Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# OIDC IdP – Arbeitskräfte
Richten Sie mithilfe eines OpenID Connect (OIDC) Identity Providers (IdP) eine private Arbeitskraft ein, wenn Sie Ihre Auftragnehmer mit Ihrem eigenen OIDC-IdP verwalten und authentifizieren möchten. Individuelle Auftragnehmeranmeldedaten und andere Daten werden vertraulich behandelt. Ground Truth und Amazon A2I haben nur Einblick in die Arbeitnehmerinformationen, die Sie im Rahmen der Anträge, die Sie an diese Dienste senden, zur Verfügung stellen. Um eine Arbeitskraft mit einem OIDC-IdP zusammenzustellen, muss Ihr IdP *Gruppen* unterstützen, da Ground Truth und Amazon A2I eine oder mehrere Gruppen in Ihrem IdP einem Arbeitsteam zuordnen. Weitere Informationen hierzu finden Sie unter [Erforderliche und optionale Anträge an Ground Truth und Amazon A2I senden](sms-workforce-create-private-oidc.md#sms-workforce-create-private-oidc-configure-idp).
Wenn Sie ein neuer Benutzer von Ground Truth oder Amazon A2I sind, können Sie Ihre Auftragnehmer-Benutzeroberfläche und Ihren Auftrag-Workflow testen, indem Sie ein privates Arbeitsteam erstellen und sich selbst als Auftragnehmer hinzufügen. Verwenden Sie dieses Arbeitsteam, wenn Sie einen Beschriftungsauftrag oder einen menschlichen Überprüfungs-Workflow erstellen. Erstellen Sie zunächst anhand der Anweisungen unter [Erstellen einer privaten Arbeitskraft (OIDC IdP)](sms-workforce-create-private-oidc.md) eine private OIDC-IdP-Arbeitskraft. Als Nächstes erfahren Sie unter [Verwalten von privaten Arbeitskräften (OIDC IdP)](sms-workforce-manage-private-oidc.md), wie Sie ein Arbeitsteam zusammenstellen.
**Topics**
+ [
# Erstellen einer privaten Arbeitskraft (OIDC IdP)
](sms-workforce-create-private-oidc.md)
+ [
# Verwalten von privaten Arbeitskräften (OIDC IdP)
](sms-workforce-manage-private-oidc.md)
# Erstellen einer privaten Arbeitskraft (OIDC IdP)
Erstellen Sie eine private Belegschaft mithilfe eines OpenID Connect (OIDC) Identity Providers (IdP), wenn Sie Auftragnehmer mit Ihrem eigenen Identitätsanbieter authentifizieren und verwalten möchten. Auf dieser Seite erfahren Sie, wie Sie Ihren IdP für die Kommunikation mit Amazon SageMaker Ground Truth (Ground Truth) oder Amazon Augmented AI (Amazon A2I) konfigurieren und wie Sie mithilfe Ihres eigenen IdP eine Belegschaft aufbauen können.
Um eine Belegschaft mit einem OIDC-IdP zusammenzustellen, muss Ihr IdP *Gruppen* unterstützen, da Ground Truth und Amazon A2I eine oder mehrere Gruppen verwenden, die Sie angeben, um Arbeitsteams zu bilden. Sie verwenden Arbeitsteams, um Auftragnehmer für Ihre Etikettierungsaufgaben und Aufgaben zur Überprüfung durch Auftragnehmer festzulegen. Da es sich bei Gruppen nicht um einen [Standardanspruch](https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims) handelt, hat Ihr IdP möglicherweise eine andere Benennungskonvention für eine Gruppe von Benutzern (Auftragnehmern). Daher müssen Sie mithilfe des benutzerdefinierten Antrags `sagemaker:groups`, der von Ihrem IdP an Ground Truth oder Amazon A2I gesendet wird, eine oder mehrere Benutzergruppen identifizieren, zu denen ein Auftragnehmer gehört. Weitere Informationen hierzu finden Sie unter [Erforderliche und optionale Anträge an Ground Truth und Amazon A2I senden](#sms-workforce-create-private-oidc-configure-idp).
Sie erstellen mithilfe der API-Operation eine OIDC-IdP-Belegschaft. SageMaker [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) Sobald Sie eine private Belegschaft erstellt haben, stehen diese Belegschaft und alle mit ihr verbundenen Arbeitsteams und Arbeiter für alle Ground-Truth-Labeling-Aufgaben und Amazon A2I Überprüfungsworkflows zur Verfügung. Weitere Informationen hierzu finden Sie unter [Eine OIDC-IdP Workforce einrichten](#sms-workforce-create-private-oidc-createworkforce).
