Configurez le SSO à l’aide d’OpenID Connect avec des fournisseurs d’identité comme Okta, Azure AD et AWS Cognito pour les instances W&B.
La prise en charge par W&B des fournisseurs d’identité compatibles avec OpenID Connect (OIDC) permet de gérer les identités des utilisateurs et leur appartenance à des groupes via des fournisseurs d’identité externes comme Okta, Keycloak, Auth0, Google et Entra.
W&B prend en charge les flux d’authentification OIDC suivants pour l’intégration avec des fournisseurs d’identité (IdP) externes.
Flux implicite avec Form Post
Flux de code d’autorisation avec Proof Key for Code Exchange (PKCE)
Ces flux authentifient les utilisateurs et fournissent à W&B les informations d’identité nécessaires (sous forme de jetons ID) pour gérer le contrôle d’accès.Le jeton ID est un JWT qui contient les informations d’identité de l’utilisateur, telles que son nom, son nom d’utilisateur, son adresse e-mail et son appartenance à des groupes. W&B utilise ce jeton pour authentifier l’utilisateur et l’associer aux rôles ou groupes appropriés dans le système.Dans le contexte de W&B, les jetons d’accès autorisent les requêtes aux API au nom de l’utilisateur, mais comme W&B s’intéresse avant tout à l’authentification et à l’identité de l’utilisateur, seul le jeton ID est nécessaire.Vous pouvez utiliser des variables d’environnement pour configurer les options IAM de votre instance Cloud dédié ou Autogéré.Pour vous aider à configurer des fournisseurs d’identité pour des installations W&B Cloud dédié ou Autogéré, suivez les recommandations ci-dessous pour différents IdP. Si vous utilisez la version SaaS de W&B, contactez support@wandb.com pour obtenir de l’assistance dans la configuration d’un tenant Auth0 pour votre organisation.
Cette section explique comment configurer votre fournisseur d’identité (IdP) pour OIDC. Sélectionnez l’onglet correspondant à votre IdP pour plus de détails.
Cognito
Okta
Entra
Suivez la procédure ci-dessous pour configurer AWS Cognito pour l’autorisation :
Commencez par vous connecter à votre compte AWS, puis accédez à l’application AWS Cognito.
Indiquez une URL de rappel autorisée pour configurer l’application dans votre IdP :
Ajoutez http(s)://YOUR-W&B-HOST/oidc/callback comme URL de rappel. Remplacez YOUR-W&B-HOST par le chemin d’hôte de votre instance W&B.
Si votre IdP prend en charge la déconnexion universelle, définissez l’URL de déconnexion sur http(s)://YOUR-W&B-HOST. Remplacez YOUR-W&B-HOST par le chemin d’hôte de votre instance W&B.Par exemple, si votre application s’exécute à l’adresse https://wandb.mycompany.com, remplacez YOUR-W&B-HOST par wandb.mycompany.com.L’image ci-dessous montre comment renseigner les URL de rappel autorisées et de déconnexion dans AWS Cognito.
Sélectionnez un ou plusieurs types de grant OAuth pour configurer la manière dont AWS Cognito transmet les jetons à votre application.
W&B exige des scopes OpenID Connect (OIDC) spécifiques. Sélectionnez les éléments suivants dans l’application AWS Cognito :
“openid”
“profile”
“email”
Par exemple, l’interface de votre application AWS Cognito devrait ressembler à l’image suivante :
Sélectionnez la méthode d’authentification dans la page des paramètres ou définissez la variable d’environnement OIDC_AUTH_METHOD pour indiquer à wandb/local quel grant utiliser.Vous devez définir la méthode d’authentification sur pkce.
Vous avez besoin d’un ID client et de l’URL de votre émetteur OIDC. Le document de découverte OpenID doit être disponible à l’adresse $OIDC_ISSUER/.well-known/openid-configurationPar exemple, vous pouvez générer l’URL de votre émetteur en ajoutant l’ID de votre pool d’utilisateurs à l’URL de l’IdP Cognito depuis l’onglet App Integration de la section User Pools :
N’utilisez pas le “domaine Cognito” pour l’URL de l’IdP. Cognito fournit son document de découverte à l’adresse https://cognito-idp.$REGION.amazonaws.com/$USER_POOL_ID
Attributions : sélectionnez Skip group assignment for now
Sur l’écran d’aperçu de l’application Okta que vous venez de créer, notez le Client ID sous Client Credentials, dans l’onglet General :
Pour identifier l’URL de l’émetteur OIDC d’Okta, sélectionnez Settings, puis Account dans le menu de gauche.
L’interface utilisateur d’Okta affiche le nom de l’entreprise sous Organization Contact.
L’URL de l’émetteur OIDC a le format suivant : https://COMPANY.okta.com. Remplacez COMPANY par la valeur correspondante. Notez-la.Ensuite, Configurez le SSO dans W&B.
Azure AD (Entra ID) prend en charge deux modes de configuration OIDC pour W&B. Choisissez la configuration qui correspond à vos exigences de sécurité :
Client public : Utilise PKCE sans secret du client. Plus simple à configurer, il convient à la plupart des déploiements.
