CNTT đã phát triển trong những năm gần đây: nhờ công nghệ mã thấp và không mã (LCNC), ngày càng có nhiều người với các nền tảng khác nhau yêu cầu quyền truy cập vào các công cụ và nền tảng mà trước đây là đặc quyền của các cá nhân hiểu biết hơn về công nghệ trong công ty, chẳng hạn như kỹ sư hoặc nhà phát triển.
Trong số các công nghệ LCNC đó, gần đây chúng tôi đã công bố Canvas SageMaker của Amazon, giao diện trỏ và nhấp trực quan dành cho các nhà phân tích kinh doanh để xây dựng mô hình học máy (ML) và tạo ra các dự đoán chính xác mà không cần viết mã hoặc có bất kỳ kinh nghiệm ML nào trước đó.
Để mang lại sự nhanh nhẹn cho những người dùng mới đó đồng thời đảm bảo tính bảo mật của môi trường, nhiều công ty đã chọn áp dụng công nghệ đăng nhập một lần, chẳng hạn như Đăng nhập một lần AWS. AWS SSO là dịch vụ đăng nhập một lần dựa trên đám mây giúp dễ dàng quản lý tập trung quyền truy cập SSO vào tất cả các tài khoản AWS và ứng dụng đám mây của bạn. Nó bao gồm một cổng thông tin người dùng nơi người dùng cuối có thể tìm và truy cập vào tất cả các tài khoản AWS được chỉ định và các ứng dụng đám mây của họ ở một nơi, bao gồm các ứng dụng tùy chỉnh hỗ trợ Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) 2.0.
Trong bài đăng này, chúng tôi hướng dẫn bạn các bước cần thiết để định cấu hình Canvas làm ứng dụng SAML 2.0 tùy chỉnh trong AWS SSO, để các nhà phân tích kinh doanh của bạn có thể truy cập liền mạch Canvas bằng thông tin đăng nhập của họ từ AWS SSO hoặc các nhà cung cấp danh tính hiện có khác (IdP) mà không cần cần phải làm như vậy thông qua Bảng điều khiển quản lý AWS.
Tổng quan về giải pháp
Để thiết lập kết nối từ AWS SSO đến Xưởng sản xuất Amazon SageMaker ứng dụng miền, bạn phải hoàn thành các bước sau:
- Tạo hồ sơ người dùng trong Studio cho mọi người dùng AWS SSO sẽ truy cập Canvas.
- Tạo ứng dụng SAML 2.0 tùy chỉnh trong AWS SSO và gán ứng dụng đó cho người dùng.
- Tạo những thứ cần thiết Quản lý truy cập và nhận dạng AWS (IAM) Nhà cung cấp SAML và vai trò AWS SSO.
- Ánh xạ thông tin cần thiết từ AWS SSO đến miền SageMaker thông qua ánh xạ thuộc tính.
- Truy cập ứng dụng Canvas từ AWS SSO.
Điều kiện tiên quyết
Để kết nối Canvas với AWS SSO, bạn phải thiết lập các điều kiện tiên quyết sau:
- AWS SSO tại một trong các Khu vực AWS được hỗ trợ. Để biết hướng dẫn, hãy tham khảo Bắt đầu.
- Miền SageMaker sử dụng IAM. Để biết hướng dẫn, hãy tham khảo Tích hợp vào Miền Amazon SageMaker bằng IAM.
Tạo hồ sơ người dùng miền Studio
Trong miền Studio, mọi người dùng đều có hồ sơ người dùng của riêng họ. Các ứng dụng Studio như Studio IDE, RStudio và Canvas có thể được tạo bởi các hồ sơ người dùng này và bị ràng buộc với hồ sơ người dùng đã tạo chúng.
Để AWS SSO có thể truy cập ứng dụng Canvas cho một hồ sơ người dùng nhất định, bạn phải ánh xạ tên hồ sơ người dùng với tên người dùng trong AWS SSO. Bằng cách này, tên người dùng AWS SSO — và do đó là tên hồ sơ người dùng — có thể được AWS SSO chuyển tự động sang Canvas.
Trong bài đăng này, chúng tôi giả định rằng người dùng AWS SSO đã có sẵn, được tạo trong điều kiện tiên quyết của việc giới thiệu AWS SSO. Bạn cần có hồ sơ người dùng cho từng người dùng AWS SSO mà bạn muốn đưa vào miền Studio của mình và do đó vào Canvas.
Để truy xuất thông tin này, hãy điều hướng đến Người dùng trên bảng điều khiển AWS SSO. Tại đây, bạn có thể thấy tên người dùng của người dùng của mình, trong trường hợp của chúng tôi davide-gallitelli
.
