IT-ul a evoluat în ultimii ani: datorită tehnologiilor low-code și no-code (LCNC), un număr tot mai mare de persoane cu medii diferite necesită acces la instrumente și platforme care anterior erau o prerogativă pentru cei mai cunoscuți în tehnologie din companie, precum inginerii sau dezvoltatorii.
Dintre acele tehnologii LCNC, am anunțat recent Amazon SageMaker Canvas, o interfață vizuală point-and-click pentru analiștii de afaceri pentru a construi modele de învățare automată (ML) și pentru a genera predicții precise fără a scrie cod sau a avea vreo experiență anterioară în ML.
Pentru a permite agilitatea acelor utilizatori noi, asigurând în același timp securitatea mediului, multe companii au ales să adopte tehnologia de conectare unică, cum ar fi Conectare unică AWS. AWS SSO este un serviciu de conectare unică bazat pe cloud, care facilitează gestionarea centralizată a accesului SSO la toate conturile și aplicațiile dvs. AWS AWS. Include un portal pentru utilizatori unde utilizatorii finali pot găsi și accesa toate conturile AWS și aplicațiile cloud atribuite într-un singur loc, inclusiv aplicații personalizate care acceptă Security Assertion Markup Language (SAML) 2.0.
În această postare, vă prezentăm pașii necesari pentru a configura Canvas ca aplicație personalizată SAML 2.0 în AWS SSO, astfel încât analiștii dvs. de afaceri să poată accesa fără probleme Canvas cu acreditările lor de la AWS SSO sau de la alți furnizori de identitate (IdP) existenți, fără trebuie să faceți acest lucru prin intermediul Consola de administrare AWS.
Prezentare generală a soluțiilor
Pentru a stabili o conexiune de la AWS SSO la Amazon SageMaker Studio aplicația de domeniu, trebuie să parcurgeți următorii pași:
- Creați un profil de utilizator în Studio pentru fiecare utilizator AWS SSO care ar trebui să acceseze Canvas.
- Creați o aplicație personalizată SAML 2.0 în AWS SSO și atribuiți-o utilizatorilor.
- Creați necesarul Gestionarea identității și accesului AWS (IAM) Furnizor SAML și rol AWS SSO.
- Mapați informațiile necesare de la AWS SSO la domeniul SageMaker prin mapări de atribute.
- Accesați aplicația Canvas din AWS SSO.
Cerințe preliminare
Pentru a conecta Canvas la AWS SSO, trebuie să aveți următoarele cerințe prealabile configurate:
- AWS SSO in one of the supported AWS Regions. For instructions, refer to Noțiuni de bază.
- A SageMaker domain using IAM. For instructions, refer to Încorporați în domeniul Amazon SageMaker folosind IAM.
Creați un profil de utilizator pentru domeniul Studio
Într-un domeniu Studio, fiecare utilizator are propriul profil de utilizator. Aplicațiile Studio precum Studio IDE, RStudio și Canvas pot fi create de aceste profiluri de utilizator și sunt legate de profilul de utilizator care le-a creat.
Pentru ca AWS SSO să acceseze aplicația Canvas pentru un anumit profil de utilizator, trebuie să mapați numele profilului de utilizator cu numele de utilizator din AWS SSO. În acest fel, numele de utilizator AWS SSO – și, prin urmare, numele profilului de utilizator – poate fi transmis automat de AWS SSO către Canvas.
În această postare, presupunem că utilizatorii AWS SSO sunt deja disponibili, creați în timpul condițiilor prealabile de integrare la AWS SSO. Aveți nevoie de un profil de utilizator pentru fiecare utilizator AWS SSO pe care doriți să îl includeți în domeniul dvs. Studio și, prin urmare, în Canvas.
Pentru a prelua aceste informații, navigați la Utilizatori pagina din consola AWS SSO. Aici puteți vedea numele de utilizator al utilizatorului dvs., în cazul nostru davide-gallitelli
.
