Amazon Sage Maker é um serviço totalmente gerenciado que fornece a cada desenvolvedor de aprendizado de máquina (ML) e cientista de dados a capacidade de construir, treinar e implantar modelos de ML em escala. Estúdio Amazon SageMaker é um ambiente de desenvolvimento integrado (IDE) baseado na web para ML. O Amazon SageMaker Studio fornece todas as ferramentas necessárias para levar seus modelos da experimentação à produção e, ao mesmo tempo, aumentar sua produtividade. Você pode escrever código, acompanhar experimentos, visualizar dados e realizar depuração e monitoramento em uma interface visual única e integrada.
OneLogin é uma plataforma de identidade para experiências seguras, escaláveis e inteligentes que conecta pessoas à tecnologia. O mecanismo de autenticação e provisionamento de usuários baseado em função do OneLogin permite que as organizações implementem controles de acesso com privilégios mínimos e eliminem fluxos de trabalho manuais de gerenciamento de usuários para todos os usuários e contas da AWS.
Nesta postagem, orientamos você nas etapas para integrar usuários existentes no OneLogin ao Amazon SageMaker Studio. Também demonstramos a experiência de logon único (SSO) para administradores de sistema e usuários do Amazon SageMaker Studio.
Componentes chave
A solução contém os seguintes componentes principais:
- AWSSSO - Logon único da AWS (AWS SSO) permite que você gerencie com eficiência as identidades dos usuários em escala, estabelecendo uma estratégia única de identidade e acesso em seus próprios aplicativos, aplicativos de terceiros (SaaS) e ambientes AWS.
- Conector do OneLogin para AWS SSO – O conector configura a integração do SAML 2.0 e do sistema para gerenciamento de integração entre domínios (SCIM) entre o OneLogin e o AWS SSO.
- Usuários e grupos – Usuários individuais ou pertencentes a grupos específicos, como administradores, desenvolvedores ou finanças no OneLogin, são sincronizados automaticamente com o AWS SSO via SCIM.
- Domínio – Um componente principal do Amazon SageMaker Studio é um domínio. O domínio consiste em uma lista de usuários autorizados (chamados perfis de usuário) e configurações como Nuvem virtual privada da Amazon (Amazon VPC) configurações e o padrão Gerenciamento de acesso e identidade da AWS (IAM) função de execução.
- Perfil do usuário – O perfil do usuário (usuário) é uma configuração do usuário que existe no domínio SageMaker. O perfil do usuário define diversas configurações para o usuário, incluindo a função de execução e as especificações padrão do aplicativo.
- Função de execução – A função de execução do IAM é a função principal assumida pelos usuários e pelo serviço em nome do usuário para permitir que eles executem determinadas ações e provisionem recursos no Studio.
Arquitetura de Referência
O diagrama de arquitetura a seguir mostra o fluxo de autenticação e autorização do OneLogin para o Amazon SageMaker Studio. Os usuários fazem login por meio do OneLogin, que os autentica e passa uma autenticação SAML para o AWS SSO. Depois de fazer login, eles podem selecionar o aplicativo Amazon SageMaker Studio, que assume a função de execução do SageMaker anexada ao seu perfil de usuário para criar um URL de domínio pré-assinado. Este URL de domínio pré-assinado é usado para fazer login diretamente dos usuários em seu ambiente JupyterServer.
Pré-requisitos
Certifique-se de ter os seguintes pré-requisitos:
- Uma conta OneLogin, para a qual usamos um serviço gratuito Conta de desenvolvedor OneLogin para criar nossa instância OneLogin e testar usuários
- Uma conta da AWS com privilégios de administrador para configurar a integração do AWS SSO e acesso para criar políticas para o Amazon SageMaker Studio
Etapa 1: configurar o aplicativo AWS no OneLogin
Na sua conta OneLogin, faça login com privilégios de administrador e navegue até Aplicativos. No canto superior direito, escolha Adicionar aplicativo. Em seguida, pesquise e escolha AWS Single Sign-On.
Etapa 2: Baixe os metadados do provedor de identidade
Em seguida, precisamos obter os metadados IdP do OneLogin, que usamos para registrar na AWS. Dentro do aplicativo OneLogin AWS Single Sign-On, navegue até Mais Ações, baixe e salve os metadados do IdP como onelogin-aws.xml
.
