Amazon SageMaker är en helt hanterad tjänst som ger varje maskininlärningsutvecklare (ML) och datavetare möjligheten att bygga, träna och distribuera ML-modeller i stor skala. Amazon SageMaker Studio är en webbaserad, integrerad utvecklingsmiljö (IDE) för ML. Amazon SageMaker Studio tillhandahåller alla verktyg du behöver för att ta dina modeller från experiment till produktion samtidigt som du ökar din produktivitet. Du kan skriva kod, spåra experiment, visualisera data och utföra felsökning och övervakning inom ett enda integrerat visuellt gränssnitt.
OneLogin är en identitetsplattform för säkra, skalbara och smarta upplevelser som kopplar människor till teknik. OneLogins autentisering och rollbaserade användarprovisioneringsmotor gör det möjligt för organisationer att implementera åtkomstkontroller med minst privilegier och eliminera manuella arbetsflöden för användarhantering för alla AWS-användare och konton.
I det här inlägget går vi igenom stegen för att ta med befintliga användare i OneLogin till Amazon SageMaker Studio. Vi visar också upplevelsen av enkel inloggning (SSO) för systemadministratörer och Amazon SageMaker Studio-användare.
Nyckelkomponenter
Lösningen innehåller följande nyckelkomponenter:
- AWS SSO - AWS-inloggning (AWS SSO) tillåter dig att effektivt hantera användaridentiteter i stor skala genom att etablera en enda identitet och åtkomststrategi över dina egna applikationer, tredjepartsapplikationer (SaaS) och AWS-miljöer.
- OneLogins kontakt för AWS SSO – Anslutningen konfigurerar SAML 2.0 och System for Cross-domain Integration Management (SCIM) integration mellan OneLogin och AWS SSO.
- Användare och grupper – Enskilda användare eller användare som tillhör specifika grupper som administratörer, utvecklare eller finans i OneLogin synkroniseras automatiskt med AWS SSO via SCIM.
- Domän – En primär komponent i Amazon SageMaker Studio är en domän. Domänen består av en lista över auktoriserade användare (kallade användarprofiler), och konfigurationer som t.ex Amazon Virtual Private Cloud (Amazon VPC) konfigurationer och standard AWS identitets- och åtkomsthantering (IAM) exekveringsroll.
- Användarprofil – Användarprofilen (användaren) är en konfiguration för användaren som finns i SageMaker-domänen. Användarprofilen definierar olika konfigurationsinställningar för användaren, inklusive exekveringsrollen och standardappspecifikationerna.
- Utförande roll – IAM-exekveringsrollen är den primära rollen som antas av användarna och tjänsten på uppdrag av användaren för att tillåta dem att utföra vissa åtgärder och tillhandahålla resurser i Studio.
Referensarkitektur
Följande arkitekturdiagram visar flödet av autentisering och auktorisering från OneLogin till Amazon SageMaker Studio. Användare loggar in via OneLogin, som autentiserar dem och skickar en SAML-autentisering till AWS SSO. När de väl är inloggade kan de välja Amazon SageMaker Studio-appen, som antar SageMaker-exekveringsrollen kopplad till deras användarprofil för att skapa en försignerad domän-URL. Denna försignerade domän-URL används direkt för att logga in användarna i deras JupyterServer-miljö.
Förutsättningar
Se till att du har följande förutsättningar:
- Ett OneLogin-konto, för vilket vi använder ett gratis OneLogin utvecklarkonto för att skapa vår OneLogin-instans och testa användare
- Ett AWS-konto med administratörsbehörighet för att ställa in AWS SSO-integration och åtkomst för att skapa policyer för Amazon SageMaker Studio
Steg 1: Konfigurera AWS-applikationen i OneLogin
På ditt OneLogin-konto loggar du in med administratörsbehörighet och navigerar till applikationer. Välj Lägg till app i det övre högra hörnet. Sök sedan efter och välj sedan AWS Single Sign-On.
Steg 2: Ladda ned identitetsleverantörens metadata
Därefter måste vi hämta IdP-metadata från OneLogin, som vi använder för att registrera på AWS. Inuti din OneLogin AWS Single Sign-On-applikation, navigera till Fler åtgärder, ladda ner och spara IdP-metadata som onelogin-aws.xml
.