Cu aceste informații, puteți accesa acum domeniul dvs. Studio și puteți crea un nou profil de utilizator numit exact davide-gallitelli
.
Dacă aveți un alt IdP, puteți utiliza orice informație furnizată de acesta pentru a vă denumi profilul de utilizator, atâta timp cât este unic pentru domeniul dvs. Doar asigurați-vă că îl mapați corect în conformitate cu Maparea atributelor AWS SSO.
Creați aplicația personalizată SAML 2.0 în AWS SSO
Următorul pas este să creați o aplicație personalizată SAML 2.0 în AWS SSO.
- Pe consola AWS SSO, alegeți aplicatii în panoul de navigare.
- Alege Adăugați o nouă aplicație.
- Alege Adăugați o aplicație personalizată SAML 2.0.
- Descărcați fișierul de metadate SAML AWS SSO, pe care îl utilizați în timpul configurării IAM.
- Pentru Numele afisat, introduceți un nume, cum ar fi
SageMaker Canvas
urmat de Regiunea dvs. - Pentru Descriere, introduceți o descriere opțională.
- Pentru Adresa URL de pornire a aplicației, las-o asa.
- Pentru Starea releului, introduce
https://YOUR-REGION.console.aws.amazon.com/sagemaker/home?region=YOUR-REGION#/studio/canvas/open/YOUR-STUDIO-DOMAIN-ID
. - Pentru Durata sesiunii, alegeți durata sesiunii. Vă sugerăm 8 ore.
Durata sesiunii valoare reprezintă perioada de timp în care doriți să dureze sesiunea utilizator înainte ca autentificarea să fie necesară din nou. O oră este cea mai sigură, în timp ce mai mult timp înseamnă mai puțină nevoie de interacțiune. Alegem 8 ore în acest caz, echivalentul unei zile lucrătoare. - Pentru Adresa URL ACS a aplicației, introduceți https://signin.aws.amazon.com/saml.
- Pentru Publicul aplicației SAML, introduce
urn:amazon:webservices
.
După ce setările dvs. sunt salvate, configurația aplicației dvs. ar trebui să arate similar cu următoarea captură de ecran.
Acum vă puteți atribui utilizatorii acestei aplicații, astfel încât aplicația să apară în portalul lor AWS SSO după conectare. - Pe Utilizatori alocați fila, alegeți Atribuiți utilizatorii.
- Alegeți-vă utilizatorii.
Opțional, dacă doriți să permiteți multor cercetători de date și analiști de afaceri din compania dvs. să utilizeze Canvas, cea mai rapidă și mai simplă modalitate este să utilizați grupurile AWS SSO. Pentru a face acest lucru, creăm două grupuri AWS SSO: business-analysts
și data-scientists
. Atribuim utilizatorii acestor grupuri în funcție de rolurile lor și apoi acordăm acces la aplicație ambelor grupuri.
Configurați furnizorul dvs. IAM SAML și rolul AWS SSO
Pentru a configura furnizorul dvs. IAM SAML, parcurgeți următorii pași:
- Pe consola IAM, alegeți Furnizorii de identitate în panoul de navigare.
- Alege Adăugați furnizorul.
- Pentru Tipul de furnizor, Selectați SAML.
- Pentru Numele furnizorului, introduceți un nume, cum ar fi
AWS_SSO_Canvas
. - Încărcați documentul cu metadate pe care l-ați descărcat mai devreme.
- Rețineți ARN-ul de utilizat într-un pas ulterior.
De asemenea, trebuie să creăm un nou rol pentru AWS SSO pe care să îl utilizăm pentru a accesa aplicația. - Pe consola IAM, alegeți Roluri în panoul de navigare.
- Alege Creare rol.
- Pentru Tip de entitate de încredere, Selectați Federația SAML 2.0.