## Erforderliche und optionale Anträge an Ground Truth und Amazon A2I senden
Wenn Sie Ihren eigenen IdP verwenden, benutzen Ground Truth und Amazon A2I Ihre `Issuer`, `ClientId`, und `ClientSecret`, um Auftragnehmer zu authentifizieren, indem sie einen Authentifizierungs-CODE von Ihrer `AuthorizationEndpoint` erhalten.
Ground Truth und Amazon A2I verwenden diesen CODE, um einen individuellen Antrag entweder von Ihrem IdP `TokenEndpoint` oder `UserInfoEndpoint` zu erhalten. Sie können entweder so konfigurieren`TokenEndpoint`, dass ein JSON-Web-Token (JWT) oder `UserInfoEndpoint` ein JSON-Objekt zurückgegeben wird. Das JWT- oder JSON-Objekt muss die von Ihnen angegebenen erforderlichen und optionalen Ansprüche enthalten. Ein [Anspruch](https://openid.net/specs/openid-connect-core-1_0.html#Terminology) ist ein Schlüssel-Wert-Paar, das Informationen über einen Worker oder Metadaten über den OIDC-Dienst enthält. In der folgenden Tabelle sind die Ansprüche aufgeführt, die enthalten sein müssen und die optional in das JWT- oder JSON-Objekt aufgenommen werden können, das Ihr IdP zurückgibt.
**Anmerkung**
Einige der Parameter in der folgenden Tabelle können mit a `:` oder a `-` angegeben werden. Sie können beispielsweise mithilfe `sagemaker:groups` oder `sagemaker-groups` in Ihrem Antrag angeben, zu welchen Gruppen eine Arbeitskraft gehört.
| Name | Erforderlich | Zulässiges Format und Werte | Description | Beispiel |
| --- | --- | --- | --- | --- |
| `sagemaker:groups` oder `sagemaker-groups` | Ja | **Datentyp**: Wenn ein Auftragnehmer zu einer einzelnen Gruppe gehört, identifizieren Sie die Gruppe anhand einer Zeichenfolge. Wenn ein Worker zu mehreren Gruppen gehört, verwenden Sie eine Liste mit bis zu 10 Zeichenketten. **Zulässige Zeichen**: Regex: [\$1 p \$1L\$1\$1 p \$1M\$1\$1 p \$1S\$1\$1 p \$1N\$1\$1 p \$1P\$1] \$1 **Kontingente**: 10 Gruppen pro Auftragnehmer 63 Zeichen pro Gruppenname | Weist einen Auftragnehmer einer oder mehreren Gruppen zu. Gruppen werden verwendet, um die Arbeitskraft Arbeitsteams zuzuordnen. | Beispiel für einen Auftragnehmer, der zu einer einzelnen Gruppe gehört: `"work_team1"` Beispiel für eine Arbeitskraft, die zu mehr als einer Gruppe gehört: `["work_team1", "work_team2"]` |
| `sagemaker:sub` oder `sagemaker-sub` | Ja | **Datentyp**: Zeichenfolge | Dies ist erforderlich, um die Identität eines Auftragnehmers innerhalb der Ground-Truth-Plattform zu Auditzwecken nachzuverfolgen und Aufgaben zu identifizieren, an denen dieser Auftragnehmer gearbeitet hat. Für ADFS: Kunden müssen den Primary Security Identifier (SID) verwenden. | `"111011101-123456789-3687056437-1111"` |
| `sagemaker:client_id` oder `sagemaker-client_id` | Ja | **Datentyp**: Zeichenfolge **Zulässige Zeichen**: Regex: [\$1 w\$1-] \$1 **Zitate**: 128 Zeichen | Eine Client-ID. Alle Token müssen für diese Client-ID ausgestellt werden. | `"00b600bb-1f00-05d0-bd00-00be00fbd0e0"` |
| `sagemaker:name` oder `sagemaker-name` | Ja | **Datentyp**: Zeichenfolge | Der Name des Auftragnehmers, der im Worker-Portal angezeigt werden soll. | `"Jane Doe"` |
| `email` | Nein | **Datentyp**: Zeichenfolge | Die E-Mail-Adresse des Auftragnehmers. Ground Truth verwendet diese E-Mail, um Auftragnehmer darüber zu informieren, dass sie eingeladen wurden, an Labeling-Aufgaben zu arbeiten. Ground Truth verwendet diese E-Mail auch, um Ihre Auftragnehmer zu benachrichtigen, wenn Labeling-Aufgaben verfügbar werden, wenn Sie ein Amazon SNS-Thema für ein Arbeitsteam einrichten, dem dieser Auftragnehmer angehört. | `"example-email@domain.com"` |
| `email_verified` | Nein | **Datentyp**: Bool **Akzeptierte Werte**: `True`, `False` | Gibt an, ob die Benutzer-E-Mail verifiziert wurde oder nicht. | `True` |
Es folgt ein Beispiel für die JSON-Objektsyntax, die Ihr `UserInfoEndpoint` zurückgeben kann.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
Ground Truth oder Amazon A2I vergleicht die Gruppen, die in `sagemaker:groups` oder `sagemaker-groups` aufgeführt sind, um zu überprüfen, ob Ihr Auftragnehmer zu dem Arbeitsteam gehört, das in der Etikettierungsaufgabe oder der menschlichen Überprüfungsaufgabe angegeben ist. Nachdem das Arbeitsteam verifiziert wurde, werden Aufgaben zur Kennzeichnung oder Überprüfung durch einen Auftragnehmer an diesen Auftragnehmer gesendet.
