Создатель мудреца Амазонки — это полностью управляемый сервис, который предоставляет каждому разработчику машинного обучения (ML) и специалисту по данным возможность создавать, обучать и развертывать модели ML в любом масштабе. Студия Amazon SageMaker — это веб-интегрированная среда разработки (IDE) для машинного обучения. Amazon SageMaker Studio предоставляет все инструменты, необходимые для перехода ваших моделей от экспериментов к производству, одновременно повышая вашу производительность. Вы можете писать код, отслеживать эксперименты, визуализировать данные, а также выполнять отладку и мониторинг в рамках единого интегрированного визуального интерфейса.
OneLogin — это платформа идентификации для безопасного, масштабируемого и интеллектуального взаимодействия, которая соединяет людей с технологиями. Механизм аутентификации и предоставления пользователей на основе ролей OneLogin позволяет организациям реализовать контроль доступа с минимальными привилегиями и исключить рабочие процессы ручного управления пользователями для всех пользователей и учетных записей AWS.
В этом посте мы покажем вам, как подключить существующих пользователей OneLogin к Amazon SageMaker Studio. Мы также демонстрируем возможности единого входа (SSO) для системных администраторов и пользователей Amazon SageMaker Studio.
Ключевые компоненты
Решение содержит следующие ключевые компоненты:
- Система единого входа AWS – Единый вход AWS (AWS SSO) позволяет эффективно управлять удостоверениями пользователей в любом масштабе, устанавливая единую стратегию идентификации и доступа для ваших собственных приложений, сторонних приложений (SaaS) и сред AWS.
- Коннектор OneLogin для AWS SSO – Соединитель настраивает интеграцию SAML 2.0 и системы управления междоменной интеграцией (SCIM) между OneLogin и AWS SSO.
- Пользователи и группы – Отдельные пользователи или пользователи, принадлежащие к определенным группам, например администраторам, разработчикам или финансистам, в OneLogin автоматически синхронизируются с AWS SSO через SCIM.
- Домен – Основным компонентом Amazon SageMaker Studio является домен. Домен состоит из списка авторизованных пользователей (называемых профилями пользователей) и таких конфигураций, как Виртуальное частное облако Amazon (Amazon VPC) и настройки по умолчанию. Управление идентификацией и доступом AWS (IAM) исполнительная роль.
- Профиль пользователя – Профиль пользователя (пользователь) — это конфигурация пользователя, существующая в домене SageMaker. Профиль пользователя определяет различные параметры конфигурации для пользователя, включая роль выполнения и спецификации приложения по умолчанию.
- Роль исполнения – Роль выполнения IAM — это основная роль, которую берут на себя пользователи и служба от имени пользователя, чтобы позволить им выполнять определенные действия и предоставлять ресурсы в Studio.
Эталонная архитектура
На следующей схеме архитектуры показан поток аутентификации и авторизации от OneLogin к Amazon SageMaker Studio. Пользователи входят в систему через OneLogin, который аутентифицирует их и передает аутентификацию SAML в AWS SSO. После входа в систему они могут выбрать приложение Amazon SageMaker Studio, которое берет на себя роль исполнения SageMaker, прикрепленную к их профилю пользователя, для создания предварительно подписанного URL-адреса домена. Этот предварительно подписанный URL-адрес домена используется для непосредственного входа пользователей в среду JupyterServer.
Предпосылки
Убедитесь, что у вас есть следующие предпосылки:
- Учетная запись OneLogin, для которой мы используем бесплатную Аккаунт разработчика OneLogin чтобы создать наш экземпляр OneLogin и протестировать пользователей
- Учетная запись AWS с правами администратора для настройки интеграции AWS SSO и доступом для создания политик для Amazon SageMaker Studio.
Шаг 1. Настройте приложение AWS в OneLogin.
В своей учетной записи OneLogin войдите в систему с правами администратора и перейдите в раздел «Приложения». В правом верхнем углу выберите «Добавить приложение». Затем найдите и выберите AWS Single Sign-On.
Шаг 2. Загрузите метаданные поставщика удостоверений
Далее нам нужно получить метаданные IdP от OneLogin, которые мы используем для регистрации на AWS. В приложении OneLogin AWS Single Sign-On перейдите к Больше действий, затем загрузите и сохраните метаданные IdP как onelogin-aws.xml
.
