IT 在最近几年得到了发展:由于低代码和无代码 (LCNC) 技术,越来越多具有不同背景的人需要访问工具和平台,而这些工具和平台以前是公司中更精通技术的个人的特权,例如工程师或开发人员。
在这些 LCNC 技术中,我们最近宣布了 亚马逊 SageMaker 画布,一个可视化的点击式界面,供业务分析师构建机器学习 (ML) 模型并生成准确的预测,而无需编写代码或具有任何先前的 ML 经验。
为了在确保环境安全的同时为这些新用户提供敏捷性,许多公司选择采用单点登录技术,例如 AWS单一登录. AWS SSO 是一种基于云的单点登录服务,可以轻松集中管理对所有 AWS 账户和云应用程序的 SSO 访问。 它包括一个用户门户,最终用户可以在其中找到并访问所有分配给他们的 AWS 账户和云应用程序,包括支持安全断言标记语言 (SAML) 2.0 的自定义应用程序。
在这篇文章中,我们将引导您完成在 AWS SSO 中将 Canvas 配置为自定义 SAML 2.0 应用程序的必要步骤,以便您的业务分析师可以使用来自 AWS SSO 或其他现有身份提供商 (IdP) 的凭证无缝访问 Canvas,而无需需要通过 AWS管理控制台.
解决方案概述
建立从 AWS SSO 到 亚马逊SageMaker Studio 域应用程序,您必须完成以下步骤:
- 在 Studio 中为应该访问 Canvas 的每个 AWS SSO 用户创建一个用户配置文件。
- 在 AWS SSO 中创建自定义 SAML 2.0 应用程序并将其分配给用户。
- 创建必要的 AWS身份和访问管理 (IAM) SAML 提供商和 AWS SSO 角色。
- 通过属性映射将必要信息从 AWS SSO 映射到 SageMaker 域。
- 从 AWS SSO 访问 Canvas 应用程序。
先决条件
要将 Canvas 连接到 AWS SSO,您必须设置以下先决条件:
- 受支持的 AWS 区域之一中的 AWS SSO。 有关说明,请参阅 入门.
- 使用 IAM 的 SageMaker 域。 有关说明,请参阅 使用 IAM 载入 Amazon SageMaker 域.
创建 Studio 域用户配置文件
在 Studio 域中,每个用户都有自己的用户配置文件。 Studio IDE、RStudio 和 Canvas 等 Studio 应用程序可以由这些用户配置文件创建,并绑定到创建它们的用户配置文件。
要让 AWS SSO 访问给定用户配置文件的 Canvas 应用程序,您必须将用户配置文件名称映射到 AWS SSO 中的用户名。 这样,AWS SSO 可以自动将 AWS SSO 用户名以及用户配置文件名称传递给 Canvas。
在本文中,我们假设 AWS SSO 用户已经可用,这些用户是在加入 AWS SSO 的先决条件期间创建的。 您需要为每个想要加入 Studio 域并因此加入 Canvas 的 AWS SSO 用户提供用户配置文件。
要检索此信息,请导航到 用户 AWS SSO 控制台上的页面。 在这里您可以看到您的用户的用户名,在我们的例子中 davide-gallitelli
.
有了这些信息,您现在可以转到您的 Studio 域并创建一个新的用户配置文件,名为 davide-gallitelli
.
如果您有另一个 IdP,您可以使用它提供的任何信息来命名您的用户配置文件,只要它对于您的域是唯一的。 只要确保根据以下正确映射它 AWS SSO 属性映射.
在 AWS SSO 中创建自定义 SAML 2.0 应用程序
下一步是在 AWS SSO 中创建自定义 SAML 2.0 应用程序。
- 在 AWS SSO 控制台上,选择 应用领域 在导航窗格中。
- 添加新应用程序.
- 添加自定义 SAML 2.0 应用程序.
