Amazon Sage Maker è un servizio completamente gestito che offre a ogni sviluppatore di machine learning (ML) e data scientist la possibilità di creare, addestrare e distribuire modelli ML su larga scala. Amazon Sage Maker Studio è un ambiente di sviluppo integrato (IDE) basato sul Web per ML. Amazon SageMaker Studio fornisce tutti gli strumenti necessari per portare i tuoi modelli dalla sperimentazione alla produzione, aumentando al tempo stesso la tua produttività. Puoi scrivere codice, tenere traccia di esperimenti, visualizzare dati ed eseguire debug e monitoraggio all'interno di un'unica interfaccia visiva integrata.
OneLogin è una piattaforma di identità per esperienze sicure, scalabili e intelligenti che connette le persone alla tecnologia. Il motore di autenticazione e provisioning degli utenti basato sui ruoli di OneLogin consente alle organizzazioni di implementare controlli di accesso con privilegi minimi ed eliminare i flussi di lavoro di gestione manuale degli utenti per tutti gli utenti e gli account AWS.
In questo post ti guideremo attraverso i passaggi per integrare gli utenti esistenti in OneLogin in Amazon SageMaker Studio. Dimostriamo inoltre l'esperienza Single Sign-On (SSO) per gli amministratori di sistema e gli utenti di Amazon SageMaker Studio.
Componenti chiave
La soluzione contiene i seguenti componenti chiave:
- SSO dell'AWS - Accesso singolo AWS (AWS SSO) ti consente di gestire in modo efficiente le identità degli utenti su larga scala stabilendo un'unica identità e una strategia di accesso tra le tue applicazioni, applicazioni di terze parti (SaaS) e ambienti AWS.
- Il connettore di OneLogin per AWS SSO – Il connettore configura l'integrazione SAML 2.0 e System for Cross-domain Integration Management (SCIM) tra OneLogin e AWS SSO.
- Utenti e gruppi – I singoli utenti o gli utenti appartenenti a gruppi specifici come amministratori, sviluppatori o addetti finanziari in OneLogin vengono automaticamente sincronizzati con AWS SSO tramite SCIM.
- Dominio – Un componente principale di Amazon SageMaker Studio è un dominio. Il dominio è costituito da un elenco di utenti autorizzati (chiamati profili utente) e configurazioni come Cloud privato virtuale di Amazon (Amazon VPC) e le configurazioni predefinite Gestione dell'identità e dell'accesso di AWS (IAM) ruolo di esecuzione.
- Profilo utente – Il profilo utente (utente) è una configurazione per l'utente esistente nel dominio SageMaker. Il profilo utente definisce varie impostazioni di configurazione per l'utente, incluso il ruolo di esecuzione e le specifiche predefinite dell'app.
- Ruolo di esecuzione – Il ruolo di esecuzione IAM è il ruolo principale assunto dagli utenti e dal servizio per conto dell'utente per consentire loro di eseguire determinate azioni e fornire risorse in Studio.
Architettura di riferimento
Il seguente diagramma dell'architettura mostra il flusso di autenticazione e autorizzazione da OneLogin ad Amazon SageMaker Studio. Gli utenti accedono tramite OneLogin, che li autentica e trasmette un'autenticazione SAML ad AWS SSO. Una volta effettuato l'accesso, possono selezionare l'app Amazon SageMaker Studio, che assume il ruolo di esecuzione SageMaker associato al proprio profilo utente per creare un URL di dominio prefirmato. Questo URL di dominio prefirmato viene utilizzato per accedere direttamente agli utenti nel loro ambiente JupyterServer.
Prerequisiti
Assicurati di avere i seguenti prerequisiti:
- Un account OneLogin, per il quale utilizziamo un account gratuito Account sviluppatore OneLogin per creare la nostra istanza OneLogin e testare gli utenti
- Un account AWS con privilegi di amministratore per configurare l'integrazione AWS SSO e accedere alla creazione di policy per Amazon SageMaker Studio
Fase 1: configura l'applicazione AWS in OneLogin
Sul tuo account OneLogin, accedi con privilegi di amministratore e vai su Applicazioni. In alto a destra, scegli Aggiungi app. Successivamente, cerca e scegli AWS Single Sign-On.
Passaggio 2: scarica i metadati del provider di identità
Successivamente, dobbiamo ottenere i metadati IdP da OneLogin, che utilizziamo per registrarci su AWS. All'interno dell'applicazione OneLogin AWS Single Sign-On, vai a Altre azioni, quindi scarica e salva i metadati IdP come onelogin-aws.xml
.