Etapa 3: Habilite o AWS SSO e configure o SCIM
Certifique-se de que o AWS SSO esteja habilitado. Se não, veja Habilitar AWS SSO. AWS SSO fornece suporte para o padrão SCIM v2.0. SCIM mantém suas identidades AWS SSO sincronizadas com as identidades do seu IdP. Isso inclui qualquer provisionamento, atualização e desprovisionamento de usuários entre seu IdP e o AWS SSO. Usar a integração SCIM economiza tempo e esforço para suas equipes de TI e administração na implementação de soluções personalizadas para replicação cruzada de nomes de usuários e endereços de e-mail entre o AWS SSO e seus IdPs.
- No console AWS SSO, escolha Configurações no painel de navegação.
- Próximo de Fonte de identidade, escolha Mudar.
- Selecionar Provedor de identidade externo.
- Escolha Metadados SAML do AWS SSO, carregue o XML de metadados do OneLogin que você baixou anteriormente.
- Atualizar o provisionamento de manual para SCIM escolhendo Habilitar provisionamento automático.
Etapa 4: obter informações de integração do AWS SSO
Para concluir a integração do lado OneLogin, você precisa do seguinte:
- Endpoint SCIM (também conhecido como URL base SCIM)
- Token de acesso (também conhecido como token SCIM Bearer)
- URL ACS do SSO da AWS
- URL do emissor de SSO da AWS
As informações estão disponíveis no Configurações página no console AWS SSO. O endpoint e o token de acesso estão no Provisionamento automático página, como mostrado na imagem a seguir.
Escolha Ver detalhes para Autenticação SAML 2.0 e copie o URL do AWS SSO ACS e o URL do emissor do AWS SSO.
Agora que você tem essas quatro informações, é hora de ir para OneLogin para finalizar a integração.
Etapa 5: Estabeleça a autenticação SAML entre OneLogin (seu IdP) e AWS SSO
Para estabelecer sua autenticação SAML, conclua as etapas a seguir:
- Faça login novamente no portal OneLogin como administrador no aplicativo AWS SSO configurado anteriormente.
- Escolha Configuração e insira os detalhes coletados na seção anterior (URL do emissor do AWS SSO, URL do AWS SSO ACS, URL base do SCIM e token do portador do SCIM) e escolha Salvar.
Certifique-se de remover todas as barras finais (/).
- Escolha Provisioning no painel de navegação.
- Selecionar Habilitar provisionamento.
- Você pode selecionar Criar usuário, Deletar usuário e Atualizar usuário para aprovação do administrador sobre essas ações.
- Salve sua configuração.
Etapa 6: atribuir e sincronizar usuários do OneLogin ao AWS SSO para acessar o Amazon SageMaker Studio
No portal OneLogin, na faixa superior, navegue até Utilizadores e atribua os usuários da sua organização ao aplicativo AWS Single Sign-On recém-criado para fornecer acesso ao Amazon SageMaker Studio.
Verifique se este usuário ou grupo foi sincronizado com o AWS SSO via SCIM, verificando o Utilizadores página no console AWS SSO.
Etapa 7: crie seu ambiente Amazon SageMaker Studio
Você pode configurar o ambiente do Amazon SageMaker Studio navegando até o Amazon SageMaker Studio na sua conta da AWS.
- No console SageMaker, escolha Estúdio Amazon SageMaker.
- Escolha COMECE AGORA e selecione Configuração padrão.
- Escolha Método de autenticação, selecione Logon único da AWS (SSO)).
Certifique-se de que o AWS SSO esteja habilitado na mesma região do Amazon SageMaker Studio.
- Debaixo Permissão, crie uma nova função do IAM com acesso apropriado a Serviço de armazenamento simples da Amazon (Amazon S3) ou escolha uma função do IAM existente.
Etapa 8: especifique configurações adicionais para Amazon SageMaker Studio
Você também tem a opção de definir configurações adicionais.
- Use os valores padrão para Configuração de compartilhamento de rede e Projetos SageMaker e JumpStart.
- No Rede e armazenamento seção, usamos nossa VPC e sub-redes personalizadas, o que cria o Sistema de arquivos elástico da Amazon (Amazon EFS) na VPC que especificamos.