- 下载您在 IAM 配置期间使用的 AWS SSO SAML 元数据文件。
- 针对 显示名称,输入名称,例如
SageMaker Canvas
其次是您的地区。 - 针对 产品描述,输入可选说明。
- 针对 应用程序启动 URL,保持原样。
- 针对 继电器状态,输入
https://YOUR-REGION.console.aws.amazon.com/sagemaker/home?region=YOUR-REGION#/studio/canvas/open/YOUR-STUDIO-DOMAIN-ID
. - 针对 会话时长,选择您的会话持续时间。 我们建议 8 小时。
会话时长 value 表示您希望用户会话在再次需要身份验证之前持续的时间量。 一小时是最安全的,而更多的时间意味着更少的交互需求。 在这种情况下,我们选择 8 小时,相当于一个工作日。 - 针对 应用程序 ACS URL,输入 https://signin.aws.amazon.com/saml。
- 针对 应用程序 SAML 受众,输入
urn:amazon:webservices
.
保存设置后,您的应用程序配置应类似于以下屏幕截图。
您现在可以将您的用户分配给该应用程序,以便该应用程序在登录后出现在他们的 AWS SSO 门户中。 - 点击 分配的用户 标签,选择 分配用户.
- 选择您的用户。
或者,如果您想让公司中的许多数据科学家和业务分析师使用 Canvas,最快、最简单的方法是使用 AWS SSO 组。 为此,我们创建了两个 AWS SSO 组: business-analysts
和 data-scientists
. 我们根据用户的角色将用户分配到这些组,然后将应用程序的访问权限授予两个组。
配置您的 IAM SAML 提供商和 AWS SSO 角色
要配置您的 IAM SAML 提供商,请完成以下步骤:
- 在IAM控制台上,选择 身份提供者 在导航窗格中。
- 添加提供商.
- 针对 提供者类型, 选择 安全反洗钱.
- 针对 提供者名称,输入名称,例如
AWS_SSO_Canvas
. - 上传您之前下载的元数据文档。
- 记下要在后续步骤中使用的 ARN。
我们还需要为 AWS SSO 创建一个新角色以用于访问应用程序。 - 在IAM控制台上,选择 角色 在导航窗格中。
- 创建角色.
- 针对 可信实体类型, 选择 SAML 2.0 联盟.
- 针对 基于 SAML 2.0 的提供程序, 选择您创建的提供程序 (
AWS_SSO_Canvas
). - 不要选择两种 SAML 2.0 访问方法中的任何一种。
- 针对 属性,选择 SAML:子类型.
- 针对 值,输入
persistent
. - 下一页.
我们需要授予 AWS SSO 创建 Studio 域预签名 URL 的权限,我们需要执行到 Canvas 的重定向。 - 点击 权限策略 页面,选择 建立政策.
- 点击 创建策略选项卡,选择 JSON 并输入以下代码:
- 下一个:标签 并在需要时提供标签。
- 下一篇:回顾.
- 命名策略,例如
CanvasSSOPresignedURL
. - 建立政策.
- 返回到 添加权限 页面并搜索您创建的策略。
- 选择策略,然后选择 下一页.
- 命名角色,例如
AWS_SSO_Canvas_Role
,并提供可选描述。 - 在审查页面上,编辑信任策略以匹配以下代码:
- 保存更改,然后选择 创建角色.
- 还要注意此角色的 ARN,以便在下一节中使用。
在 AWS SSO 中配置属性映射
最后一步是配置属性映射。 您在此处映射的属性将成为发送到应用程序的 SAML 断言的一部分。 您可以选择应用程序中的哪些用户属性映射到连接目录中的相应用户属性。 有关详细信息,请参阅 属性映射.
- 在 AWS SSO 控制台上,导航到您创建的应用程序。
- 点击 属性映射 选项卡,配置以下映射:
应用程序中的用户属性 | 映射到 AWS SSO 中的此字符串值或用户属性 |
Subject |
${user:email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName |
${user:email} |
https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName |
${user:subject} |
https://aws.amazon.com/SAML/Attributes/Role |
, |
你完成了!