Passaggio 3: abilita AWS SSO e configura SCIM
Assicurati che AWS SSO sia abilitato. Se no, vedi Abilita AWS SSO. AWS SSO fornisce supporto per lo standard SCIM v2.0. SCIM mantiene le tue identità AWS SSO sincronizzate con le identità del tuo IdP. Ciò include qualsiasi provisioning, aggiornamento e deprovisioning degli utenti tra il tuo IdP e AWS SSO. L'utilizzo dell'integrazione SCIM consente ai team IT e di amministrazione di risparmiare tempo e fatica nell'implementazione di soluzioni personalizzate per la replica incrociata di nomi utente e indirizzi e-mail tra AWS SSO e i tuoi IdP.
- Nella console AWS SSO, scegli Impostazioni profilo nel pannello di navigazione.
- Accanto a Fonte di identitàscegli Cambiamento di.
- Seleziona Provider di identità esterno.
- Nel Metadati SAML AWS SSO, carica l'XML dei metadati di OneLogin scaricato in precedenza.
- Aggiorna il provisioning da Manuale a SCIM Scegliendo Abilita il provisioning automatico.
Fase 4: ottieni informazioni sull'integrazione da AWS SSO
Per completare l'integrazione lato OneLogin, è necessario quanto segue:
- Endpoint SCIM (noto anche come URL di base SCIM)
- Token di accesso (noto anche come token SCIM Bearer)
- URL ACS AWS SSO
- URL dell'emittente AWS SSO
Le informazioni sono disponibili su Impostazioni profilo pagina sulla console AWS SSO. L'endpoint e il token di accesso si trovano su Provisioning automatico pagina, come mostrato nella schermata seguente.
Scegli Scopri i dettagli per Autenticazione SAML 2.0 e copiare l'URL AWS SSO ACS e l'URL dell'emittente AWS SSO.
Ora che hai queste quattro informazioni, è ora di andare a OneLogin per finalizzare l'integrazione.
Fase 5: stabilisci l'autenticazione SAML tra OneLogin (il tuo IdP) e AWS SSO
Per stabilire l'autenticazione SAML, completa i seguenti passaggi:
- Accedi nuovamente al portale OneLogin come amministratore nell'app AWS SSO precedentemente configurata.
- Scegli Configurazione e inserisci i dettagli raccolti nella sezione precedente (URL dell'emittente AWS SSO, URL AWS SSO ACS, URL di base SCIM e token portatore SCIM) e scegli Risparmi.
Assicurati di rimuovere eventuali barre finali (/).
- Scegli vettovagliamento nel pannello di navigazione.
- Seleziona Abilita il provisioning.
- È possibile selezionare Creare un utente, Elimina utentee Aggiorna utente per l'approvazione dell'amministratore su queste azioni.
- Salva la tua configurazione.
Fase 6: assegna e sincronizza gli utenti da OneLogin ad AWS SSO per accedere ad Amazon SageMaker Studio
Nel portale OneLogin, sulla barra multifunzione in alto vai a Utenti e assegna gli utenti della tua organizzazione all'applicazione AWS Single Sign-On appena creata per fornire l'accesso ad Amazon SageMaker Studio.
Verifica se questo utente o gruppo si è sincronizzato in AWS SSO tramite SCIM controllando il file Utenti pagina sulla console AWS SSO.
Fase 7: crea il tuo ambiente Amazon SageMaker Studio
Puoi configurare il tuo ambiente Amazon SageMaker Studio accedendo ad Amazon SageMaker Studio sul tuo account AWS.
- Sulla console di SageMaker, scegli Amazon Sage Maker Studio.
- Scegli Inizia e seleziona Configurazione standard.
- Nel Metodo di autenticazione, selezionare AWS Single Sign-On (SSO).
Assicurati che AWS SSO sia abilitato nella stessa regione di Amazon SageMaker Studio.
- Sotto permesso, crea un nuovo ruolo IAM con accesso appropriato a Servizio di archiviazione semplice Amazon (Amazon S3) oppure scegli un ruolo IAM esistente.
Fase 8: specificare configurazioni aggiuntive per Amazon SageMaker Studio
Hai anche la possibilità di impostare configurazioni aggiuntive.
- Utilizza i valori predefiniti per Configurazione della condivisione di rete ed Progetti SageMaker e JumpStart.
- Nel Rete e archiviazione sezione, utilizziamo il nostro VPC personalizzato e le sottoreti, che creano il file File system elastico Amazon (Amazon EFS) nel VPC specificato.
