За останні роки ІТ еволюціонував: завдяки технологіям з низьким кодом і без коду (LCNC) все більше людей з різним досвідом потребують доступу до інструментів і платформ, які раніше були прерогативою для більш досвідчених людей у компанії, наприклад, інженери або розробники.
Ми нещодавно оголосили про ці технології LCNC Canvas Amazon SageMaker, візуальний інтерфейс «наведи і клацни» для бізнес-аналітиків для створення моделей машинного навчання (ML) і створення точних прогнозів без написання коду або попереднього досвіду ML.
Щоб забезпечити гнучкість цих нових користувачів і забезпечити безпеку середовища, багато компаній вирішили застосувати технологію єдиного входу, як-от AWS Єдиний вхід. AWS SSO — це хмарна служба єдиного входу, яка дозволяє легко централізовано керувати доступом SSO до всіх ваших облікових записів AWS і хмарних програм. Він включає в себе портал користувачів, де кінцеві користувачі можуть знаходити й отримувати доступ до всіх призначених їм облікових записів AWS і хмарних додатків в одному місці, включаючи користувацькі програми, які підтримують мову розмітки безпеки (SAML) 2.0.
У цій публікації ми розповімо вам про необхідні кроки для налаштування Canvas як спеціальної програми SAML 2.0 в AWS SSO, щоб ваші бізнес-аналітики могли безперешкодно отримати доступ до Canvas зі своїми обліковими даними з AWS SSO або інших існуючих постачальників ідентифікаційних даних (IdPs), без потрібно зробити це через Консоль управління AWS.
Огляд рішення
Щоб встановити з’єднання від AWS SSO до Студія Amazon SageMaker домену, ви повинні виконати наступні кроки:
- Створіть профіль користувача в Studio для кожного користувача AWS SSO, який має отримати доступ до Canvas.
- Створіть спеціальну програму SAML 2.0 в AWS SSO та призначте її користувачам.
- Створіть необхідне Управління ідентифікацією та доступом AWS (IAM) Постачальник SAML і роль єдиного входу AWS.
- Зіставте необхідну інформацію з AWS SSO на домен SageMaker за допомогою зіставлення атрибутів.
- Отримайте доступ до програми Canvas з AWS SSO.
Передумови
Щоб підключити Canvas до AWS SSO, потрібно налаштувати такі передумови:
- AWS SSO в одному з підтримуваних регіонів AWS. Інструкції див Приступаючи до роботи.
- Домен SageMaker, що використовує IAM. Інструкції див Вбудований до домену Amazon SageMaker за допомогою IAM.
Створіть профіль користувача домену Studio
У домені Studio кожен користувач має власний профіль користувача. Програми Studio, такі як Studio IDE, RStudio і Canvas, можуть створюватися за допомогою цих профілів користувачів і прив’язуватися до профілю користувача, який їх створив.
Щоб AWS SSO отримав доступ до програми Canvas для певного профілю користувача, вам потрібно зіставити ім’я профілю користувача з ім’ям користувача в AWS SSO. Таким чином, ім’я користувача AWS SSO — і, отже, ім’я профілю користувача — може автоматично передаватися AWS SSO до Canvas.
У цій публікації ми припускаємо, що користувачі AWS SSO вже доступні, створені під час передумов адаптації до AWS SSO. Вам потрібен профіль користувача для кожного користувача AWS SSO, якого ви хочете включити у свій домен Studio, а отже, і в Canvas.
Щоб отримати цю інформацію, перейдіть до користувачів сторінку на консолі AWS SSO. Тут ви можете побачити ім’я користувача вашого користувача, у нашому випадку davide-gallitelli
.
Маючи цю інформацію, тепер ви можете перейти до свого домену Studio і створити новий профіль користувача під назвою точно davide-gallitelli
.
Якщо у вас є інший IdP, ви можете використовувати будь-яку надану ним інформацію, щоб назвати свій профіль користувача, якщо він унікальний для вашого домену. Просто переконайтеся, що ви відобразили його правильно відповідно до Зіставлення атрибутів AWS SSO.
Створіть спеціальну програму SAML 2.0 в AWS SSO
Наступним кроком є створення спеціальної програми SAML 2.0 в AWS SSO.
- На консолі AWS SSO виберіть додатків у навігаційній панелі.
- Вибирати Додайте нову програму.
- Вибирати Додайте спеціальну програму SAML 2.0.
- Завантажте файл метаданих AWS SSO SAML, який ви використовуєте під час налаштування IAM.
- для Зміни імен, введіть назву, наприклад
SageMaker Canvas
потім ваш регіон. - для Опис, введіть необов’язковий опис.
- для Початкова URL-адреса програми, залишити як є.
- для Стан реле, введіть
https://YOUR-REGION.console.aws.amazon.com/sagemaker/home?region=YOUR-REGION#/studio/canvas/open/YOUR-STUDIO-DOMAIN-ID
. - для Тривалість сесії, виберіть тривалість сеансу. Ми пропонуємо 8 годин.
