę z zespołami zajmującymi się analizą danych. Aby dowiedzieć się więcej, zobacz Buduj, udostępniaj, wdrażaj: jak analitycy biznesowi i analitycy danych osiągają szybszy czas wprowadzania produktów na rynek, korzystając z bezkodowej ML i Amazon SageMaker Canvas. Administratorom IT sugerujemy sprawdzenie Konfigurowanie i zarządzanie Amazon SageMaker Canvas (dla administratorów IT).
O autorze
Davide Gallitelli jest Specjalistą Architektem Rozwiązań dla AI/ML w regionie EMEA. Ma siedzibę w Brukseli i ściśle współpracuje z klientami w krajach Beneluksu. Jest programistą od najmłodszych lat, zaczął kodować w wieku 7 lat. Naukę AI/ML rozpoczął w późniejszych latach studiów i od tamtej pory zakochał się w niej.
- Coinsmart. Najlepsza w Europie giełda bitcoinów i kryptowalut.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. DARMOWY DOSTĘP.
- CryptoJastrząb. Radar Altcoin. Bezpłatna wersja próbna.
- Źródło: https://aws.amazon.com/blogs/machine-learning/enable-business-analysts-to-access-amazon-sagemaker-canvas-without-using-the-aws-management-console-with-aws- sso/
- "
- 100
- 7
- a
- O nas
- dostęp
- Stosownie
- Konto
- dokładny
- Osiągać
- Działania
- Administratorzy
- Wszystkie kategorie
- Pozwalać
- już
- Amazonka
- ilość
- ogłosił
- Inne
- Aplikacja
- Zastosowanie
- aplikacje
- mobilne i webowe
- przydzielony
- atrybuty
- Uwierzytelnianie
- automatycznie
- dostępny
- AWS
- stają się
- zanim
- granica
- przeglądarka
- Bruksela
- budować
- biznes
- brezentowy
- walizka
- wyzwania
- kontrola
- Dodaj
- wybrany
- Chmura
- kod
- współpraca
- Firmy
- sukcesy firma
- kompletny
- warunek
- systemu
- Skontaktuj się
- połączony
- połączenie
- Konsola
- Odpowiedni
- Stwórz
- stworzony
- Listy uwierzytelniające
- zwyczaj
- klient
- dane
- nauka danych
- dzień
- rozwijać
- Deweloper
- deweloperzy
- domena
- na dół
- podczas
- każdy
- efekt
- umożliwiać
- Umożliwia
- Inżynieria
- Inżynierowie
- zapewnienie
- Wchodzę
- jednostka
- zapewniają
- dokładnie
- przykład
- Przede wszystkim system został opracowany
- doświadczenie
- szybciej
- najszybszy
- i terminów, a
- następujący
- od
- Generować
- Grupy
- mający
- tutaj
- W jaki sposób
- HTTPS
- tożsamość
- obejmuje
- Włącznie z
- wzrastający
- osób
- Informacja
- wzajemne oddziaływanie
- Interfejs
- IT
- język
- UCZYĆ SIĘ
- nauka
- Pozostawiać
- długo
- Popatrz
- miłość
- maszyna
- uczenie maszynowe
- robić
- WYKONUJE
- zarządzanie
- i konserwacjami
- zarządzający
- mapa
- Mecz
- znaczy
- metody
- ML
- modele
- jeszcze
- większość
- Nawigacja
- Nawigacja
- niezbędny
- Następny
- numer
- Wprowadzenie
- koncepcja
- Inne
- własny
- część
- Ludzie
- Platformy
- polityka
- polityka
- Portal
- Przewidywania
- poprzedni
- Główny
- wygląda tak
- Profil
- profile
- zapewniać
- pod warunkiem,
- dostawca
- dostawców
- niedawny
- niedawno
- przekierowanie
- region
- reprezentuje
- wymagać
- wymagany
- Zasób
- przeglądu
- Rola
- nauka
- Naukowcy
- płynnie
- Szukaj
- bezpieczne
- zabezpieczone
- bezpieczeństwo
- usługa
- zestaw
- Share
- podobny
- ponieważ
- pojedynczy
- So
- solidny
- rozwiązanie
- Rozwiązania
- specjalista
- specyficzny
- początek
- rozpoczęty
- Zestawienie sprzedaży
- studio
- wsparcie
- Utrzymany
- Zespoły
- Technologies
- Technologia
- Połączenia
- w związku z tym
- Przez
- poprzez
- czas
- narzędzia
- Zaufaj
- wyjątkowy
- uniwersytet
- posługiwać się
- Użytkownicy
- wartość
- wersja
- Podczas
- w ciągu
- bez
- Praca
- działa
- pisanie
- lat
- młody
- Twój