从 AWS SSO 访问 Canvas 应用程序
在 AWS SSO 控制台上,记下用户门户 URL。 我们建议您先退出您的 AWS 账户,或打开一个隐身浏览器窗口。 导航到用户门户 URL,使用您为 AWS SSO 用户设置的凭证登录,然后选择您的 Canvas 应用程序。
您将自动重定向到 Canvas 应用程序。
结论
在这篇文章中,我们讨论了一种解决方案,使业务分析师能够通过单点登录门户以安全和统一的方式通过 Canvas 体验无代码机器学习。 为此,我们将 Canvas 配置为 AWS SSO 中的自定义 SAML 2.0 应用程序。 业务分析师现在只需单击一下即可使用 Canvas 并使用无代码 ML 解决新挑战。 这实现了云工程和安全团队所需的安全性,同时允许业务分析师团队的敏捷性和独立性。 通过复制这些步骤并将它们适应特定的 SSO,可以在任何 IdP 中复制类似的过程。
要了解有关 Canvas 的更多信息,请查看 宣布推出 Amazon SageMaker Canvas – 面向业务分析师的可视化、无代码机器学习功能. Canvas 还支持与数据科学团队轻松协作。 要了解更多信息,请参阅 构建、共享、部署:业务分析师和数据科学家如何使用无代码 ML 和 Amazon SageMaker Canvas 缩短上市时间. 对于 IT 管理员,我们建议您查看 设置和管理 Amazon SageMaker Canvas(适用于 IT 管理员).
关于作者
戴维德·加利特利 是 EMEA 地区的 AI/ML 专家解决方案架构师。 他常驻布鲁塞尔,与比荷卢三国的客户密切合作。 他从小就是一名开发人员,7 岁开始写代码。他在大学的晚年开始学习 AI/ML,并从此爱上了它。
- "
- 100
- 7
- a
- 关于
- ACCESS
- 根据
- 账号管理
- 精准的
- 操作
- 管理员
- 所有类型
- 允许
- 已经
- Amazon
- 量
- 公布
- 另一个
- 应用
- 应用领域
- 应用领域
- 应用
- 分配
- 属性
- 认证
- 自动
- 可使用
- AWS
- 成为
- before
- 边界
- 浏览器
- 布鲁塞尔
- 建立
- 商业
- 帆布
- 案件
- 挑战
- 检查
- 选择
- 云端技术
- 码
- 合作
- 公司
- 公司
- 完成
- 流程条件
- 配置
- 分享链接
- 已联繫
- 地都
- 安慰
- 相应
- 创建信息图
- 创建
- 资历
- 习俗
- 顾客
- data
- 数据科学
- 天
- 部署
- 开发商
- 开发
- 域
- 向下
- ,我们将参加
- 每
- 效果
- enable
- 使
- 工程师
- 工程师
- 保证
- 输入
- 实体
- 建立
- 究竟
- 例子
- 现有
- 体验
- 快
- 最快
- 姓氏:
- 以下
- 止
- 生成
- 组的
- 有
- 此处
- 创新中心
- HTTPS
- 身分
- 包括
- 包含
- 增加
- 个人
- 信息
- 相互作用
- 接口
- IT
- 语言
- 学习用品
- 学习
- 离开
- 长
- 看
- 爱
- 机
- 机器学习
- 使
- 制作
- 管理
- 颠覆性技术
- 管理的
- 地图
- 匹配
- 手段
- 方法
- ML
- 模型
- 更多
- 最先进的
- 导航
- 旅游导航
- 必要
- 下页
- 数
- 前期洽谈
- 打开
- 其他名称
- 己
- 部分
- 员工
- 平台
- 政策
- 政策
- 门户网站
- 预测
- 以前
- 校长
- 过程
- 本人简介
- 简介
- 提供
- 提供
- 提供者
- 供应商
- 最近
- 最近
- 重定向
- 地区
- 代表
- 要求
- 必须
- 资源
- 检讨
- 角色
- 科学
- 科学家
- 无缝
- 搜索
- 安全
- 担保
- 保安
- 服务
- 集
- Share
- 类似
- 自
- 单
- So
- 固体
- 方案,
- 解决方案
- 专家
- 具体的
- 开始
- 开始
- 个人陈述
- 工作室
- SUPPORT
- 支持
- 队
- 技术
- 专业技术
- 因此
- 通过
- 始终
- 次
- 工具
- 信任
- 独特
- 大学
- 使用
- 用户
- 折扣值
- 版本
- 而
- 中
- 也完全不需要
- 工作
- 合作
- 写作
- 年
- 年轻
- 您一站式解决方案