В последние годы ИТ развивались: благодаря технологиям low-code и no-code (LCNC) все большему числу людей с разным опытом требуется доступ к инструментам и платформам, которые ранее были прерогативой более технически подкованных сотрудников компании. Например, инженеры или разработчики.
Из этих технологий LCNC мы недавно анонсировали Холст Amazon SageMaker, визуальный интерфейс типа «укажи и щелкни», позволяющий бизнес-аналитикам создавать модели машинного обучения (ML) и генерировать точные прогнозы без написания кода или опыта работы с ML.
Чтобы обеспечить гибкость для этих новых пользователей и обеспечить безопасность сред, многие компании решили внедрить технологию единого входа, например Единый вход AWS. AWS SSO — это облачный сервис единого входа, который упрощает централизованное управление доступом через систему единого входа ко всем вашим учетным записям AWS и облачным приложениям. Он включает в себя пользовательский портал, где конечные пользователи могут найти и получить доступ ко всем назначенным им учетным записям AWS и облачным приложениям в одном месте, включая пользовательские приложения, поддерживающие язык разметки утверждений безопасности (SAML) 2.0.
В этом посте мы покажем вам, как настроить Canvas в качестве пользовательского приложения SAML 2.0 в AWS SSO, чтобы ваши бизнес-аналитики могли беспрепятственно получать доступ к Canvas со своими учетными данными из AWS SSO или других существующих поставщиков удостоверений (IdP) без необходимо сделать это через Консоль управления AWS.
Обзор решения
Чтобы установить соединение от AWS SSO к Студия Amazon SageMaker доменное приложение, необходимо выполнить следующие шаги:
- Создайте профиль пользователя в Studio для каждого пользователя AWS SSO, который должен получить доступ к Canvas.
- Создайте пользовательское приложение SAML 2.0 в AWS SSO и назначьте его пользователям.
- Создайте необходимые Управление идентификацией и доступом AWS (IAM) Поставщик SAML и роль AWS SSO.
- Сопоставьте необходимую информацию из AWS SSO с доменом SageMaker с помощью сопоставления атрибутов.
- Получите доступ к приложению Canvas из AWS SSO.
Предпосылки
Чтобы подключить Canvas к AWS SSO, необходимо настроить следующие предварительные условия:
- AWS SSO в одном из поддерживаемых регионов AWS. Инструкции см. Начинаем!.
- Домен SageMaker, использующий IAM. Инструкции см. Подключение к домену Amazon SageMaker с использованием IAM.
Создайте профиль пользователя домена Studio
В домене Studio у каждого пользователя есть собственный профиль пользователя. Приложения Studio, такие как Studio IDE, RStudio и Canvas, могут создаваться этими профилями пользователей и привязываться к создавшему их профилю пользователя.
Чтобы AWS SSO мог получить доступ к приложению Canvas для данного профиля пользователя, необходимо сопоставить имя профиля пользователя с именем пользователя в AWS SSO. Таким образом, имя пользователя AWS SSO — и, следовательно, имя профиля пользователя — может автоматически передаваться AWS SSO в Canvas.
В этом посте мы предполагаем, что пользователи AWS SSO уже доступны, созданные во время предварительных требований для подключения к AWS SSO. Вам нужен профиль пользователя для каждого пользователя AWS SSO, которого вы хотите подключить к своему домену Studio и, следовательно, к Canvas.
Чтобы получить эту информацию, перейдите к Пользователи в консоли AWS SSO. Здесь вы можете увидеть имя пользователя вашего пользователя, в нашем случае davide-gallitelli
.
Имея эту информацию, вы теперь можете перейти в свой домен Studio и создать новый профиль пользователя с именем точно davide-gallitelli
.
Если у вас есть другой IdP, вы можете использовать любую информацию, предоставленную им, для присвоения имени вашему профилю пользователя, если он уникален для вашего домена. Просто убедитесь, что вы правильно сопоставили его в соответствии с Сопоставление атрибутов AWS SSO.
Создайте пользовательское приложение SAML 2.0 в AWS SSO
Следующим шагом является создание пользовательского приложения SAML 2.0 в AWS SSO.
- На консоли AWS SSO выберите Приложения в навигационной панели.
- Выберите Добавить новое приложение.
- Выберите Добавьте пользовательское приложение SAML 2.0.
- Загрузите файл метаданных AWS SSO SAML, который вы используете при настройке IAM.
- Что касается Изменения именвведите имя, например
SageMaker Canvas
затем ваш регион. - Что касается Описание, введите необязательное описание.
- Что касается URL запуска приложения, оставить как есть.
- Что касается Состояние реле, войти
https://YOUR-REGION.console.aws.amazon.com/sagemaker/home?region=YOUR-REGION#/studio/canvas/open/YOUR-STUDIO-DOMAIN-ID
. - Что касается Продолжительность сеанса, выберите продолжительность сеанса. Мы предлагаем 8 часов.