- Pentru Furnizor bazat pe SAML 2.0, alegeți furnizorul pe care l-ați creat (
AWS_SSO_Canvas
). - Nu selectați niciuna dintre cele două metode de acces SAML 2.0.
- Pentru Atribut, alege SAML:sub_tip.
- Pentru Valoare, introduce
persistent
. - Alege Pagina Următoare →.
Trebuie să acordăm AWS SSO permisiunea de a crea o adresă URL semnată pentru domeniul Studio, pe care trebuie să o redirecționăm către Canvas. - Pe Politici de permisiuni pagina, alege Creare politică.
- Pe Creați fila de politică, alege JSON și introduceți următorul cod:
- Alege Următorul: Etichete și furnizați etichete dacă este necesar.
- Alege Următorul: Recenzie.
- Denumiți politica, de exemplu
CanvasSSOPresignedURL
. - Alege Creare politică.
- Reveniți la Adăugați permisiuni pagina și căutați politica pe care ați creat-o.
- Selectați politica, apoi alegeți Pagina Următoare →.
- Denumiți rolul, de exemplu
AWS_SSO_Canvas_Role
și furnizați o descriere opțională. - Pe pagina de revizuire, editați politica de încredere pentru a se potrivi cu următorul cod:
- Salvați modificările, apoi alegeți Creare rol.
- Rețineți și ARN-ul acestui rol, pentru a fi utilizat în secțiunea următoare.
Configurați mapările atributelor în AWS SSO
Pasul final este configurarea mapărilor de atribute. Atributele pe care le mapați aici devin parte din afirmația SAML care este trimisă aplicației. Puteți alege ce atribute de utilizator din aplicația dvs. mapare cu atributele de utilizator corespunzătoare din directorul dvs. conectat. Pentru mai multe informații, consultați Mapări de atribute.
- În consola AWS SSO, navigați la aplicația pe care ați creat-o.
- Pe Mapări de atribute fila, configurați următoarele mapări:
Atribut utilizator în aplicație | Mapează la această valoare șir sau atribut utilizator în AWS SSO |
Subject |
${user:email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName |
${user:email} |
https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName |
${user:subject} |
https://aws.amazon.com/SAML/Attributes/Role |
, |
Ai terminat!
Accesați aplicația Canvas din AWS SSO
Pe consola AWS SSO, notați adresa URL a portalului utilizatorului. Vă sugerăm să vă deconectați mai întâi de la contul dvs. AWS sau să deschideți o fereastră de browser incognito. Navigați la adresa URL a portalului utilizatorului, conectați-vă cu acreditările pe care le-ați setat pentru utilizatorul AWS SSO, apoi alegeți aplicația Canvas.
Sunteți redirecționat automat către aplicația Canvas.
Concluzie
În această postare, am discutat despre o soluție care să le permită analiștilor de afaceri să experimenteze ML fără cod prin Canvas într-un mod securizat și unificat printr-un portal de conectare unică. Pentru a face acest lucru, am configurat Canvas ca o aplicație personalizată SAML 2.0 în cadrul AWS SSO. Analiștii de afaceri sunt acum la un clic distanță de a utiliza Canvas și de a rezolva noi provocări cu ML fără cod. Acest lucru permite securitatea necesară echipelor de inginerie cloud și de securitate, permițând în același timp agilitatea și independența echipelor de analiști de afaceri. Un proces similar poate fi replicat în orice IdP prin reproducerea acestor pași și adaptându-i la SSO-ul specific.
Pentru a afla mai multe despre Canvas, consultați Anunțăm Amazon SageMaker Canvas – o capacitate de învățare automată vizuală, fără cod pentru analiștii de afaceri. Canvas permite, de asemenea, colaborarea ușoară cu echipele de știință a datelor. Pentru a afla mai multe, vezi Construiți, partajați, implementați: cum analiștii de afaceri și oamenii de știință de date obțin un time-to-market mai rapid folosind ML fără cod și Amazon SageMaker Canvas. Pentru administratorii IT, vă recomandăm să verificați Configurarea și gestionarea Amazon SageMaker Canvas (pentru administratorii IT).