Команда Тривалість сесії value являє собою кількість часу, який ви хочете, щоб сеанс користувача тривав, перш ніж знову буде потрібно аутентифікація. Одна година є найбільш безпечною, тоді як більше часу означає менше потреби у взаємодії. Ми вибираємо в цьому випадку 8 годин, що еквівалентно одному робочому дню. - для URL-адреса ACS програми, введіть https://signin.aws.amazon.com/saml.
- для Аудиторія SAML програми, введіть
urn:amazon:webservices
.
Після збереження ваших налаштувань конфігурація вашої програми повинна виглядати так, як показано на скріншоті нижче.
Тепер ви можете призначити своїх користувачів цій програмі, щоб програма з’являлася на їхньому порталі AWS SSO після входу. - на Призначені користувачі вкладку, виберіть Призначити користувачів.
- Виберіть своїх користувачів.
За бажанням, якщо ви хочете дозволити багатьом дослідникам даних і бізнес-аналітиків у вашій компанії використовувати Canvas, найшвидший і найпростіший спосіб — використовувати групи AWS SSO. Для цього ми створюємо дві групи AWS SSO: business-analysts
та data-scientists
. Ми призначаємо користувачів до цих груп відповідно до їхніх ролей, а потім надаємо доступ до програми обом групам.
Налаштуйте постачальника IAM SAML і роль єдиного входу AWS
Щоб налаштувати постачальника IAM SAML, виконайте такі дії:
- На консолі IAM виберіть Постачальники ідентифікації у навігаційній панелі.
- Вибирати Додати постачальника.
- для Тип провайдеравиберіть SAML.
- для Назва постачальника, введіть назву, наприклад
AWS_SSO_Canvas
. - Завантажте завантажений раніше документ метаданих.
- Зверніть увагу на ARN для використання на наступному кроці.
Нам також потрібно створити нову роль для AWS SSO для доступу до програми. - На консолі IAM виберіть Ролі у навігаційній панелі.
- Вибирати Створіть роль.
- для Тип надійного об’єктавиберіть Федерація SAML 2.0.
- для Постачальник на основі SAML 2.0, виберіть створеного вами постачальника (
AWS_SSO_Canvas
). - Не вибирайте жодного з двох методів доступу SAML 2.0.
- для атрибутвиберіть SAML: під_тип.
- для значення, введіть
persistent
. - Вибирати МАЙБУТНІ.
Нам потрібно надати AWS SSO дозвіл на створення попередньо підписаної URL-адреси домену Studio, яка нам потрібна для переспрямування на Canvas. - на Політики дозволів сторінку, виберіть Створити політику.
- на Вкладка «Створити політику».виберіть JSON і введіть наступний код:
- Вибирати Далі: теги і надайте теги, якщо потрібно.
- Вибирати Далі: Огляд.
- Назвіть політику, наприклад
CanvasSSOPresignedURL
. - Вибирати Створити політику.
- Повернутися до Додати дозволи сторінку та знайдіть створену вами політику.
- Виберіть політику, а потім виберіть МАЙБУТНІ.
- Назвіть роль, наприклад
AWS_SSO_Canvas_Role
і надайте необов’язковий опис. - На сторінці огляду відредагуйте політику довіри, щоб вона відповідала такому коду:
- Збережіть зміни, а потім виберіть Створіть роль.
- Зверніть увагу також на ARN цієї ролі, який буде використано в наступному розділі.
Налаштуйте зіставлення атрибутів у AWS SSO
Останнім кроком є налаштування зіставлення атрибутів. Атрибути, які ви відображаєте тут, стають частиною твердження SAML, яке надсилається до програми. Ви можете вибрати, які атрибути користувача у вашій програмі співвідносяться з відповідними атрибутами користувача у вашому підключеному каталозі. Для отримання додаткової інформації див Відображення атрибутів.
- На консолі AWS SSO перейдіть до створеної програми.
- на Відображення атрибутів вкладці, налаштуйте такі зіставлення:
Атрибут користувача в програмі | Зіставляє це значення рядка або атрибут користувача в AWS SSO |
Subject |
${user:email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName |
${user:email} |
https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName |
${user:subject} |
https://aws.amazon.com/SAML/Attributes/Role |
, |
Ви закінчили!
Отримайте доступ до програми Canvas з AWS SSO
На консолі AWS SSO запишіть URL-адресу порталу користувача. Ми радимо спочатку вийти зі свого облікового запису AWS або відкрити вікно веб-переглядача в режимі анонімного перегляду. Перейдіть до URL-адреси порталу користувача, увійдіть, використовуючи облікові дані, які ви встановили для користувача AWS SSO, а потім виберіть програму Canvas.
Ви автоматично переспрямовуєтесь до програми Canvas.
