Amazon Sage Maker est un service entièrement géré qui offre à chaque développeur de machine learning (ML) et data scientist la possibilité de créer, former et déployer des modèles ML à grande échelle. Amazon SageMakerStudio est un environnement de développement intégré (IDE) basé sur le Web pour le ML. Amazon SageMaker Studio fournit tous les outils dont vous avez besoin pour faire passer vos modèles de l'expérimentation à la production tout en augmentant votre productivité. Vous pouvez écrire du code, suivre des expériences, visualiser des données et effectuer le débogage et la surveillance au sein d'une interface visuelle unique et intégrée.
OneLogin est une plateforme d'identité pour des expériences sécurisées, évolutives et intelligentes qui connecte les gens à la technologie. Le moteur d'authentification et de provisionnement des utilisateurs basé sur les rôles de OneLogin permet aux organisations de mettre en œuvre des contrôles d'accès au moindre privilège et d'éliminer les flux de travail manuels de gestion des utilisateurs pour tous les utilisateurs et comptes AWS.
Dans cet article, nous vous expliquons les étapes à suivre pour intégrer les utilisateurs existants dans OneLogin à Amazon SageMaker Studio. Nous démontrons également l'expérience d'authentification unique (SSO) pour les administrateurs système et les utilisateurs d'Amazon SageMaker Studio.
Composants clés
La solution contient les composants clés suivants :
- AWSSSO - Authentification unique AWS (AWS SSO) vous permet de gérer efficacement les identités des utilisateurs à grande échelle en établissant une stratégie unique d'identité et d'accès pour vos propres applications, applications tierces (SaaS) et environnements AWS.
- Connecteur de OneLogin pour AWS SSO – Le connecteur configure SAML 2.0 et l'intégration du système pour la gestion de l'intégration inter-domaines (SCIM) entre OneLogin et AWS SSO.
- Utilisateurs et groupes – Les utilisateurs individuels ou les utilisateurs appartenant à des groupes spécifiques tels que les administrateurs, les développeurs ou les finances dans OneLogin sont automatiquement synchronisés avec AWS SSO via SCIM.
- Domaine – Un composant principal d'Amazon SageMaker Studio est un domaine. Le domaine se compose d'une liste d'utilisateurs autorisés (appelés profils utilisateur) et de configurations telles que Cloud privé virtuel Amazon (Amazon VPC) et la valeur par défaut Gestion des identités et des accès AWS (IAM) rôle d'exécution.
- Profil de l'utilisateur – Le profil utilisateur (utilisateur) est une configuration pour l'utilisateur qui existe dans le domaine SageMaker. Le profil utilisateur définit divers paramètres de configuration pour l'utilisateur, notamment le rôle d'exécution et les spécifications de l'application par défaut.
- Rôle d'exécution – Le rôle d'exécution IAM est le rôle principal assumé par les utilisateurs et le service au nom de l'utilisateur pour leur permettre d'effectuer certaines actions et de provisionner des ressources dans Studio.
Architecture de référence
Le diagramme d'architecture suivant montre le flux d'authentification et d'autorisation de OneLogin vers Amazon SageMaker Studio. Les utilisateurs se connectent via OneLogin, qui les authentifie et transmet une authentification SAML à AWS SSO. Une fois connectés, ils peuvent sélectionner l'application Amazon SageMaker Studio, qui assume le rôle d'exécution SageMaker attaché à leur profil utilisateur pour créer une URL de domaine pré-signée. Cette URL de domaine pré-signée est utilisée directement pour connecter les utilisateurs à leur environnement JupyterServer.
Pré-requis
Assurez-vous d'avoir les prérequis suivants :
- Un compte OneLogin, pour lequel nous utilisons un compte gratuit Compte développeur OneLogin pour créer notre instance OneLogin et tester les utilisateurs
- Un compte AWS avec des privilèges d'administrateur pour configurer l'intégration AWS SSO et un accès pour créer des politiques pour Amazon SageMaker Studio
Étape 1 : Configurez l'application AWS dans OneLogin
Sur votre compte OneLogin, connectez-vous avec les privilèges d'administrateur et accédez à Applications. En haut à droite, choisissez Ajouter une application. Ensuite, recherchez puis choisissez AWS Single Sign-On.
Étape 2 : Téléchargez les métadonnées du fournisseur d'identité
Ensuite, nous devons obtenir les métadonnées IdP de OneLogin, que nous utilisons pour nous inscrire sur AWS. Dans votre application OneLogin AWS Single Sign-On, accédez à Plus de possibilités, puis téléchargez et enregistrez les métadonnées IdP sous onelogin-aws.xml
.