Despre autor
Davide Gallitelli este arhitect specializat în soluții pentru AI/ML în regiunea EMEA. Are sediul la Bruxelles și lucrează îndeaproape cu clienții din Benelux. Este dezvoltator încă de foarte tânăr, începând să codifice la vârsta de 7 ani. A început să învețe AI/ML în ultimii ani de universitate și de atunci s-a îndrăgostit de el.
- Coinsmart. Cel mai bun schimb de Bitcoin și Crypto din Europa.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. ACCES LIBER.
- CryptoHawk. Radar Altcoin. Încercare gratuită.
- Source: https://aws.amazon.com/blogs/machine-learning/enable-business-analysts-to-access-amazon-sagemaker-canvas-without-using-the-aws-management-console-with-aws-sso/
- "
- 100
- 7
- a
- Despre Noi
- acces
- Conform
- Cont
- precis
- Obține
- Acțiune
- administratori
- TOATE
- Permiterea
- deja
- Amazon
- sumă
- a anunțat
- O alta
- aplicaţia
- aplicație
- aplicatii
- Apps
- alocate
- atribute
- Autentificare
- în mod automat
- disponibil
- AWS
- deveni
- înainte
- frontieră
- browser-ul
- Bruxelles
- construi
- afaceri
- pânză
- caz
- provocări
- control
- Alege
- ales
- Cloud
- cod
- colaborare
- Companii
- companie
- Completă
- condiție
- Configuraţie
- Conectați
- legat
- conexiune
- Consoleze
- Corespunzător
- crea
- a creat
- scrisori de acreditare
- personalizat
- client
- de date
- știința datelor
- zi
- implementa
- Dezvoltator
- Dezvoltatorii
- domeniu
- jos
- în timpul
- fiecare
- efect
- permite
- permite
- Inginerie
- inginerii
- asigurare
- Intrați
- entitate
- stabili
- exact
- exemplu
- existent
- experienţă
- mai repede
- cel mai rapid
- First
- următor
- din
- genera
- Grupului
- având în
- aici
- Cum
- HTTPS
- Identitate
- include
- Inclusiv
- crescând
- persoane fizice
- informații
- interacţiune
- interfaţă
- IT
- limbă
- AFLAȚI
- învăţare
- Părăsi
- Lung
- Uite
- dragoste
- maşină
- masina de învățare
- face
- FACE
- administra
- administrare
- de conducere
- Hartă
- Meci
- mijloace
- Metode
- ML
- Modele
- mai mult
- cele mai multe
- Navigaţi
- Navigare
- necesar
- următor
- număr
- La imbarcare
- deschide
- Altele
- propriu
- parte
- oameni
- Platforme
- Politicile
- Politica
- Portal
- Predictii
- precedent
- Principal
- proces
- Profil
- Profiluri
- furniza
- prevăzut
- furnizorul
- furnizori
- recent
- recent
- redirecționa
- regiune
- reprezintă
- necesita
- necesar
- resursă
- revizuiască
- Rol
- Ştiinţă
- oamenii de stiinta
- perfect
- Caută
- sigur
- securizat
- securitate
- serviciu
- set
- Distribuie
- asemănător
- întrucât
- singur
- So
- solid
- soluţie
- soluţii
- specialist
- specific
- Începe
- început
- Declarație
- studio
- a sustine
- Suportat
- echipe
- Tehnologii
- Tehnologia
- prin urmare
- Prin
- de-a lungul
- timp
- Unelte
- Încredere
- unic
- universitate
- utilizare
- utilizatorii
- valoare
- versiune
- în timp ce
- în
- fără
- Apartamente
- fabrică
- scris
- ani
- tineri
- Ta