Với thông tin này, bây giờ bạn có thể truy cập miền Studio của mình và tạo hồ sơ người dùng mới có tên chính xác là davide-gallitelli
.
Nếu bạn có IdP khác, bạn có thể sử dụng bất kỳ thông tin nào do IdP đó cung cấp để đặt tên cho hồ sơ người dùng của bạn, miễn là nó là duy nhất cho miền của bạn. Chỉ cần đảm bảo rằng bạn lập bản đồ chính xác theo Ánh xạ thuộc tính AWS SSO.
Tạo ứng dụng SAML 2.0 tùy chỉnh trong AWS SSO
Bước tiếp theo là tạo ứng dụng SAML 2.0 tùy chỉnh trong AWS SSO.
- Trên bảng điều khiển AWS SSO, hãy chọn Ứng dụng trong khung điều hướng.
- Chọn Thêm một ứng dụng mới.
- Chọn Thêm ứng dụng SAML 2.0 tùy chỉnh.
- Tải xuống tệp siêu dữ liệu AWS SSO SAML mà bạn sử dụng trong quá trình định cấu hình IAM.
- Trong Tên hiển thị, nhập tên, chẳng hạn như
SageMaker Canvas
tiếp theo là Khu vực của bạn. - Trong Mô tả, nhập một mô tả tùy chọn.
- Trong URL bắt đầu ứng dụng, để nguyên.
- Trong Trạng thái chuyển tiếp, đi vào
https://YOUR-REGION.console.aws.amazon.com/sagemaker/home?region=YOUR-REGION#/studio/canvas/open/YOUR-STUDIO-DOMAIN-ID
. - Trong Thời lượng phiên, chọn thời lượng phiên của bạn. Chúng tôi đề nghị 8 giờ.
Sản phẩm Thời lượng phiên giá trị thể hiện lượng thời gian bạn muốn phiên người dùng kéo dài trước khi yêu cầu xác thực lại. Một giờ là an toàn nhất, trong khi nhiều thời gian hơn có nghĩa là ít cần tương tác hơn. Chúng tôi chọn 8 giờ trong trường hợp này, tương đương với một ngày làm việc. - Trong URL ACS của ứng dụng, nhập https://signin.aws.amazon.com/saml.
- Trong Đối tượng SAML ứng dụng, đi vào
urn:amazon:webservices
.
Sau khi cài đặt của bạn được lưu, cấu hình ứng dụng của bạn sẽ trông giống như ảnh chụp màn hình sau.
Giờ đây, bạn có thể chỉ định người dùng của mình cho ứng dụng này để ứng dụng xuất hiện trong cổng AWS SSO của họ sau khi đăng nhập. - trên Người dùng được chỉ định tab, chọn Chỉ định người dùng.
- Chọn người dùng của bạn.
Theo tùy chọn, nếu bạn muốn cho phép nhiều nhà khoa học dữ liệu và nhà phân tích kinh doanh trong công ty của bạn sử dụng Canvas, thì cách nhanh nhất và dễ nhất là sử dụng nhóm AWS SSO. Để làm như vậy, chúng tôi tạo hai nhóm AWS SSO: business-analysts
và data-scientists
. Chúng tôi chỉ định người dùng vào các nhóm này theo vai trò của họ, sau đó cấp quyền truy cập vào ứng dụng cho cả hai nhóm.
Định cấu hình nhà cung cấp IAM SAML và vai trò AWS SSO của bạn
Để định cấu hình nhà cung cấp IAM SAML của bạn, hãy hoàn thành các bước sau:
- Trên bảng điều khiển IAM, chọn Nhà cung cấp danh tính trong khung điều hướng.
- Chọn Thêm nhà cung cấp.
- Trong Loại nhà cung cấp, lựa chọn SAML.
- Trong Tên nhà cung cấp, nhập tên, chẳng hạn như
AWS_SSO_Canvas
. - Tải lên tài liệu siêu dữ liệu mà bạn đã tải xuống trước đó.
- Lưu ý ARN để sử dụng trong bước sau.
Chúng tôi cũng cần tạo một vai trò mới cho AWS SSO sử dụng để truy cập ứng dụng. - Trên bảng điều khiển IAM, chọn Vai trò trong khung điều hướng.
- Chọn Tạo vai trò.
- Trong Loại thực thể đáng tin cậy, lựa chọn Liên kết SAML 2.0.
- Trong Nhà cung cấp dựa trên SAML 2.0, chọn nhà cung cấp bạn đã tạo (
AWS_SSO_Canvas
). - Không chọn một trong hai phương pháp truy cập SAML 2.0.
