Topik ini menjelaskan cara mengimplementasikan Single Sign-On (SSO) berbasis peran untuk masuk ke konsol Platform AI untuk Pembelajaran Mesin (PAI). SSO berbasis peran adalah metode akses yang nyaman dan aman, menyederhanakan proses login sambil meningkatkan keamanan akun dan fleksibilitas manajemen.
Informasi latar belakang
Alibaba Cloud menyediakan SSO berbasis peran, sebuah metode akses ke sumber daya cloud untuk perusahaan dengan persyaratan keamanan lebih ketat tanpa harus memasukkan nama pengguna dan kata sandi. Untuk informasi lebih lanjut, lihat Ikhtisar SSO Berbasis Peran Menggunakan SAML.
Metode masuk yang didukung oleh PAI
PAI mendukung metode masuk berikut:
Masuk Berbasis Akun
Anda dapat masuk ke Konsol Manajemen Alibaba Cloud menggunakan nama pengguna dan kata sandi dari Akun Alibaba Cloud atau akun Pengguna RAM Anda. Dalam hal ini, akun Anda menjadi anggota ruang kerja PAI dan diizinkan untuk menggunakan PAI.
CloudSSO terintegrasi dengan Direktori Sumber Daya Alibaba Cloud untuk menyediakan manajemen identitas multi-akun terpusat dan kontrol akses. Anda dapat menggunakan CloudSSO untuk mengelola pengguna perusahaan yang perlu mengakses sumber daya Alibaba Cloud serta menetapkan izin akses pada akun dalam direktori sumber daya kepada pengguna secara terpusat. Anda juga dapat mengonfigurasi pengaturan hanya sekali untuk mengimplementasikan akses Single Sign-On (SSO) ke sumber daya Alibaba Cloud dari penyedia identitas (IdP).
Masuk SSO Berbasis Peran
Anda dapat mengimplementasikan SSO berbasis peran untuk masuk ke Konsol Manajemen Alibaba Cloud dan menggunakan PAI. Dalam hal ini, Peran RAM menjadi anggota ruang kerja PAI. Pengguna yang mengasumsikan peran tersebut dapat mengakses sumber daya Akun Alibaba Cloud yang membuat peran tersebut. Untuk informasi lebih lanjut tentang Peran RAM, lihat Ikhtisar Peran RAM.
Implementasikan SSO berbasis peran untuk masuk ke konsol PAI
Buat Peran RAM dan tentukan kebijakan kepercayaan untuk peran tersebut.
Buat Peran RAM yang dapat diasumsikan oleh Pengguna RAM
Untuk membuat Peran RAM yang dapat diasumsikan oleh Pengguna RAM lain melalui pergantian identitas di Konsol Manajemen Alibaba Cloud, pilih Alibaba Cloud Account sebagai entitas tepercaya untuk peran tersebut. Ikuti langkah-langkah berikut:
Buat Peran RAM dengan Principal Type disetel ke Cloud Account. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Akun Alibaba Cloud Tepercaya.
Setel Principal Name ke Current Account.
Buka halaman detail peran yang dibuat dan ikuti langkah-langkah pada gambar berikut untuk mengedit kebijakan kepercayaan.
Ubah isi kebijakan menjadi skrip berikut:{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::{ID akun Alibaba Cloud}:root" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }Ganti ID akun Alibaba Cloud dalam acs:ram::ID akun Alibaba Cloud:root dengan ID akun sebenarnya yang ingin diberikan izin. Anda bisa mendapatkan ID akun Alibaba Cloud di halaman Pengaturan Keamanan.
Buat Pengguna RAM. Anda dapat membuat beberapa Pengguna RAM sekaligus. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Temukan Pengguna RAM yang telah dibuat dan klik Add Permissions di kolom Actions. Di panel Tambah Izin, sambungkan kebijakan AliyunSTSAssumeRoleAccess ke Pengguna RAM. Kemudian, Pengguna RAM memiliki izin untuk memanggil operasi AssumeRole dari Layanan Token Keamanan (STS).
Buat Peran RAM yang dapat diasumsikan oleh IdP
Untuk membuat Peran RAM yang dapat diasumsikan oleh penyedia identitas (IdP), pilih IdP sebagai entitas tepercaya untuk peran tersebut. Bagian berikut menjelaskan prosedur rinci:
Buat Peran RAM dengan entitas tepercaya disetel ke IdP. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk IdP Tepercaya.
Buka halaman detail peran yang dibuat dan ikuti langkah-langkah pada gambar berikut untuk mengedit kebijakan kepercayaan.
Ubah isi kebijakan menjadi skrip berikut:{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Federated": [ "acs:ram::ID akun Alibaba Cloud:saml-provider/IDP" ] }, "Condition": { "StringEquals": { "saml:recipient": "https://signin.aliyun.com/saml-role/sso" } } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }Ganti ID akun Alibaba Cloud dalam acs:ram::ID akun Alibaba Cloud:saml-provider/IDP dengan ID akun sebenarnya yang ingin diberikan izin. Anda bisa mendapatkan ID akun Alibaba Cloud di halaman Pengaturan Keamanan.
