使用 設定資料來源的連線 OAuth - Amazon SageMaker
OAuth 設定 Salesforce Data CloudOAuth 為 Snowflake 設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 設定資料來源的連線 OAuth

下一節說明設定 SageMaker Canvas 資料來源OAuth連線時必須採取的步驟。OAuth 是常見的身分驗證平台,無需共用密碼即可授予 資源的存取權。透過 OAuth,您可以快速連線至 Canvas 的資料,並將其匯入以供建置模型。Canvas 目前OAuth支援 Snowflake 和 Salesforce Data Cloud。

注意

您只能為每個資料來源建立一個OAuth連線。

OAuth 設定 Salesforce Data Cloud

若要OAuth設定 Salesforce Data Cloud,請遵循下列一般步驟:

  1. 登入至 Salesforce Data Cloud。

  2. 在 Salesforce Data Cloud 中建立新的應用程式連線,然後執行下列動作:

    1. 啟用OAuth設定。

    2. 當系統提示您回呼 URL(或存取資料的 資源URL的 ) 時,請URL為 Canvas 應用程式指定 。Canvas 應用程式URL遵循以下格式: https://<domain-id>.studio.<region>.sagemaker.aws/canvas/default

    3. 複製消費者金鑰和機密。

    4. 複製您的授權URL和權杖 URL。

如需有關在 Salesforce Data Cloud 中執行前面任務的詳細說明,請參閱 Data Wrangler 說明文件中的 從 Salesforce 資料雲端匯入資料。,有關從 Salesforce Data Cloud 端匯入資料的說明文件。

啟用 Salesforce Data Cloud 的存取並取得連線資訊後,您必須建立AWS Secrets Manager秘密來儲存資訊,並將其新增至您的 Amazon SageMaker 網域或使用者設定檔。請注意,您可以將秘密新增至網域和使用者設定檔,但 Canvas 會先在使用者設定檔中尋找秘密。

若要將秘密新增至您的網域或使用者設定檔,請執行下列動作:

  1. 前往 Amazon SageMaker 主控台

  2. 在導覽窗格中選擇網域

  3. 網域清單中,選擇您的網域。

    1. 若要將秘密新增至網域,請執行下列動作:

      1. 選擇網域。

      2. 網域設定頁面上,選擇網域設定索引標籤。

      3. 選擇編輯

    2. 若要將機密新增至您的使用者設定檔,請執行下列動作:

      1. 選擇使用者的網域。

      2. 網域設定頁面上,選擇使用者設定檔。

      3. 使用者詳細資訊頁面選擇編輯

  4. 在導覽窗格中,選擇 Canvas 設定

  5. 針對OAuth設定 ,選擇新增OAuth組態

  6. 針對資料來源,請選取 Salesforce Data Cloud

  7. 針對機密設定,選取建立新的機密。或者,如果您已使用 憑證建立 AWS Secrets Manager 秘密,請輸入秘密ARN的 。若要建立新機密,請執行下列動作:

    1. 對於身分提供者 ,選取 SALESFORCE

    2. 對於用戶端 ID、用戶端秘密授權URL權杖 URL,輸入您在上一個程序中從 Salesforce Data Cloud 收集的所有資訊。

  8. 儲存您的網域或使用者設定檔設定。

您現在應該可以從 Canvas 建立與 Salesforce Data Cloud 的連線以取用資料。

OAuth 為 Snowflake 設定

若要設定 Snowflake 的驗證,Canvas 支援您可以使用的身分提供者,而不必讓使用者直接在 Canvas 中輸入憑證。

以下是 Canvas 支援的身分提供者的 Snowflake 文件連結:

下列步驟說明您必須進行的一般程序:如需有關執行這些步驟的更多詳細說明,您可以參閱 Data Wrangler 說明文件中的設定 Snowflake OAuth 存取區段,獲得有關從 Snowflake 匯入資料指示。

若要設定 OAuth Snowflake,請執行下列動作:

  1. 將 Canvas 註冊為身分提供者的應用程式。這需要指定重新導向URL至 Canvas,應遵循下列格式: https://<domain-id>.studio.<region>.sagemaker.aws/canvas/default

  2. 在身分提供者中,建立伺服器或API將OAuth權杖傳送至 Canvas,讓 Canvas 可以存取 Snowflake。在設定伺服器時請使用授權碼並重新整理權杖授予類型、指定存取權杖生命週期,並設定重新整理權杖政策。此外,在 Snowflake 的外部OAuth安全整合中,啟用 external_oauth_any_role_mode

  3. 從身分提供者取得下列資訊:權杖 URL、授權 URL、用戶端 ID、用戶端秘密。對於 Azure AD, 也會擷取OAuth範圍憑證。

  4. 將上一個步驟中擷取的資訊儲存在 AWS Secrets Manager 秘密中。

    1. 針對 Okta 和 Ping Federate,機密格式應該如下所示:

      {"token_url":"https://identityprovider.com/oauth2/example-portion-of-URL-path/v2/token",
"client_id":"example-client-id", "client_secret":"example-client-secret", "identity_provider":"OKTA"|"PING_FEDERATE",
"authorization_url":"https://identityprovider.com/oauth2/example-portion-of-URL-path/v2/authorize"}

    2. 對於 Azure AD,秘密也應包含OAuth範圍憑證作為 datasource_oauth_scope 欄位。

設定身分提供者和秘密後,您必須建立AWS Secrets Manager秘密來儲存資訊,並將其新增至您的 Amazon SageMaker 網域或使用者設定檔。請注意,您可以將秘密新增至網域和使用者設定檔,但 Canvas 會先在使用者設定檔中尋找秘密。

若要將秘密新增至您的網域或使用者設定檔,請執行下列動作:

  1. 前往 Amazon SageMaker 主控台

  2. 在導覽窗格中選擇網域

  3. 網域清單中,選擇您的網域。

    1. 若要將秘密新增至網域,請執行下列動作:

      1. 選擇網域。

      2. 網域設定頁面上,選擇網域設定索引標籤。

      3. 選擇編輯

    2. 若要將機密新增至您的使用者設定檔,請執行下列動作:

      1. 選擇使用者的網域。

      2. 網域設定頁面上,選擇使用者設定檔。

      3. 使用者詳細資訊頁面選擇編輯

  4. 在導覽窗格中,選擇 Canvas 設定

  5. 針對OAuth設定 ,選擇新增OAuth組態

  6. 針對資料來源,請選取 Snowflake

  7. 針對機密設定,選取建立新的機密。或者,如果您已使用 憑證建立 AWS Secrets Manager 秘密,請輸入秘密ARN的 。若要建立新機密,請執行下列動作:

    1. 對於身分提供者 ,選取 SNOWFLAKE

    2. 對於用戶端 ID、用戶端秘密授權URL權杖 URL,輸入您在上一個程序中從身分提供者收集的所有資訊。

  8. 儲存您的網域或使用者設定檔設定。

您現在應該可以從 Canvas 建立與 Snowflake 的連線以取用資料。