Шаг 3. Включите AWS SSO и настройте SCIM.
Убедитесь, что AWS SSO включен. Если нет, см. Включить систему единого входа AWS. AWS SSO обеспечивает поддержку стандарта SCIM v2.0. СКИМ синхронизирует ваши удостоверения AWS SSO с удостоверениями вашего поставщика удостоверений. Сюда входит любая инициализация, обновление и деинициализация пользователей между вашим IdP и AWS SSO. Использование интеграции SCIM экономит вашим ИТ-специалистам и администраторам время и усилия, необходимые для внедрения индивидуальных решений для перекрестной репликации имен пользователей и адресов электронной почты между AWS SSO и вашими поставщиками удостоверений.
- На консоли AWS SSO выберите Настройки в навигационной панели.
- Рядом с Источник идентификации, выберите Изменить.
- Выберите Внешний поставщик удостоверений.
- Что касается Метаданные AWS SSO SAML, загрузите XML-код метаданных OneLogin, который вы скачали ранее.
- Обновите подготовку с Ручная в СКИМ Выбрав Включить автоматическую подготовку.
Шаг 4. Получите информацию об интеграции от AWS SSO.
Для завершения интеграции на стороне OneLogin вам необходимо следующее:
- конечная точка SCIM (также известный как базовый URL-адрес SCIM)
- Токен доступа (также известный как токен носителя SCIM)
- URL-адрес ACS AWS SSO
- URL-адрес эмитента AWS SSO
Информация доступна на сайте Настройки на консоли AWS SSO. Конечная точка и токен доступа находятся на Автоматическая подготовка страницу, как показано на следующем снимке экрана.
Выберите Посмотреть детали для Аутентификация SAML 2.0 и скопируйте URL-адрес ACS SSO AWS и URL-адрес эмитента AWS SSO.
Теперь, когда у вас есть эти четыре части информации, пришло время перейти к OneLogin чтобы завершить интеграцию.
Шаг 5. Установите аутентификацию SAML между OneLogin (вашим IdP) и AWS SSO.
Чтобы установить аутентификацию SAML, выполните следующие шаги:
- Снова войдите на портал OneLogin в качестве администратора в ранее настроенное приложение AWS SSO.
- Выберите Конфигурация и введите данные, которые вы собрали в предыдущем разделе (URL-адрес эмитента AWS SSO, URL-адрес AWS SSO ACS, базовый URL-адрес SCIM и токен носителя SCIM) и выберите Сохранить.
Обязательно удалите все косые черты (/).
- Выберите Резервирование в навигационной панели.
- Выберите Включить подготовку.
- Вы можете выбрать Создать пользователя, Удалить пользователякачества Обновить пользователя для одобрения этих действий администратором.
- Сохраните вашу конфигурацию.
Шаг 6. Назначьте и синхронизируйте пользователей из OneLogin с AWS SSO для доступа к Amazon SageMaker Studio.
На портале OneLogin на верхней ленте перейдите к Пользователи и назначьте пользователей в вашей организации только что созданному приложению AWS Single Sign-On, чтобы предоставить доступ к Amazon SageMaker Studio.
Убедитесь, что этот пользователь или группа синхронизировались с AWS SSO через SCIM, проверив Пользователи на консоли AWS SSO.
Шаг 7. Создайте среду Amazon SageMaker Studio.
Вы можете настроить среду Amazon SageMaker Studio, перейдя в Amazon SageMaker Studio в своей учетной записи AWS.
- На консоли SageMaker выберите Студия Amazon SageMaker.
- Выберите Начать и Стандартная установка.
- Что касается Метод аутентификации, наведите на Единый вход AWS (SSO).
Убедитесь, что AWS SSO включен в том же регионе, что и ваша Amazon SageMaker Studio.
- Под Разрешение, создайте новую роль IAM с соответствующим доступом к Простой сервис хранения Amazon (Amazon S3) или выберите существующую роль IAM.
Шаг 8. Укажите дополнительные конфигурации для Amazon SageMaker Studio.
У вас также есть возможность установить дополнительные конфигурации.
- Используйте значения по умолчанию для Конфигурация общего доступа к сети и Проекты SageMaker и JumpStart.
- В Сеть и хранилище разделе мы используем наши собственные VPC и подсети, что создает Эластичная файловая система Amazon (Amazon EFS) в указанном нами VPC.