- Trong đặc tính, chọn SAML: sub_type.
- Trong Giá trị, đi vào
persistent
. - Chọn Sau.
Chúng tôi cần cấp cho AWS SSO quyền để tạo URL được chỉ định trước của miền Studio, URL này chúng tôi cần thực hiện chuyển hướng đến Canvas. - trên Chính sách quyền trang, chọn Tạo chính sách.
- trên Tạo tab chính sách, chọn JSON và nhập mã sau:
- Chọn Tiếp theo: Thẻ và cung cấp thẻ nếu cần.
- Chọn Tiếp theo: Xem lại.
- Ví dụ: đặt tên cho chính sách
CanvasSSOPresignedURL
. - Chọn Tạo chính sách.
- Quay lại Thêm quyền và tìm kiếm chính sách bạn đã tạo.
- Chọn chính sách, sau đó chọn Sau.
- Đặt tên cho vai trò, chẳng hạn
AWS_SSO_Canvas_Role
và cung cấp một mô tả tùy chọn. - Trên trang đánh giá, hãy chỉnh sửa chính sách tin cậy để khớp với mã sau:
- Lưu các thay đổi, sau đó chọn Tạo vai trò.
- Lưu ý ARN của vai trò này, để sử dụng trong phần sau.
Định cấu hình ánh xạ thuộc tính trong AWS SSO
Bước cuối cùng là định cấu hình các ánh xạ thuộc tính. Các thuộc tính bạn ánh xạ ở đây trở thành một phần của xác nhận SAML được gửi đến ứng dụng. Bạn có thể chọn các thuộc tính người dùng trong bản đồ ứng dụng của mình với các thuộc tính người dùng tương ứng trong thư mục được kết nối của bạn. Để biết thêm thông tin, hãy tham khảo Ánh xạ thuộc tính.
- Trên bảng điều khiển AWS SSO, điều hướng đến ứng dụng bạn đã tạo.
- trên Ánh xạ thuộc tính , định cấu hình các ánh xạ sau:
Thuộc tính người dùng trong ứng dụng | Ánh xạ tới giá trị chuỗi này hoặc thuộc tính người dùng trong AWS SSO |
Subject |
${user:email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName |
${user:email} |
https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName |
${user:subject} |
https://aws.amazon.com/SAML/Attributes/Role |
, |
Bạn đã hoàn tất!
Truy cập ứng dụng Canvas từ AWS SSO
Trên bảng điều khiển AWS SSO, hãy ghi lại URL cổng thông tin người dùng. Chúng tôi khuyên bạn nên đăng xuất khỏi tài khoản AWS của mình trước hoặc mở cửa sổ trình duyệt ẩn danh. Điều hướng đến URL cổng người dùng, đăng nhập bằng thông tin xác thực bạn đã đặt cho người dùng AWS SSO, sau đó chọn ứng dụng Canvas của bạn.
Bạn sẽ tự động được chuyển hướng đến ứng dụng Canvas.
Kết luận
Trong bài đăng này, chúng tôi đã thảo luận về một giải pháp cho phép các nhà phân tích kinh doanh trải nghiệm ML không mã qua Canvas một cách bảo mật và thống nhất thông qua một cổng đăng nhập duy nhất. Để thực hiện việc này, chúng tôi đã định cấu hình Canvas làm ứng dụng SAML 2.0 tùy chỉnh trong AWS SSO. Các nhà phân tích kinh doanh hiện chỉ cần một cú nhấp chuột là có thể sử dụng Canvas và giải quyết những thách thức mới với ML không mã. Điều này mang lại khả năng bảo mật cần thiết cho các nhóm kỹ thuật và bảo mật đám mây, đồng thời cho phép các nhóm phân tích kinh doanh nhanh nhẹn và độc lập. Một quy trình tương tự có thể được lặp lại trong bất kỳ IdP nào bằng cách tái tạo các bước này và điều chỉnh chúng cho phù hợp với SSO cụ thể.
Để tìm hiểu thêm về Canvas, hãy xem Công bố Amazon SageMaker Canvas - Khả năng học máy trực quan, không cần mã cho các nhà phân tích kinh doanh. Canvas cũng cho phép hợp tác dễ dàng với các nhóm khoa học dữ liệu. Để tìm hiểu thêm, hãy xem Xây dựng, Chia sẻ, Triển khai: cách các nhà phân tích kinh doanh và nhà khoa học dữ liệu đạt được thời gian ra thị trường nhanh hơn bằng cách sử dụng ML không mã và Amazon SageMaker Canvas. Đối với quản trị viên CNTT, chúng tôi khuyên bạn nên kiểm tra Thiết lập và quản lý Amazon SageMaker Canvas (dành cho quản trị viên CNTT).
