Amazon SageMaker es un servicio completamente administrado que brinda a todos los desarrolladores de aprendizaje automático (ML) y científicos de datos la capacidad de crear, entrenar e implementar modelos de ML a escala. Estudio Amazon SageMaker es un entorno de desarrollo integrado (IDE) basado en la web para ML. Amazon SageMaker Studio proporciona todas las herramientas que necesita para llevar sus modelos de la experimentación a la producción mientras aumenta su productividad. Puede escribir código, rastrear experimentos, visualizar datos y realizar depuración y monitoreo dentro de una única interfaz visual integrada.
OneLogin es una plataforma de identidad para experiencias seguras, escalables e inteligentes que conecta a las personas con la tecnología. El motor de aprovisionamiento de usuarios basado en roles y autenticación de OneLogin permite a las organizaciones implementar controles de acceso con privilegios mínimos y eliminar los flujos de trabajo de administración manual de usuarios para todos los usuarios y cuentas de AWS.
En esta publicación, lo guiamos a través de los pasos para incorporar usuarios existentes en OneLogin a Amazon SageMaker Studio. También demostramos la experiencia de inicio de sesión único (SSO) para administradores de sistemas y usuarios de Amazon SageMaker Studio.
Componentes clave
La solución contiene los siguientes componentes clave:
- SSO de AWS – Inicio de sesión único de AWS (AWS SSO) le permite administrar de manera eficiente las identidades de los usuarios a escala al establecer una identidad única y una estrategia de acceso en sus propias aplicaciones, aplicaciones de terceros (SaaS) y entornos de AWS.
- Conector de OneLogin para AWS SSO – El conector configura la integración de SAML 2.0 y System for Cross-domain Integration Management (SCIM) entre OneLogin y AWS SSO.
- Usuarios y grupos – Los usuarios individuales o los usuarios que pertenecen a grupos específicos como administradores, desarrolladores o finanzas en OneLogin se sincronizan automáticamente con AWS SSO a través de SCIM.
- Dominio – Un componente principal de Amazon SageMaker Studio es un dominio. El dominio consta de una lista de usuarios autorizados (llamados perfiles de usuario) y configuraciones como Nube privada virtual de Amazon (Amazon VPC) y las configuraciones predeterminadas Gestión de identidades y accesos de AWS (IAM) función de ejecución.
- Perfil de usuario – El perfil de usuario (usuario) es una configuración para el usuario que existe en el dominio de SageMaker. El perfil de usuario define varios ajustes de configuración para el usuario, incluido el rol de ejecución y las especificaciones de la aplicación predeterminada.
- Rol de ejecución – La función de ejecución de IAM es la función principal que asumen los usuarios y el servicio en nombre del usuario para permitirles realizar determinadas acciones y aprovisionar recursos en Studio.
Arquitectura de referencia
El siguiente diagrama de arquitectura muestra el flujo de autenticación y autorización de OneLogin a Amazon SageMaker Studio. Los usuarios inician sesión a través de OneLogin, que los autentica y pasa una autenticación SAML a AWS SSO. Una vez que hayan iniciado sesión, pueden seleccionar la aplicación Amazon SageMaker Studio, que asume la función de ejecución de SageMaker adjunta a su perfil de usuario para crear una URL de dominio prefirmada. Esta URL de dominio prefirmada se utiliza directamente para que los usuarios inicien sesión en su entorno JupyterServer.
Requisitos previos
Asegúrese de tener los siguientes requisitos previos:
- Una cuenta OneLogin, para la cual usamos un Cuenta de desarrollador OneLogin para crear nuestra instancia de OneLogin y probar usuarios
- Una cuenta de AWS con privilegios de administrador para configurar la integración de AWS SSO y acceso para crear políticas para Amazon SageMaker Studio
Paso 1: Configure la aplicación de AWS en OneLogin
En su cuenta OneLogin, inicie sesión con privilegios de administrador y vaya a Aplicaciones. En la parte superior derecha, elige Agregar aplicación. A continuación, busque y elija AWS Single Sign-On.
Paso 2: Descargue los metadatos del proveedor de identidad
A continuación, necesitamos obtener los metadatos de IdP de OneLogin, que usamos para registrarnos en AWS. Dentro de su aplicación OneLogin AWS Single Sign-On, vaya a Más acciones, luego descargue y guarde los metadatos de IdP como onelogin-aws.xml
.
