使用设置与数据源的连接 OAuth

以下部分描述了从 C SageMaker anvas 建立与数据源的OAuth连接时必须采取的步骤。OAuth是一个常用的身份验证平台，用于在不共享密码的情况下授予对资源的访问权限。使用OAuth，您可以从 Canvas 快速连接到您的数据并将其导入以构建模型。Canvas 目前支持 OAuth Snowflake 和 Salesforce 数据云。

注意

只能为每个数据源建立一个OAuth连接。

为 Sales OAuth force 数据云做好准备

要设置 Sales OAuth force 数据云，请按照以下一般步骤操作：

1. 登录 Salesforce Data Cloud。

2. 在 Salesforce Data Cloud 中，创建一个新的应用程序连接并执行以下操作：

   1. 启用OAuth设置。

   2. 当系统提示您回调URL（或访问数据的资源）时，请URL为你的 Canvas 应用程序指定。URLCanvas 应用程序URL遵循以下格式：https://<domain-id>.studio.<region>.sagemaker.aws/canvas/default

   3. 复制用户密钥。

   4. 复制您的授权URL和令牌URL。

有关在 Salesforce Data Cloud 中执行上述任务的更详细说明，请参阅 Data Wrangler 文档中有关从 Salesforce Data Cloud 导入数据的从 Salesforce Data Cloud 导入数据。

启用从 Salesforce Data Cloud 的访问权限并获取您的连接信息后，您必须创建一个AWS Secrets Manager密钥来存储该信息，并将其添加到您的亚马逊 SageMaker 域名或用户个人资料中。请注意，您可以向域名和用户个人资料添加密码，但是 Canvas 会先在用户配置文件中查找机密。

要将密钥添加到您的域名或用户个人资料中，请执行以下操作：

1. 前往 Amazon SageMaker 控制台。

2. 在导航窗格中选择域名。

3. 从域名列表中选择您的域名。

   1. 如果将您的密钥添加到您的域中，请执行以下操作：

      1. 选择域名。

      2. 在域名设置页面上，选择域名设置选项卡。

      3. 选择编辑。

   2. 如果要在用户配置文件中添加密钥，请执行以下操作：

      1. 选择用户的域。

      2. 在域名设置页面上，选择用户个人资料。

      3. 在用户详细信息页面上，选择编辑。

4. 在导航窗格中，选择 Canvas 设置。

5. 对于OAuth设置，请选择添加OAuth配置。

6. 对于数据来源，选择 Salesforce Data Cloud。

7. 对于密钥设置，选择创建新密钥。或者，如果您已经使用自己的凭据创建了 AWS Secrets Manager 密钥，请输入该密钥ARN的。如果创建新密钥，请执行以下操作：

   1. 在 “身份提供者” 中，选择SALESFORCE。

   2. 对于客户端 ID、客户密钥URL、授权和令牌 URL，请输入您在上一个过程中从 Salesforce Data Cloud 收集的所有信息。

8. 保存您的域名或用户个人资料设置。

现在，您应该可以从 Canvas 创建与 Salesforce Data Cloud 中数据的连接。

为 Snowfla OAuth ke 做好准备

要为 Snowflake 设置身份验证，Canvas 支持身份提供商，您可以使用它们来代替让用户直接在 Canvas 中输入凭证。

以下是 Canvas 支持的身份供应商的 Snowflake 文档链接：

• Azure AD

• Okta

• Ping Federate

下面的过程描述了您必须采取的一般步骤。有关执行这些步骤的更详细说明，请参阅 Data Wrangler 文档中有关从 Snowflake 导入数据的设置 Snowflake 访问权限 OAuth部分。

要设置 Snow OAuth flake，请执行以下操作：

1. 在身份提供商处将 Canvas 注册为应用程序。这需要指定指向 Canvas URL 的重定向，该重定向应遵循以下格式：https://<domain-id>.studio.<region>.sagemaker.aws/canvas/default

2. 在身份提供商中，创建服务器或向 Canvas 发送OAuth令牌的服务器API，以便 Canvas 可以访问 Snowflake。设置服务器时，请使用授权码和刷新令牌授权类型，指定访问令牌的有效期，并设置刷新令牌策略。此外，在 Snowflake 的外部OAuth安全集成中，启用。external_oauth_any_role_mode

3. 从身份提供商处获取以下信息：令牌URL、授权URL、客户端 ID、客户端密钥。对于 Azure AD，还要检索OAuth范围凭据。

4. 将上一步中检索到的信息存储在 AWS Secrets Manager 密钥中。

   1. 对于 Okta 和 Ping Federate，密钥的格式如下：

      {"token_url":"https://identityprovider.com/oauth2/example-portion-of-URL-path/v2/token",
      "client_id":"example-client-id", "client_secret":"example-client-secret", "identity_provider":"OKTA"|"PING_FEDERATE",
      "authorization_url":"https://identityprovider.com/oauth2/example-portion-of-URL-path/v2/authorize"}

   2. 对于 Azure AD，密钥还应包括OAuth范围凭据作为datasource_oauth_scope字段。

配置身份提供商和密钥后，您必须创建一个用于存储信息的AWS Secrets Manager密钥并将其添加到您的 Amazon SageMaker 域名或用户个人资料中。请注意，您可以向域名和用户个人资料添加密码，但是 Canvas 会先在用户配置文件中查找机密。

要将密钥添加到您的域名或用户个人资料中，请执行以下操作：

1. 前往 Amazon SageMaker 控制台。

2. 在导航窗格中选择域名。

3. 从域名列表中选择您的域名。

   1. 如果将您的密钥添加到您的域中，请执行以下操作：

      1. 选择域名。

      2. 在域名设置页面上，选择域名设置选项卡。

      3. 选择编辑。

   2. 如果要在用户配置文件中添加密钥，请执行以下操作：

      1. 选择用户的域。

      2. 在域名设置页面上，选择用户个人资料。

      3. 在用户详细信息页面上，选择编辑。

4. 在导航窗格中，选择 Canvas 设置。

5. 对于OAuth设置，请选择添加OAuth配置。

6. 对于数据来源，选择 Snowflake。

7. 对于密钥设置，选择创建新密钥。或者，如果您已经使用自己的凭据创建了 AWS Secrets Manager 密钥，请输入该密钥ARN的。如果创建新密钥，请执行以下操作：

   1. 在 “身份提供者” 中，选择SNOWFLAKE。

   2. 在 “客户端 ID”、“客户机密” URL、“授权” 和 “令牌 URL” 中，输入您在之前的过程中从身份提供商那里收集的所有信息。

8. 保存您的域名或用户个人资料设置。

现在，您应该能够从 Canvas 创建到 Snowflake 中的数据的连接。