Steg 3: Aktivera AWS SSO och konfigurera SCIM
Se till att AWS SSO är aktiverat. Om inte, se Aktivera AWS SSO. AWS SSO ger stöd för SCIM v2.0-standarden. SCIM håller dina AWS SSO-identiteter synkroniserade med identiteter från din IdP. Detta inkluderar all provisionering, uppdateringar och de-provisionering av användare mellan din IdP och AWS SSO. Genom att använda SCIM-integration sparar ditt IT- och administratörsteam tid och ansträngning att implementera anpassade lösningar för att korsreplikera användarnamn och e-postadresser mellan AWS SSO och dina IdP:er.
- Välj på AWS SSO-konsolen Inställningar i navigeringsfönstret.
- Bredvid Identitetskällaväljer byta.
- Välja Extern identitetsleverantör.
- För AWS SSO SAML-metadata, ladda upp OneLogin-metadata XML som du laddade ner tidigare.
- Uppdatera provisioneringen från Manuell till SCIM genom att välja Aktivera automatisk administration.
Steg 4: Få integrationsinformation från AWS SSO
För att slutföra integrationen på OneLogin-sidan behöver du följande:
- SCIM-slutpunkt (även känd som SCIM Base URL)
- Tillgångstoken (även känd som en SCIM Bearer-token)
- AWS SSO ACS URL
- AWS SSO-utfärdares URL
Informationen finns tillgänglig på Inställningar sida på AWS SSO-konsolen. Slutpunkten och åtkomsttoken finns på Automatisk tilldelning sida, som visas i följande skärmdump.
Välja Visa detaljer för Autentisering SAML 2.0 och kopiera AWS SSO ACS URL och AWS SSO utfärdar URL.
Nu när du har dessa fyra uppgifter är det dags att gå till OneLogin för att slutföra integrationen.
Steg 5: Etablera SAML-autentisering mellan OneLogin (din IdP) och AWS SSO
Utför följande steg för att upprätta din SAML-autentisering:
- Logga in igen på din OneLogin-portal som admin i din tidigare konfigurerade AWS SSO-app.
- Välja konfiguration och ange informationen som du samlade in i föregående avsnitt (AWS SSO-utfärdaradress, AWS SSO ACS-URL, SCIM-basadress och SCIM-bärartoken) och välj Save.
Se till att ta bort alla efterföljande snedstreck (/).
- Välja Provisioning i navigeringsfönstret.
- Välja Aktivera provisionering.
- Du kan välja Skapa användare, Radera användareoch Uppdatera användare för administratörsgodkännande för dessa åtgärder.
- Spara din konfiguration.
Steg 6: Tilldela och synkronisera användare från OneLogin till AWS SSO, för att komma åt Amazon SageMaker Studio
I din OneLogin-portal, på det översta menyfliksområdet, navigera till användare och tilldela användarna i din organisation till din nyskapade AWS Single Sign-On-applikation för att ge åtkomst till Amazon SageMaker Studio.
Kontrollera om den här användaren eller gruppen har synkroniserats till AWS SSO via SCIM genom att markera användare sida på AWS SSO-konsolen.
Steg 7: Skapa din Amazon SageMaker Studio-miljö
Du kan ställa in din Amazon SageMaker Studio-miljö genom att navigera till Amazon SageMaker Studio på ditt AWS-konto.
- Välj på SageMaker-konsolen Amazon SageMaker Studio.
- Välja KOM IGÅNG och välj Standardinställning.
- För Autentiseringsmetod, Välj AWS Single Sign-On (SSO).
Se till att AWS SSO är aktiverat i samma region som din Amazon SageMaker Studio.
- Enligt tillstånd, skapa en ny IAM-roll med lämplig åtkomst till Amazon enkel lagringstjänst (Amazon S3) hinkar, eller välj en befintlig IAM-roll.
Steg 8: Ange ytterligare konfigurationer för Amazon SageMaker Studio
Du har också möjlighet att ställa in ytterligare konfigurationer.
- Använd standardvärdena för Konfiguration av nätverksdelning och SageMaker Projects och JumpStart.
- I Nätverk och lagring sektionen använder vi våra anpassade VPC och subnät, vilket skapar Amazon Elastic File System (Amazon EFS) domän i den VPC som vi anger.