Berikan izin kepada Peran RAM.
Setelah membuat Peran RAM, Anda perlu memberikan izin kepada peran tersebut dengan menetapkan kebijakan. Peran RAM yang tidak diberikan kebijakan mungkin tidak dapat menggunakan PAI sesuai harapan. Misalnya, Peran RAM mungkin gagal mengelola sumber daya di ruang kerja. Ikuti langkah-langkah berikut untuk menetapkan kebijakan ke Peran RAM Anda:
Buat kebijakan. Sebagai contoh, Anda dapat membuat kebijakan bernama PAIDefaultPolicy. Untuk informasi lebih lanjut, lihat contoh di Berikan Izin yang Diperlukan untuk Menggunakan Machine Learning Designer.
Tentukan skrip berikut di tab JSON:
{ "Version": "1", "Statement": [ { "Action": [ "cs:GetClusterById", "cs:GetClusters", "cs:GetUserConfig", "cs:DescribeClusterNodes", "cs:DescribeClusterInnerServiceKubeconfig", "cs:RevokeClusterInnerServiceKubeconfig" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "vpc:DescribeVSwitchAttributes", "vpc:DescribeVpcs", "vpc:DescribeVSwitches", "vpc:DescribeVpcAttribute" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ecs:DescribeSecurityGroupAttribute", "ecs:DescribeSecurityGroups", "ecs:CreateNetworkInterface", "ecs:DeleteNetworkInterface", "ecs:DescribeNetworkInterfaces", "ecs:CreateNetworkInterfacePermission", "ecs:DescribeNetworkInterfacePermissions", "ecs:DeleteNetworkInterfacePermission" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "nas:DescribeFileSystems", "nas:CreateMountTarget", "nas:DescribeMountTargets", "nas:ModifyMountTarget", "nas:DescribeProtocolMountTarget" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "cr:ListNamespace", "cr:ListRepository", "cr:GetAuthorizationToken", "cr:ListInstanceEndpoint", "cr:PullRepository", "cr:PushRepository", "cr:GetInstance", "cr:GetInstanceVpcEndpoint", "cr:ListInstance", "cr:ListInstanceDomain" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "oss:ListBuckets", "oss:GetObjectMetadata", "oss:GetObject", "oss:ListObjects", "oss:PutObject", "oss:CopyObject", "oss:CompleteMultipartUpload", "oss:AbortMultipartUpload", "oss:InitiateMultipartUpload", "oss:UploadPartCopy", "oss:UploadPart", "oss:DeleteObject" ], "Resource": "acs:oss:*:*:*", "Effect": "Allow" }, { "Action": [ "datasetacc:DescribeInstance", "datasetacc:DescribeSlot", "datasetacc:DescribeEndpoint" ], "Resource": "*", "Effect": "Allow" } ] }Item
Deskripsi
cs:***
Izin yang digunakan untuk mengelola sumber daya Container Service for Kubernetes (ACK).
vpc:***
Izin yang digunakan untuk mengelola sumber daya Virtual Private Cloud (VPC).
ecs:***
Izin yang digunakan untuk mengelola sumber daya Elastic Compute Service (ECS).
nas:***
Izin yang digunakan untuk mengelola sumber daya File Storage NAS.
cr:***
Izin yang digunakan untuk mengelola sumber daya Container Registry.
oss:***
Izin yang digunakan untuk mengelola sumber daya Object Storage Service (OSS).
datasetacc:***
Izin yang diperlukan untuk percepatan dataset.
Di panel navigasi sisi kiri RAM console, pilih .
Cari peran yang Anda buat di Langkah 1 dan klik nama peran untuk membuka halaman detail.
Di tab Permissions, klik Grant Permission untuk menetapkan kebijakan yang dibuat ke peran, seperti yang ditunjukkan pada gambar berikut:
Tambahkan peran sebagai anggota ruang kerja PAI dan berikan izin.
Untuk mengizinkan Peran RAM mengakses modul PAI, Anda harus menambahkan peran sebagai anggota ruang kerja PAI dan memberikan izin yang diperlukan kepada peran tersebut.
Untuk menambahkan peran sebagai anggota ruang kerja, ikuti langkah-langkah berikut: Buka halaman detail ruang kerja dan klik Kelola di sudut kanan atas bagian Anggota. Di panel Members, klik Tambah Anggota untuk menambahkan peran sebagai anggota. Untuk informasi lebih lanjut, lihat Kelola Anggota Ruang Kerja.
CatatanJika Anda tidak dapat menemukan peran dalam daftar Pending Adding, Anda dapat:
Di kotak dialog Add Member, klik Refresh untuk menyegarkan daftar akun.
Gunakan peran untuk masuk ke Konsol PAI dan kemudian cari peran tersebut. Untuk informasi lebih lanjut, lihat Asumsikan Peran RAM.
Masuk ke Konsol PAI menggunakan Peran RAM.
Setelah memberikan izin yang diperlukan kepada peran, pengguna yang mengasumsikan peran tersebut dapat masuk ke Konsol PAI dan menggunakan PAI. Untuk informasi lebih lanjut, lihat Asumsikan Peran RAM.