Étape 3 : Activez AWS SSO et configurez SCIM
Assurez-vous qu'AWS SSO est activé. Sinon, voir Activer l'authentification unique AWS. AWS SSO prend en charge la norme SCIM v2.0. SCIM maintient vos identités AWS SSO synchronisées avec les identités de votre IdP. Cela inclut tout provisionnement, mise à jour et déprovisionnement d'utilisateurs entre votre IdP et AWS SSO. L'utilisation de l'intégration SCIM permet à vos équipes informatiques et administratives d'économiser du temps et des efforts liés à la mise en œuvre de solutions personnalisées pour la réplication croisée des noms d'utilisateur et des adresses e-mail entre AWS SSO et vos IdP.
- Sur la console AWS SSO, choisissez Paramètres dans le volet de navigation.
- À côté de Source d'identité, choisissez Modifier.
- Sélectionnez Fournisseur d'identité externe.
- Pour Métadonnées AWS SSO SAML, téléchargez le XML des métadonnées OneLogin que vous avez téléchargé précédemment.
- Mettre à jour le provisionnement à partir de Manuelle à SCIM en choisissant Activer le provisionnement automatique.
Étape 4 : Obtenez des informations d'intégration auprès d'AWS SSO
Pour terminer l'intégration côté OneLogin, vous avez besoin des éléments suivants :
- Point de terminaison SCIM (également connue sous le nom d'URL de base SCIM)
- Jeton d'accès (également connu sous le nom de jeton SCIM Bearer)
- URL AWS SSO ACS
- URL de l'émetteur AWS SSO
Les informations sont disponibles sur le Paramètres sur la console AWS SSO. Le point de terminaison et le jeton d'accès se trouvent sur le Approvisionnement automatique page, comme illustré dans la capture d'écran suivante.
Selectionnez Plus de détails en Authentification SAML 2.0 et copiez l'URL AWS SSO ACS et l'URL de l'émetteur AWS SSO.
Maintenant que vous disposez de ces quatre informations, il est temps de passer à OneLogin pour finaliser l'intégration.
Étape 5 : Établissez l'authentification SAML entre OneLogin (votre IdP) et AWS SSO
Pour établir votre authentification SAML, procédez comme suit :
- Reconnectez-vous à votre portail OneLogin en tant qu'administrateur dans votre application AWS SSO précédemment configurée.
- Selectionnez configuration et entrez les détails que vous avez rassemblés dans la section précédente (URL de l'émetteur AWS SSO, URL AWS SSO ACS, URL de base SCIM et jeton SCIM Bearer) et choisissez Épargnez.
Assurez-vous de supprimer toutes les barres obliques finales (/).
- Selectionnez Provisioning dans le volet de navigation.
- Sélectionnez Activer le provisionnement.
- Vous pouvez sélectionner Créer un utilisateur, Supprimer l'utilisateuret Mettre à jour l'utilisateur pour l’approbation de l’administrateur sur ces actions.
- Enregistrez votre configuration.
Étape 6 : Attribuez et synchronisez les utilisateurs de OneLogin vers AWS SSO, pour accéder à Amazon SageMaker Studio
Dans votre portail OneLogin, dans le ruban supérieur, accédez à Utilisateurs et attribuez les utilisateurs de votre organisation à votre application AWS Single Sign-On nouvellement créée pour fournir un accès à Amazon SageMaker Studio.
Vérifiez si cet utilisateur ou ce groupe s'est synchronisé avec AWS SSO via SCIM en cochant la case Utilisateurs sur la console AWS SSO.
Étape 7 : Créez votre environnement Amazon SageMaker Studio
Vous pouvez configurer votre environnement Amazon SageMaker Studio en accédant à Amazon SageMaker Studio sur votre compte AWS.
- Sur la console SageMaker, choisissez Amazon SageMakerStudio.
- Selectionnez Commencez et sélectionnez Configuration standard.
- Pour Méthode d'authentification, sélectionnez Authentification unique AWS (SSO).
Assurez-vous qu'AWS SSO est activé dans la même région que votre Amazon SageMaker Studio.
- Sous Autorisation, créez un nouveau rôle IAM avec un accès approprié à Service de stockage simple Amazon (Amazon S3), ou choisissez un rôle IAM existant.
Étape 8 : Spécifier des configurations supplémentaires pour Amazon SageMaker Studio
Vous avez également la possibilité de définir des configurations supplémentaires.
- Utilisez les valeurs par défaut pour Configuration du partage réseau ainsi que Projets SageMaker et JumpStart.