- Välja Endast offentligt internet för att tillåta standardinternetåtkomst för SageMaker.
- Välja Skicka.
Amazon SageMaker Studio skapar en domän och ställer in AWS SSO för domänen. Denna process bör ta cirka 10 minuter att slutföra. Domänstatusen visas som Klar när provisioneringen är klar.
Steg 9: Tilldela användare till din nyskapade Amazon SageMaker Studio-miljö
Välja Tilldela användare och grupper för att tilldela användare som skapades via OneLogin och synkroniseras med AWS SSO.
Du kan tilldela användare till Amazon SageMaker Studio-miljön genom att markera kryssrutan bredvid Visa namn och E-post.
Steg 10: Verifiera integrationen och logga in på din Amazon SageMaker Studio-miljö
Enligt Studioöversikt, kan du märka Utförande roll som du skapade i föregående steg. Du kan nu logga in på din Amazon SageMaker Studio-miljö.
- Logga in på OneLogin-användarportalen.
- Välj AWS SSO-appen.
- Välj brickan som säger Amazon SageMaker Studio för att sömlöst logga in i din Amazon SageMaker Studio-miljö.
Du är inloggad direkt på din användarprofil i Amazon SageMaker Studio.
Du kan också verifiera användarprofilerna i Amazon SageMaker Studio direkt med hjälp av AWS-kommandoradsgränssnitt (AWS CLI):
Slutsats
I det här inlägget gick vi igenom stegen för att integrera befintliga OneLogin SSO-användare till Amazon SageMaker Studio. Vi tittade också på en referensarkitektur och hur man verifierar inställningen. För mer information om att använda AWS SSO med Amazon SageMaker Studio, se Ombord på Amazon SageMaker Studio med AWS SSO.
Om författaren
Sam Palani är AI / ML Specialist Solutions Architect på AWS. Han tycker om att arbeta med kunderna för att hjälpa dem att arkitektera maskininlärningslösningar i stor skala. När han inte hjälper kunder tycker han om att läsa och utforska utomhus.
Sunil Ramachandra är Senior Technical Account Manager på AWS. Som främsta teknisk rådgivare och "kundens röst" hjälper han organisationer från nystartade företag till Fortune 500-företag att förnya och driva sin arbetsbelastning på AWS. Sunil brinner för att bygga AWS-integreringar som möjliggör oberoende mjukvaruleverantörer (ISVs). När Sunil inte hjälper kunder gillar Sunil att spendera tid med sin familj, springa, meditera och titta på filmer eller original på Prime Video.
- '
- 100
- 110
- 7
- 9
- tillgång
- Konto
- Annat
- administration
- rådgivare
- Alla
- amason
- Amazon SageMaker
- app
- Ansökan
- tillämpningar
- arkitektur
- runt
- Autentisering
- tillstånd
- AWS
- öka
- Box
- SLUTRESULTAT
- Byggnad
- kontroll
- koda
- komponent
- Kunder
- datum
- datavetare
- Utvecklare
- utvecklare
- Utveckling
- Slutpunkt
- Miljö
- utförande
- erfarenhet
- Erfarenheter
- familj
- finansiering
- flöda
- Fri
- Grupp
- Hur ser din drömresa ut
- How To
- HTTPS
- IAM
- Identitet
- Inklusive
- informationen
- integrering
- integrationer
- Internet
- IT
- Nyckel
- inlärning
- linje
- Lista
- såg
- maskininlärning
- ledning
- ML
- övervakning
- Filmer
- namn
- Navigering
- Alternativet
- organisation
- organisationer
- utomhus
- Personer
- plattform
- Strategier
- Portal
- Principal
- privat
- Produktion
- produktivitet
- Profil
- Profiler
- projekt
- Läsning
- Resurser
- rinnande
- SaaS
- sagemaker
- Skala
- Sök
- in
- Enkelt
- smarta
- Mjukvara
- Lösningar
- Spendera
- igång
- status
- förvaring
- Strategi
- stödja
- system
- Teknisk
- Teknologi
- testa
- tid
- token
- topp
- spår
- Uppdateringar
- användare
- försäljare
- Video
- Virtuell
- VEM
- inom
- XML