Paso 3: habilite AWS SSO y configure SCIM
Asegúrese de que AWS SSO esté habilitado. Si no, vea Habilitar AWS SSO. AWS SSO brinda soporte para el estándar SCIM v2.0. SCIM mantiene sus identidades de AWS SSO sincronizadas con las identidades de su IdP. Esto incluye cualquier aprovisionamiento, actualización y desaprovisionamiento de usuarios entre su IdP y AWS SSO. El uso de la integración SCIM le ahorra a sus equipos de administración y TI el tiempo y el esfuerzo de implementar soluciones personalizadas para replicar nombres de usuario y direcciones de correo electrónico entre AWS SSO y sus IdP.
- En la consola de AWS SSO, elija Ajustes en el panel de navegación.
- Al lado de Fuente de identidad, escoger Cambios.
- Seleccione Proveedor de identidad externo.
- Metadatos SAML de AWS SSO, cargue el XML de metadatos de OneLogin que descargó anteriormente.
- Actualizar el aprovisionamiento desde Manual a SCIM por elección Habilitar el aprovisionamiento automático.
Paso 4: obtenga información de integración de AWS SSO
Para completar la integración en el lado de OneLogin, necesita lo siguiente:
- Extremo SCIM (también conocido como URL base de SCIM)
- Token de acceso (también conocido como token de portador SCIM)
- URL de ACS de SSO de AWS
- URL del emisor de AWS SSO
La información está disponible en el Ajustes página en la consola de AWS SSO. El punto final y el token de acceso están en el Aprovisionamiento automático página, como se muestra en la siguiente captura de pantalla.
Elige Ver detalles para Autenticación SAML 2.0 y copie la URL de ACS de AWS SSO y la URL del emisor de AWS SSO.
Ahora que tiene estas cuatro piezas de información, es hora de ir a OneLogin para finalizar la integración.
Paso 5: establezca la autenticación SAML entre OneLogin (su IdP) y AWS SSO
Para establecer su autenticación SAML, complete los siguientes pasos:
- Vuelva a iniciar sesión en su portal OneLogin como administrador en su aplicación AWS SSO previamente configurada.
- Elige Configuración e ingrese los detalles que reunió en la sección anterior (URL del emisor de AWS SSO, URL de ACS de AWS SSO, URL base de SCIM y token de portador de SCIM) y elija Guardar.
Asegúrese de eliminar las barras diagonales finales (/).
- Elige Aprovisionamiento en el panel de navegación.
- Seleccione Habilitar aprovisionamiento.
- Se puede seleccionar Crear usuario, Borrar usuarioy Actualizar usuario para la aprobación del administrador sobre estas acciones.
- Guarde su configuración.
Paso 6: asigne y sincronice usuarios de OneLogin a AWS SSO para acceder a Amazon SageMaker Studio
En su portal OneLogin, en la cinta superior, navegue hasta Usuarios y asigne los usuarios de su organización a su aplicación AWS Single Sign-On recién creada para proporcionar acceso a Amazon SageMaker Studio.
Verifique si este usuario o grupo se ha sincronizado con AWS SSO a través de SCIM marcando el Usuarios página en la consola de AWS SSO.
Paso 7: Cree su entorno de Amazon SageMaker Studio
Puede configurar su entorno de Amazon SageMaker Studio navegando a Amazon SageMaker Studio en su cuenta de AWS.
- En la consola de SageMaker, elija Estudio Amazon SageMaker.
- Elige ¡Empieza aquí! y seleccionar Configuración estándar.
- Método de autentificación, seleccione Inicio de sesión único (SSO) de AWS).
Asegúrese de que AWS SSO esté habilitado en la misma región que su Amazon SageMaker Studio.
- under Permiso, cree un nuevo rol de IAM con acceso adecuado a Servicio de almacenamiento simple de Amazon (Amazon S3) o elija un rol de IAM existente.
Paso 8: Especifique configuraciones adicionales para Amazon SageMaker Studio
También tiene la opción de establecer configuraciones adicionales.
- Utilice los valores predeterminados para Configuración de uso compartido de red y Proyectos de SageMaker y JumpStart.
- En Red y almacenamiento sección, usamos nuestra VPC y subredes personalizadas, lo que crea la Sistema de archivos elástico de Amazon (Amazon EFS) en la VPC que especificamos.