Ассоциация Продолжительность сеанса значение представляет количество времени, которое вы хотите, чтобы пользовательский сеанс длился, прежде чем аутентификация потребуется снова. Один час является наиболее безопасным, в то время как большее время означает меньшую потребность во взаимодействии. В данном случае мы выбираем 8 часов, что эквивалентно одному рабочему дню. - Что касается URL-адрес ACS приложения, введите https://signin.aws.amazon.com/saml.
- Что касается SAML-аудитория приложения, войти
urn:amazon:webservices
.
После сохранения настроек конфигурация вашего приложения должна выглядеть примерно так, как показано на следующем снимке экрана.
Теперь вы можете назначать своих пользователей этому приложению, чтобы приложение отображалось на их портале AWS SSO после входа в систему. - На Назначенные пользователи , выберите Назначить пользователей.
- Выберите своих пользователей.
При необходимости, если вы хотите, чтобы многие специалисты по данным и бизнес-аналитики в вашей компании могли использовать Canvas, самый быстрый и простой способ — использовать группы AWS SSO. Для этого мы создаем две группы AWS SSO: business-analysts
и data-scientists
. Мы назначаем пользователей в эти группы в соответствии с их ролями, а затем даем доступ к приложению обеим группам.
Настройте поставщика IAM SAML и роль AWS SSO
Чтобы настроить поставщика IAM SAML, выполните следующие действия:
- На консоли IAM выберите Поставщики удостоверений в навигационной панели.
- Выберите Добавить провайдера.
- Что касается Тип провайдера, наведите на SAML.
- Что касается Имя провайдеравведите имя, например
AWS_SSO_Canvas
. - Загрузите документ с метаданными, который вы скачали ранее.
- Запишите ARN для использования на следующем шаге.
Нам также необходимо создать новую роль для AWS SSO, чтобы использовать ее для доступа к приложению. - На консоли IAM выберите роли в навигационной панели.
- Выберите Создать роль.
- Что касается Тип доверенной сущности, наведите на Федерация SAML 2.0.
- Что касается Провайдер на основе SAML 2.0, выберите созданного вами провайдера (
AWS_SSO_Canvas
). - Не выбирайте ни один из двух методов доступа SAML 2.0.
- Что касается Атрибут, выберите SAML:под_тип.
- Что касается Значение, войти
persistent
. - Выберите Следующая.
Нам нужно предоставить AWS SSO разрешение на создание предварительно подписанного URL-адреса домена Studio, который нам нужен для выполнения перенаправления на Canvas. - На Политики разрешений выберите страницу Создать политику.
- На Вкладка «Создать политику», выберите JSON и введите следующий код:
- Выберите Далее:Теги и укажите теги, если это необходимо.
- Выберите Далее:Обзор.
- Назовите политику, например
CanvasSSOPresignedURL
. - Выберите Создать политику.
- Вернуться в Добавить разрешения страницу и найдите созданную политику.
- Выберите политику, затем выберите Следующая.
- Назовите роль, например
AWS_SSO_Canvas_Role
и укажите необязательное описание. - На странице проверки измените политику доверия, чтобы она соответствовала следующему коду:
- Сохраните изменения, затем выберите Создать роль.
- Запишите также ARN этой роли, чтобы использовать его в следующем разделе.
Настройте сопоставления атрибутов в AWS SSO
Последним шагом является настройка сопоставлений атрибутов. Сопоставляемые здесь атрибуты становятся частью утверждения SAML, отправляемого приложению. Вы можете выбрать, какие атрибуты пользователя в вашем приложении сопоставляются с соответствующими атрибутами пользователя в подключенном каталоге. Для получения дополнительной информации см. Сопоставления атрибутов.
- В консоли AWS SSO перейдите к созданному приложению.
- На Сопоставления атрибутов на вкладке настройте следующие сопоставления:
Атрибут пользователя в приложении | Сопоставляется с этим строковым значением или атрибутом пользователя в AWS SSO |
Subject |
${user:email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName |
${user:email} |
https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName |
${user:subject} |
https://aws.amazon.com/SAML/Attributes/Role |
, |
Вы сделали!
Доступ к приложению Canvas из AWS SSO
В консоли AWS SSO запишите URL-адрес пользовательского портала. Мы рекомендуем вам сначала выйти из своей учетной записи AWS или открыть окно браузера в режиме инкогнито. Перейдите по URL-адресу пользовательского портала, войдите в систему с учетными данными, которые вы установили для пользователя AWS SSO, затем выберите свое приложение Canvas.
Вы будете автоматически перенаправлены в приложение Canvas.