Lưu ý
Davide Gallitelli là Kiến trúc sư Giải pháp Chuyên gia về AI / ML trong khu vực EMEA. Anh ấy có trụ sở tại Brussels và làm việc chặt chẽ với khách hàng trên khắp Benelux. Anh ấy là một nhà phát triển từ khi còn rất trẻ, bắt đầu viết mã ở tuổi 7. Anh ấy bắt đầu học AI / ML trong những năm cuối đại học và đã yêu nó kể từ đó.
- Coinsmart. Sàn giao dịch Bitcoin và tiền điện tử tốt nhất Châu Âu.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. TRUY CẬP MIỄN PHÍ.
- CryptoHawk. Radar Altcoin. Dùng thử miễn phí.
- Nguồn: https://aws.amazon.com/blogs/machine-learning/enable-business-analysts-to-access-amazon-sagemaker-canvas-without-using-the-aws-management-console-with-aws- sso /
- "
- 100
- 7
- a
- Giới thiệu
- truy cập
- Theo
- Tài khoản
- chính xác
- Đạt được
- Hoạt động
- quản trị
- Tất cả
- Cho phép
- Đã
- đàn bà gan dạ
- số lượng
- công bố
- Một
- ứng dụng
- Các Ứng Dụng
- các ứng dụng
- ứng dụng
- giao
- thuộc tính
- Xác thực
- tự động
- có sẵn
- AWS
- trở nên
- trước
- biên giới
- trình duyệt
- Brussels
- xây dựng
- kinh doanh
- vải
- trường hợp
- thách thức
- kiểm tra
- Chọn
- lựa chọn
- đám mây
- mã
- hợp tác
- Các công ty
- công ty
- hoàn thành
- điều kiện
- Cấu hình
- Kết nối
- kết nối
- liên quan
- An ủi
- Tương ứng
- tạo
- tạo ra
- Credentials
- khách hàng
- khách hàng
- dữ liệu
- khoa học dữ liệu
- ngày
- triển khai
- Nhà phát triển
- phát triển
- miền
- xuống
- suốt trong
- mỗi
- hiệu lực
- cho phép
- cho phép
- Kỹ Sư
- Kỹ sư
- đảm bảo
- đăng ký hạng mục thi
- thực thể
- thành lập
- chính xác
- ví dụ
- hiện tại
- kinh nghiệm
- nhanh hơn
- nhanh nhất
- Tên
- tiếp theo
- từ
- tạo ra
- Các nhóm
- có
- tại đây
- Độ đáng tin của
- HTTPS
- Bản sắc
- bao gồm
- Bao gồm
- tăng
- các cá nhân
- thông tin
- tương tác
- Giao thức
- IT
- Ngôn ngữ
- LEARN
- học tập
- Rời bỏ
- dài
- Xem
- yêu
- máy
- học máy
- làm cho
- LÀM CHO
- quản lý
- quản lý
- quản lý
- bản đồ
- Trận đấu
- có nghĩa
- phương pháp
- ML
- mô hình
- chi tiết
- hầu hết
- Điều hướng
- THÔNG TIN
- cần thiết
- tiếp theo
- con số
- Tiếp nhận nhận việc
- mở
- Nền tảng khác
- riêng
- một phần
- người
- Nền tảng
- Chính sách
- điều luật
- Portal
- Dự đoán
- trước
- Hiệu trưởng
- quá trình
- Hồ sơ
- Profiles
- cho
- cung cấp
- nhà cung cấp dịch vụ
- nhà cung cấp
- gần đây
- gần đây
- chuyển hướng
- khu
- đại diện cho
- yêu cầu
- cần phải
- tài nguyên
- xem xét
- Vai trò
- Khoa học
- các nhà khoa học
- liền mạch
- Tìm kiếm
- an toàn
- Bảo mật
- an ninh
- dịch vụ
- định
- Chia sẻ
- tương tự
- kể từ khi
- duy nhất
- So
- rắn
- giải pháp
- Giải pháp
- chuyên gia
- riêng
- Bắt đầu
- bắt đầu
- Tuyên bố
- phòng thu
- hỗ trợ
- Hỗ trợ
- đội
- Công nghệ
- Công nghệ
- Sản phẩm
- vì thế
- Thông qua
- khắp
- thời gian
- công cụ
- NIỀM TIN
- độc đáo
- trường đại học
- sử dụng
- Người sử dụng
- giá trị
- phiên bản
- trong khi
- ở trong
- không có
- Công việc
- công trinh
- viết
- năm
- trẻ
- trên màn hình