- Seleccione Solo internet público para permitir el acceso predeterminado a Internet para SageMaker.
- Elige Enviar.
Amazon SageMaker Studio crea un dominio y configura AWS SSO para el dominio. Este proceso debería tardar unos 10 minutos en completarse. El estado del dominio se muestra como Listo cuando se completa el aprovisionamiento.
Paso 9: Asigne usuarios a su entorno de Amazon SageMaker Studio recién creado
Elige Asignar usuarios y grupos para asignar usuarios que se crearon a través de OneLogin y están sincronizados con AWS SSO.
Puede asignar usuarios al entorno de Amazon SageMaker Studio seleccionando la casilla de verificación junto a Nombre para mostrar y Correo electrónico.
Paso 10: Verifique la integración e inicie sesión en su entorno de Amazon SageMaker Studio
under Resumen de Studio, puedes notar la Rol de ejecución que creó en el paso anterior. Ahora puede iniciar sesión en su entorno de Amazon SageMaker Studio.
- Inicie sesión en el portal de usuario de OneLogin.
- Elija la aplicación AWS SSO.
- Elija el mosaico que dice Amazon SageMaker Studio para iniciar sesión sin problemas en su entorno de Amazon SageMaker Studio.
Ha iniciado sesión directamente en su perfil de usuario dentro de Amazon SageMaker Studio.
También puede verificar los perfiles de usuario en Amazon SageMaker Studio directamente usando el Interfaz de línea de comandos de AWS (CLI de AWS):
Conclusión
En esta publicación, repasamos los pasos para incorporar a los usuarios existentes de OneLogin SSO a Amazon SageMaker Studio. También analizamos una arquitectura de referencia y cómo verificar la configuración. Para obtener más información sobre el uso de AWS SSO con Amazon SageMaker Studio, consulte Incorporación a Amazon SageMaker Studio mediante AWS SSO.
Sobre la autora
Sam Palani es un arquitecto de soluciones especializado en IA / ML en AWS. Le gusta trabajar con los clientes para ayudarlos a diseñar soluciones de aprendizaje automático a escala. Cuando no está ayudando a los clientes, le gusta leer y explorar el aire libre.
Sunil Ramachandra es gerente técnico sénior de cuentas en AWS. Como asesor técnico principal y "voz del cliente", ayuda a organizaciones que van desde empresas emergentes hasta empresas Fortune 500 a innovar y operar sus cargas de trabajo en AWS. A Sunil le apasiona crear integraciones de AWS que permitan a los proveedores de software independientes (ISV). Cuando no está ayudando a los clientes, a Sunil le gusta pasar tiempo con su familia, correr, meditar y mirar películas u originales en Prime Video.
- '
- 100
- 110
- 7
- 9
- de la máquina
- Mi Cuenta
- Adicionales
- Admin
- tutor
- Todos
- Amazon
- Amazon SageMaker
- applicación
- Aplicación
- aplicaciones
- arquitectura
- en torno a
- Autenticación
- autorización
- AWS
- impulsar
- Box
- build
- Construir la
- comprobación
- código
- componente
- Clientes
- datos
- científico de datos
- Developer
- desarrolladores
- Desarrollo
- Punto final
- Entorno
- ejecución
- experience
- Experiencias
- familia
- financiar
- de tus señales
- Gratuito
- Grupo procesos
- Cómo
- Como Hacer
- HTTPS
- AMI
- Identidad
- Incluye
- información
- integración
- integraciones
- Internet
- IT
- Clave
- aprendizaje
- línea
- Lista
- miró
- máquina de aprendizaje
- Management
- ML
- monitoreo
- Películas
- nombres
- Navegación
- Optión
- organización
- para las fiestas.
- al exterior
- Personas
- plataforma
- políticas
- Portal
- Director de la escuela
- privada
- Producción
- productividad
- Mi Perfil
- Perfiles
- proyecta
- Reading
- Recursos
- correr
- SaaS
- sabio
- Escala
- Buscar
- set
- sencillos
- inteligente
- Software
- Soluciones
- Gastos
- fundó
- Estado
- STORAGE
- Estrategia
- SOPORTE
- te
- Técnico
- Tecnología
- test
- equipo
- ficha
- parte superior
- seguir
- Actualizaciones
- usuarios
- vendedores
- Video
- Virtual
- QUIENES
- dentro de
- XML