- Dans le Réseau et stockage section, nous utilisons notre VPC et nos sous-réseaux personnalisés, ce qui crée le Système de fichiers Amazon Elastic (Amazon EFS) dans le VPC que nous spécifions.
- Sélectionnez Internet public uniquement pour autoriser l'accès Internet par défaut pour SageMaker.
- Selectionnez Envoyer.
Amazon SageMaker Studio crée un domaine et configure AWS SSO pour le domaine. Ce processus devrait prendre environ 10 minutes. L'état du domaine indique Prêt lorsque le provisionnement est terminé.
Étape 9 : Attribuez des utilisateurs à votre environnement Amazon SageMaker Studio nouvellement créé
Selectionnez Attribuer des utilisateurs et des groupes pour attribuer des utilisateurs créés via OneLogin et synchronisés dans AWS SSO.
Vous pouvez attribuer des utilisateurs à l'environnement Amazon SageMaker Studio en cochant la case en regard de Pseudo ainsi que E-mail.
Étape 10 : Vérifiez l'intégration et connectez-vous à votre environnement Amazon SageMaker Studio
Sous Résumé du studio, vous pouvez remarquer le Rôle d'exécution que vous avez créé à l'étape précédente. Vous pouvez désormais vous connecter à votre environnement Amazon SageMaker Studio.
- Connectez-vous au portail utilisateur OneLogin.
- Choisissez l'application AWS SSO.
- Choisissez la vignette indiquant Amazon SageMaker Studio pour vous connecter de manière transparente à votre environnement Amazon SageMaker Studio.
Vous êtes connecté directement à votre profil utilisateur dans Amazon SageMaker Studio.
Vous pouvez également vérifier les profils utilisateur dans Amazon SageMaker Studio directement à l'aide de l'outil Interface de ligne de commande AWS (AWS CLI) :
Conclusion
Dans cet article, nous avons parcouru les étapes d'intégration des utilisateurs OneLogin SSO existants dans Amazon SageMaker Studio. Nous avons également examiné une architecture de référence et comment vérifier la configuration. Pour plus d'informations sur l'utilisation d'AWS SSO avec Amazon SageMaker Studio, consultez Intégration à Amazon SageMaker Studio à l'aide d'AWS SSO.
À propos de l’auteur
Sam Palani est un architecte de solutions spécialisé AI / ML chez AWS. Il aime travailler avec les clients pour les aider à concevoir des solutions d'apprentissage automatique à grande échelle. Lorsqu'il n'aide pas les clients, il aime lire et explorer le plein air.
Sunil Ramachandra est responsable de compte technique senior chez AWS. En tant que conseiller technique principal et « voix du client », il aide des organisations allant des start-ups aux entreprises Fortune 500 à innover et à exploiter leurs charges de travail sur AWS. Sunil est passionné par la création d'intégrations AWS qui permettent aux fournisseurs de logiciels indépendants (ISV). Lorsqu'il n'aide pas ses clients, Sunil aime passer du temps avec sa famille, courir, méditer et regarder des films ou des originaux sur Prime Video.
- '
- 100
- 110
- 7
- 9
- accès
- Compte
- Supplémentaire
- admin
- conseiller
- Tous
- Amazon
- Amazon Sage Maker
- appli
- Candidature
- applications
- architecture
- autour
- Authentification
- autorisation
- AWS
- stimuler
- Box
- construire
- Développement
- vérification
- code
- composant
- Clients
- données
- Data Scientist
- Développeur
- mobiles
- Développement
- Endpoint
- Environment
- exécution
- Découvrez
- Expériences
- famille
- finance
- flux
- Test d'anglais
- Réservation de groupe
- Comment
- How To
- HTTPS
- IAM
- Active
- Y compris
- d'information
- l'intégration
- intégrations
- Internet
- IT
- clés / KEY :
- apprentissage
- Gamme
- Liste
- regardé
- machine learning
- gestion
- ML
- Stack monitoring
- Films
- noms
- Navigation
- Option
- organisation
- organisations
- l'extérieur
- Personnes
- plateforme
- politiques
- Portail
- Directeur
- Privé
- Vidéo
- productivité
- Profil
- Profils
- projets
- en cours
- Ressources
- pour le running
- SaaS.
- sagemaker
- Escaliers intérieurs
- Rechercher
- set
- étapes
- smart
- Logiciels
- Solutions
- Dépenses
- j'ai commencé
- Statut
- storage
- de Marketing
- Support
- combustion propre
- Technique
- Technologie
- tester
- fiable
- jeton
- top
- suivre
- Actualités
- utilisateurs
- fournisseurs
- Vidéo
- Salle de conférence virtuelle
- WHO
- dans les
- XML