Висновок
У цій публікації ми обговорили рішення, яке дозволить бізнес-аналітикам безпечно й уніфіковано використовувати ML без коду через Canvas через єдиний портал входу. Для цього ми налаштували Canvas як спеціальну програму SAML 2.0 у AWS SSO. Тепер бізнес-аналітики знаходяться на відстані одного кліка від використання Canvas та вирішення нових завдань за допомогою ML без коду. Це забезпечує безпеку, необхідну командам хмарної інженерії та безпеки, а також забезпечує гнучкість та незалежність команд бізнес-аналітиків. Подібний процес можна відтворити в будь-якому IdP, відтворивши ці кроки та адаптувавши їх до конкретного SSO.
Щоб дізнатися більше про Canvas, перегляньте Анонс Amazon SageMaker Canvas – візуальна можливість машинного навчання без коду для бізнес-аналітиків. Canvas також дозволяє легко співпрацювати з командами з вивчення даних. Щоб дізнатися більше, див Створюйте, діліться, розгортайте: як бізнес-аналітики та науковці з даних досягають швидшого виходу на ринок за допомогою ML без коду та Amazon SageMaker Canvas. ІТ-адміністраторам радимо перевірити Налаштування та керування Amazon SageMaker Canvas (для ІТ-адміністраторів).
Про автора
Давіде Галлітеллі є спеціалістом архітектора рішень для AI/ML у регіоні EMEA. Він базується в Брюсселі і тісно співпрацює з клієнтами по всьому Бенілюксу. Він був розробником з дуже юного віку, почавши кодувати у віці 7 років. Він почав вивчати ШІ/ML на останні роки навчання в університеті і з тих пір закохався в нього.
- Coinsmart. Найкраща в Європі біржа біткойн та криптовалют.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. БЕЗКОШТОВНИЙ ДОСТУП.
- CryptoHawk. Альткойн Радар. Безкоштовне випробування.
- Джерело: https://aws.amazon.com/blogs/machine-learning/enable-business-analysts-to-access-amazon-sagemaker-canvas-without-using-the-aws-management-console-with-aws- sso/
- "
- 100
- 7
- a
- МЕНЮ
- доступ
- За
- рахунки
- точний
- Achieve
- дію
- Адміністратори
- ВСІ
- Дозволити
- вже
- Amazon
- кількість
- оголошений
- Інший
- додаток
- додаток
- застосування
- додатка
- призначений
- Атрибути
- Authentication
- автоматично
- доступний
- AWS
- ставати
- перед тим
- border
- браузер
- Брюссель
- будувати
- бізнес
- полотно
- випадок
- проблеми
- контроль
- Вибирати
- вибраний
- хмара
- код
- співробітництво
- Компанії
- компанія
- повний
- стан
- конфігурація
- З'єднуватися
- підключений
- зв'язку
- Консоль
- Відповідний
- створювати
- створений
- Повноваження
- виготовлений на замовлення
- клієнт
- дані
- наука про дані
- день
- розгортання
- Розробник
- розробників
- домен
- вниз
- під час
- кожен
- ефект
- включіть
- дозволяє
- Машинобудування
- Інженери
- забезпечення
- Що натомість? Створіть віртуальну версію себе у
- суб'єкта
- встановити
- точно
- приклад
- існуючий
- досвід
- швидше
- швидкий
- Перший
- після
- від
- породжувати
- Групи
- має
- тут
- Як
- HTTPS
- Особистість
- includes
- У тому числі
- зростаючий
- осіб
- інформація
- взаємодія
- інтерфейс
- IT
- мова
- УЧИТЬСЯ
- вивчення
- Залишати
- Довго
- подивитися
- любов
- машина
- навчання за допомогою машини
- зробити
- РОБОТИ
- управляти
- управління
- управління
- карта
- матч
- засоби
- методика
- ML
- Моделі
- більше
- найбільш
- Переміщення
- навігація
- необхідно
- наступний
- номер
- На борту
- відкрити
- Інше
- власний
- частина
- Люди
- Платформи
- Політика
- політика
- Портал
- Прогнози
- попередній
- Головний
- процес
- профіль
- Профілі
- забезпечувати
- за умови
- Постачальник
- провайдери
- останній
- нещодавно
- переадресовувати
- регіон
- представляє
- вимагати
- вимагається
- ресурс
- огляд
- Роль
- наука
- Вчені
- плавно
- Пошук
- безпечний
- Забезпечений
- безпеку
- обслуговування
- комплект
- Поділитись
- аналогічний
- з
- один
- So
- solid
- рішення
- Рішення
- спеціаліст
- конкретний
- старт
- почалася
- Заява
- студія
- підтримка
- Підтриманий
- команди
- Технології
- Технологія
- Команда
- отже
- через
- по всьому
- час
- інструменти
- Довіряйте
- створеного
- університет
- використання
- користувачі
- значення
- версія
- в той час як
- в
- без
- Work
- працює
- лист
- років
- молодий
- вашу