- Selecionar Apenas Internet pública para permitir o acesso padrão à Internet para o SageMaker.
- Escolha Submeter.
O Amazon SageMaker Studio cria um domínio e configura o AWS SSO para o domínio. Este processo deve levar cerca de 10 minutos para ser concluído. O status do domínio é exibido como Pronto quando o provisionamento é concluído.
Etapa 9: atribua usuários ao seu ambiente Amazon SageMaker Studio recém-criado
Escolha Atribuir usuários e grupos para atribuir usuários que foram criados por meio do OneLogin e sincronizados com o AWS SSO.
Você pode atribuir usuários ao ambiente Amazon SageMaker Studio marcando a caixa de seleção ao lado de Como seu nome será exibido e E-mail.
Etapa 10: verifique a integração e faça login no ambiente do Amazon SageMaker Studio
Debaixo Resumo do estúdio, você pode notar o Função de execução que você criou na etapa anterior. Agora você pode fazer login no ambiente do Amazon SageMaker Studio.
- Faça login no portal do usuário OneLogin.
- Escolha o aplicativo AWS SSO.
- Escolha o bloco que diz Amazon SageMaker Studio para fazer login perfeitamente em seu ambiente Amazon SageMaker Studio.
Você está conectado diretamente ao seu perfil de usuário no Amazon SageMaker Studio.
Você também pode verificar os perfis de usuário no Amazon SageMaker Studio diretamente usando o Interface de linha de comando da AWS (AWS CLI):
Conclusão
Nesta postagem, percorremos as etapas para integrar usuários existentes do OneLogin SSO ao Amazon SageMaker Studio. Também analisamos uma arquitetura de referência e como verificar a configuração. Para obter mais informações sobre como usar o AWS SSO com o Amazon SageMaker Studio, consulte Integração ao Amazon SageMaker Studio usando AWS SSO.
Sobre o autor
Sam Palani é arquiteto de soluções especialista em AI / ML na AWS. Ele gosta de trabalhar com os clientes para ajudá-los a arquitetar soluções de aprendizado de máquina em escala. Quando não está ajudando os clientes, ele gosta de ler e explorar o ar livre.
Sunil Ramachandra é gerente técnico sênior de contas na AWS. Como principal consultor técnico e “voz do cliente”, ele ajuda organizações que vão desde start-ups até empresas Fortune 500 a inovar e operar suas cargas de trabalho na AWS. Sunil é apaixonado por construir integrações AWS que possibilitem fornecedores independentes de software (ISVs). Quando não está ajudando os clientes, Sunil gosta de passar tempo com sua família, correr, meditar e assistir filmes ou originais no Prime Video.
- '
- 100
- 110
- 7
- 9
- Acesso
- Conta
- Adicional
- admin
- assessor
- Todos os Produtos
- Amazon
- Amazon Sage Maker
- app
- Aplicação
- aplicações
- arquitetura
- por aí
- Autenticação
- autorização
- AWS
- impulsionar
- Caixa
- construir
- Prédio
- a verificação
- código
- componente
- Clientes
- dados,
- cientista de dados
- Developer
- desenvolvedores
- Desenvolvimento
- Ponto final
- Meio Ambiente
- execução
- vasta experiência
- Experiências
- família
- financiar
- fluxo
- Gratuito
- Grupo
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- IAM
- Dados de identificação:
- Incluindo
- INFORMAÇÕES
- integração
- integrações
- Internet
- IT
- Chave
- aprendizagem
- Line
- Lista
- olhou
- aprendizado de máquina
- de grupos
- ML
- monitoração
- Filmes
- nomes
- Navegação
- Opção
- organização
- organizações
- ao ar livre
- Pessoas
- plataforma
- políticas
- Portal
- Diretor
- privado
- Produção
- produtividade
- Perfil
- Perfis
- projetos
- Leitura
- Recursos
- corrida
- SaaS
- sábio
- Escala
- Pesquisar
- conjunto
- simples
- smart
- Software
- Soluções
- Passar
- começado
- Status
- armazenamento
- Estratégia
- ajuda
- .
- Dados Técnicos:
- Equipar
- teste
- tempo
- token
- topo
- pista
- Atualizações
- usuários
- fornecedores
- Vídeo
- Virtual
- QUEM
- dentro
- XML