- Seleziona Solo Internet pubblico per consentire l'accesso a Internet predefinito per SageMaker.
- Scegli Invio.
Amazon SageMaker Studio crea un dominio e configura AWS SSO per il dominio. Il completamento di questo processo dovrebbe richiedere circa 10 minuti. Lo stato del dominio viene visualizzato come Pronto quando il provisioning è completo.
Fase 9: assegna gli utenti all'ambiente Amazon SageMaker Studio appena creato
Scegli Assegna utenti e gruppi per assegnare gli utenti creati tramite OneLogin e sincronizzati in AWS SSO.
Puoi assegnare utenti all'ambiente Amazon SageMaker Studio selezionando la casella di controllo accanto a Nome visualizzato ed E-mail.
Fase 10: verifica l'integrazione e accedi al tuo ambiente Amazon SageMaker Studio
Sotto Riepilogo di Studio, puoi notare il Ruolo di esecuzione che hai creato nel passaggio precedente. Ora puoi accedere al tuo ambiente Amazon SageMaker Studio.
- Accedi al portale utenti OneLogin.
- Scegli l'app AWS SSO.
- Scegli il riquadro con la dicitura Amazon SageMaker Studio per accedere facilmente al tuo ambiente Amazon SageMaker Studio.
Hai effettuato l'accesso direttamente al tuo profilo utente all'interno di Amazon SageMaker Studio.
Puoi anche verificare i profili utente in Amazon SageMaker Studio direttamente utilizzando il file Interfaccia della riga di comando di AWS (AWS CLI):
Conclusione
In questo post, abbiamo illustrato i passaggi per integrare gli utenti SSO OneLogin esistenti su Amazon SageMaker Studio. Abbiamo anche esaminato un'architettura di riferimento e come verificare la configurazione. Per ulteriori informazioni sull'utilizzo di AWS SSO con Amazon SageMaker Studio, consulta Onboarding su Amazon SageMaker Studio utilizzando AWS SSO.
L'autore
Sam Palani è uno specialista in soluzioni architettoniche AI / ML presso AWS. Gli piace lavorare con i clienti per aiutarli a progettare soluzioni di machine learning su larga scala. Quando non aiuta i clienti, ama leggere ed esplorare la vita all'aria aperta.
Sunil Ramachandra è un Senior Technical Account Manager presso AWS. In qualità di principale consulente tecnico e "voce del cliente", aiuta le organizzazioni che vanno dalle start-up alle aziende Fortune 500 a innovare e gestire i propri carichi di lavoro su AWS. Sunil è appassionato di creare integrazioni AWS che consentano fornitori di software indipendenti (ISV). Quando non aiuta i clienti, Sunil ama trascorrere del tempo con la sua famiglia, correre, meditare e guardare film o originali su Prime Video.
- '
- 100
- 110
- 7
- 9
- accesso
- Il mio account
- aggiuntivo
- Admin
- consulente
- Tutti
- Amazon
- Amazon Sage Maker
- App
- Applicazioni
- applicazioni
- architettura
- in giro
- Autenticazione
- autorizzazione
- AWS
- potenziamento
- Scatola
- costruire
- Costruzione
- verifica
- codice
- componente
- Clienti
- dati
- scienziato di dati
- Costruttori
- sviluppatori
- Mercato
- endpoint
- Ambiente
- esecuzione
- esperienza
- Esperienze
- famiglia
- finanziare
- flusso
- Gratis
- Gruppo
- Come
- Tutorial
- HTTPS
- IAM
- Identità
- Compreso
- informazioni
- integrazione
- integrazioni
- Internet
- IT
- Le
- apprendimento
- linea
- Lista
- guardò
- machine learning
- gestione
- ML
- monitoraggio
- Film
- nomi
- Navigazione
- Opzione
- organizzazione
- organizzazioni
- all'aperto
- Persone
- piattaforma
- Termini e Condizioni
- Portale
- Direttore
- un bagno
- Produzione
- della produttività
- Profilo
- Profili
- progetti
- Lettura
- Risorse
- running
- SaaS
- sagemaker
- Scala
- Cerca
- set
- Un'espansione
- smart
- Software
- Soluzioni
- Spendere
- iniziato
- Stato dei servizi
- conservazione
- Strategia
- supporto
- sistema
- Consulenza
- Tecnologia
- test
- tempo
- token
- top
- pista
- Aggiornamenti
- utenti
- fornitori
- Video
- virtuale
- OMS
- entro
- XML