Заключение
В этом посте мы обсудили решение, позволяющее бизнес-аналитикам использовать машинное обучение без кода через Canvas безопасным и унифицированным способом через портал единого входа. Для этого мы настроили Canvas как пользовательское приложение SAML 2.0 в AWS SSO. Бизнес-аналитики теперь в одном клике от использования Canvas и решения новых задач с помощью машинного обучения без кода. Это обеспечивает безопасность, необходимую командам облачных инженеров и специалистов по безопасности, а также гибкость и независимость групп бизнес-аналитиков. Аналогичный процесс можно воспроизвести в любом IdP, воспроизведя эти шаги и адаптировав их к конкретному SSO.
Чтобы узнать больше о Canvas, см. Представляем Amazon SageMaker Canvas — визуальную возможность машинного обучения без кода для бизнес-аналитиков. Canvas также позволяет легко сотрудничать с командами специалистов по обработке и анализу данных. Чтобы узнать больше, см. Создавайте, делитесь, развертывайте: как бизнес-аналитики и специалисты по обработке и анализу данных сокращают время выхода на рынок с помощью машинного обучения без кода и Amazon SageMaker Canvas. Для ИТ-администраторов мы предлагаем проверить Настройка и управление Amazon SageMaker Canvas (для ИТ-администраторов).
Об авторе
Давиде Галлителли является специалистом по разработке решений для AI/ML в регионе EMEA. Он базируется в Брюсселе и тесно сотрудничает с клиентами из стран Бенилюкса. Он был разработчиком с самого раннего детства, начав программировать в возрасте 7 лет. Он начал изучать AI/ML в последние годы учебы в университете и с тех пор влюбился в него.
- Коинсмарт. Лучшая в Европе биржа биткойнов и криптовалют.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. БЕСПЛАТНЫЙ ДОСТУП.
- КриптоХок. Альткоин Радар. Бесплатная пробная версия.
- Источник: https://aws.amazon.com/blogs/machine-learning/enable-business-analysts-to-access-amazon-sagemaker-canvas-without-using-the-aws-management-console-with-aws- ссо/
- "
- 100
- 7
- a
- О нас
- доступ
- По
- Учетная запись
- точный
- Достигать
- Действие
- администраторы
- Все
- Позволяющий
- уже
- Amazon
- количество
- объявило
- Другой
- приложение
- Применение
- Приложения
- Программы
- назначенный
- Атрибуты
- Аутентификация
- автоматически
- доступен
- AWS
- становиться
- до
- граница
- браузер
- Брюссель
- строить
- бизнес
- холст
- случаев
- проблемы
- контроль
- Выберите
- выбранный
- облако
- код
- сотрудничество
- Компании
- Компания
- полный
- состояние
- Конфигурация
- Свяжитесь
- подключенный
- связи
- Консоли
- соответствующий
- Создайте
- создали
- Полномочия
- изготовленный на заказ
- клиент
- данным
- наука о данных
- день
- развертывание
- Застройщик
- застройщиков
- домен
- вниз
- в течение
- каждый
- эффект
- включить
- позволяет
- Проект и
- Инженеры
- обеспечение
- Enter
- организация
- установить
- точно,
- пример
- существующий
- опыт
- быстрее
- быстрый
- First
- после
- от
- порождать
- Группы
- имеющий
- здесь
- Как
- HTTPS
- Личность
- включает в себя
- В том числе
- повышение
- лиц
- информация
- взаимодействие
- Интерфейс
- IT
- язык
- УЧИТЬСЯ
- изучение
- Оставлять
- Длинное
- посмотреть
- любят
- машина
- обучение с помощью машины
- сделать
- ДЕЛАЕТ
- управлять
- управление
- управления
- карта
- Совпадение
- означает
- методы
- ML
- Модели
- БОЛЕЕ
- самых
- Откройте
- Навигация
- необходимо
- следующий
- номер
- Вводный
- открытый
- Другое
- собственный
- часть
- Люди
- Платформы
- сборах
- политика
- Портал
- Predictions
- предыдущий
- Основной
- процесс
- Профиль
- Профили
- обеспечивать
- при условии
- Недвижимости
- поставщики
- последний
- недавно
- переориентировать
- область
- представляет
- требовать
- обязательный
- ресурс
- обзоре
- Роли
- Наука
- Ученые
- легко
- Поиск
- безопасный
- обеспеченный
- безопасность
- обслуживание
- набор
- Поделиться
- аналогичный
- с
- одинарной
- So
- твердый
- Решение
- Решения
- специалист
- конкретный
- Начало
- и политические лидеры
- заявление
- студия
- поддержка
- Поддержанный
- команды
- технологии
- Технологии
- Ассоциация
- следовательно
- Через
- по всему
- время
- инструменты
- Доверие
- созданного
- Университет
- использование
- пользователей
- ценностное
- версия
- в то время как
- в
- без
- Работа
- работает
- письмо
- лет
- молодой
- ВАШЕ