- Выберите Только общедоступный Интернет чтобы разрешить доступ к Интернету по умолчанию для SageMaker.
- Выберите Отправить.
Amazon SageMaker Studio создает домен и настраивает для него единый вход AWS. Этот процесс должен занять около 10 минут. Статус домена отображается как «Готов», когда подготовка завершена.
Шаг 9. Назначьте пользователей только что созданной среде Amazon SageMaker Studio.
Выберите Назначение пользователей и групп для назначения пользователей, которые были созданы через OneLogin и синхронизированы с AWS SSO.
Вы можете назначить пользователей среде Amazon SageMaker Studio, установив флажок рядом с Изменения имен и Электронная почта.
Шаг 10. Проверьте интеграцию и войдите в свою среду Amazon SageMaker Studio.
Под Резюме студии, вы можете заметить Роль исполнения который вы создали на предыдущем шаге. Теперь вы можете войти в свою среду Amazon SageMaker Studio.
- Войдите на пользовательский портал OneLogin.
- Выберите приложение AWS SSO.
- Выберите плитку с надписью Amazon SageMaker Studio, чтобы легко войти в среду Amazon SageMaker Studio.
Вы вошли непосредственно в свой профиль пользователя в Amazon SageMaker Studio.
Вы также можете проверить профили пользователей в Amazon SageMaker Studio напрямую, используя Интерфейс командной строки AWS (интерфейс командной строки AWS):
Заключение
В этом посте мы рассмотрели шаги по подключению существующих пользователей OneLogin SSO к Amazon SageMaker Studio. Мы также рассмотрели эталонную архитектуру и способы проверки настройки. Дополнительную информацию об использовании AWS SSO с Amazon SageMaker Studio см. Подключение к Amazon SageMaker Studio с помощью AWS SSO.
Об авторе
Сэм Палани — специалист по архитектуре решений AI/ML в AWS. Ему нравится работать с клиентами, помогая им разрабатывать масштабные решения машинного обучения. Когда он не помогает клиентам, он любит читать и исследовать природу.
Сунил Рамачандра — старший технический менеджер по работе с клиентами в AWS. В качестве главного технического консультанта и «голоса клиента» он помогает организациям — от стартапов до предприятий из списка Fortune 500 — внедрять инновации и управлять своими рабочими нагрузками на AWS. Сунил с энтузиазмом занимается созданием интеграций с AWS, которые позволяют независимым поставщикам программного обеспечения (ISV). Когда Сунил не помогает клиентам, он любит проводить время со своей семьей, бегать, медитировать и смотреть фильмы или оригинальные фильмы на Prime Video.
- '
- 100
- 110
- 7
- 9
- доступ
- Учетная запись
- дополнительный
- Администратор
- советник
- Все
- Amazon
- Создатель мудреца Амазонки
- приложение
- Применение
- Приложения
- архитектура
- около
- Аутентификация
- разрешение
- AWS
- стимулирование
- Коробка
- строить
- Строительство
- контроль
- код
- компонент
- Клиенты
- данным
- ученый данных
- Застройщик
- застройщиков
- Разработка
- Конечная точка
- Окружающая среда
- выполнение
- опыт
- Впечатления
- семья
- финансы
- поток
- Бесплатно
- группы
- Как
- How To
- HTTPS
- IAM
- Личность
- В том числе
- информация
- интеграции.
- интеграций
- Интернет
- IT
- Основные
- изучение
- линия
- Список
- смотрел
- обучение с помощью машины
- управление
- ML
- Мониторинг
- Кино
- имена
- Навигация
- Опция
- организация
- организации
- на открытом воздухе
- Люди
- Платформа
- сборах
- Портал
- Основной
- частная
- Производство
- производительность
- Профиль
- Профили
- проектов
- Reading
- Полезные ресурсы
- Бег
- SaaS
- sagemaker
- Шкала
- Поиск
- набор
- просто
- умный
- Software
- Решения
- Расходы
- и политические лидеры
- Статус:
- диск
- Стратегия
- поддержка
- система
- Технический
- Технологии
- тестXNUMX
- время
- знак
- топ
- трек
- Updates
- пользователей
- поставщики
- Видео
- Виртуальный
- КТО
- в
- XML