Client confidentiel : utilise PKCE avec un secret du client pour une sécurité renforcée. Requis si vous devez définir la variable d’environnement GORILLA_OIDC_SECRET.
Ne mélangez pas les configurations. Si vous sélectionnez “Single-page application” dans Azure AD, n’indiquez pas de secret client. Si vous avez besoin d’un secret client, vous devez sélectionner “Web” comme type de plateforme.
Client public
Utilisez cette configuration si vous n’avez pas besoin d’indiquer de secret client. Cette configuration convient aux déploiements sans exigences de sécurité avancées.
Accédez au service Microsoft Entra ID et sélectionnez App registrations dans la barre latérale gauche.
Cliquez sur New registration en haut de la page.
Dans l’écran “Register an application”, configurez les éléments suivants :
Name : saisissez un nom explicite.
Supported account types : conservez la valeur par défaut “Single tenant” ou modifiez-la selon vos besoins.
Redirect URI : sélectionnez le type de plateforme Web et saisissez https://YOUR_W_AND_B_URL/oidc/callback.
Cliquez sur Register.
Après l’enregistrement, relevez les valeurs suivantes sur la page Aperçu :
Application (client) ID : votre ID client OIDC.
Directory (tenant) ID : votre URL d’émetteur OIDC.
Configurez les paramètres d’authentification :
Sélectionnez Authentication dans la barre latérale gauche.
Sous Front-channel logout URL, saisissez https://<YOUR_W_AND_B_URL>/logout.
Cliquez sur Save
Créez un secret client :
Sélectionnez Certificates & secrets dans la barre latérale gauche.
Cliquez sur New client secret.
Ajoutez une description pour le secret.
Choisissez une durée d’expiration.
Cliquez sur Add.
Copiez et enregistrez immédiatement la Value du secret (et non le Secret ID)
.
Notez les informations suivantes :
OIDC Client ID : l’Application (client) ID de l’étape 5.
OIDC Client Secret : la valeur du secret de l’étape 7.
OIDC Issuer URL : https://login.microsoftonline.com/{TenantID}/v2.0 (remplacez par votre Directory ID de l’étape 5).
Lors de la configuration de W&B, utilisez :
Auth Method : pkce
OIDC Client Secret : définissez la variable d’environnement GORILLA_OIDC_SECRET sur la valeur du secret de l’étape 7
Le point de terminaison v2.0 prend en charge à la fois les comptes Microsoft personnels et les comptes professionnels ou scolaires. Si votre organisation exige le point de terminaison v1.0, utilisez https://login.microsoftonline.com/{TenantID} à la place.
Pour configurer le SSO, vous devez disposer de privilèges d’administrateur et des informations suivantes :
ID client OIDC
Méthode d’authentification OIDC (implicit ou pkce)
URL de l’émetteur OIDC
Secret client OIDC (facultatif ; dépend de la façon dont votre IdP est configuré)
Si votre IdP exige un secret client OIDC, indiquez-le en définissant la variable d’environnementGORILLA_OIDC_SECRET.
Dans W&B App, accédez à System Console > Settings > Advanced > User Spec et ajoutez GORILLA_OIDC_SECRET à la section extraENV, comme indiqué ci-dessous.
Dans Helm, configurez values.global.extraEnv comme indiqué ci-dessous.
Si vous ne parvenez pas à vous connecter à votre instance après avoir configuré le SSO, vous pouvez redémarrer l’instance avec la variable d’environnement LOCAL_RESTORE=true définie. Cela génère un mot de passe temporaire dans les logs des conteneurs et désactive le SSO. Une fois les problèmes de SSO résolus, vous devez supprimer cette variable d’environnement pour réactiver le SSO.
System Console
System Settings
System Console remplace la page System Settings. Elle est disponible dans les déploiements basés sur l’opérateur Kubernetes W&B.
Avant de pouvoir configurer BYOB au niveau de l’équipe avec le stockage CoreWeave sur W&B Cloud dédié ou Autogéré, vous devez obtenir le Customer Namespace de votre organisation. Vous pouvez l’afficher et le copier en bas de l’onglet Authentication.Pour obtenir des instructions détaillées sur la configuration du stockage CoreWeave avec votre Customer Namespace, voir Exigences CoreWeave pour Cloud dédié / Autogéré.
Connectez-vous à votre instance Weights & Biases.
Accédez à W&B App.
Dans la liste déroulante, sélectionnez System Settings :
Saisissez votre émetteur, votre ID client et votre méthode d’authentification.
Sélectionnez Update settings.
Si vous ne parvenez pas à vous connecter à votre instance après avoir configuré le SSO, vous pouvez redémarrer l’instance avec la variable d’environnement LOCAL_RESTORE=true définie. Cela génère un mot de passe temporaire dans les logs des conteneurs et désactive le SSO. Une fois les problèmes de SSO résolus, vous devez supprimer cette variable d’environnement pour réactiver le SSO.