## Eine OIDC-IdP Workforce einrichten
Sie können mithilfe des SageMaker API-Vorgangs `CreateWorkforce` und der zugehörigen sprachspezifischen Funktionen eine Belegschaft erstellen. SDKs Geben Sie im Parameter `OidcConfig` einen `WorkforceName` und Informationen zu Ihrem OIDC-IDP an. Es wird empfohlen, dass Sie Ihr OIDC mit einem Platzhalter-Umleitungs-URI konfigurieren und den URI dann mit der URL des Worker-Portals aktualisieren, nachdem Sie die Belegschaft erstellt haben. Weitere Informationen hierzu finden Sie unter [Konfigurieren Ihres OIDC-IdP](#sms-workforce-create-private-oidc-configure-url).
Im Folgenden wird ein Beispiel für eine solche Anfrage gezeigt. Weitere Informationen zu den einzelnen Parametern in dieser Anfrage finden Sie unter [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html).
```
CreateWorkforceRequest: {
#required fields
WorkforceName: "example-oidc-workforce",
OidcConfig: {
ClientId: "clientId",
ClientSecret: "secret",
Issuer: "https://example-oidc-idp.com/adfs",
AuthorizationEndpoint: "https://example-oidc-idp.com/adfs/oauth2/authorize",
TokenEndpoint: "https://example-oidc-idp.com/adfs/oauth2/token",
UserInfoEndpoint: "https://example-oidc-idp.com/adfs/oauth2/userInfo",
LogoutEndpoint: "https://example-oidc-idp.com/adfs/oauth2/log-out",
JwksUri: "https://example-oidc-idp.com/adfs/discovery/keys"
},
SourceIpConfig: {
Cidrs: ["string", "string"]
}
}
```
### Konfigurieren Ihres OIDC-IdP
Wie Sie Ihren OIDC-IdP konfigurieren, hängt von dem von Ihnen verwendeten IdP und Ihren Geschäftsanforderungen ab.
Wenn Sie Ihren IdP konfigurieren, müssen Sie eine Rückruf- oder Umleitungs-URI angeben. Nachdem Ground Truth oder Amazon A2I einen Auftragnehmer authentifiziert hat, leitet dieser URI den Auftragnehmer zum Worker-Portal weiter, wo die Auftragnehmer auf Kennzeichnungs- oder menschliche Überprüfungsaufgaben zugreifen können. Um eine URL für das Worker-Portal zu erstellen, müssen Sie mithilfe der [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) API-Operation eine Belegschaft mit Ihren OIDC-IdP-Details erstellen. Insbesondere müssen Sie Ihren OIDC-IdP mit den erforderlichen benutzerdefinierten Sagemaker-Ansprüchen konfigurieren (weitere Informationen finden Sie im nächsten Abschnitt). Daher wird empfohlen, dass Sie Ihr OIDC mit einem Platzhalter-Umleitungs-URI konfigurieren und den URI dann aktualisieren, nachdem Sie die Belegschaft erstellt haben. Sehen Sie [Eine OIDC-IdP Workforce einrichten](#sms-workforce-create-private-oidc-createworkforce) an, um zu erfahren, wie man eine Belegschaft mit dieser API erstellt.
Sie können die URL Ihres Mitarbeiterportals in der SageMaker Ground Truth Konsole oder mithilfe der SageMaker API-Operation anzeigen`DescribeWorkforce`. Die URL des Worker-Portals ist im [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain) Parameter in der Antwort enthalten.
**Wichtig**
Stellen Sie sicher, dass Sie die Workforce-Subdomain zu Ihrer OIDC-IdP-Zulassungsliste hinzufügen. Wenn Sie die Subdomain zu Ihrer Zulassungsliste hinzufügen, muss sie mit `/oauth2/idpresponse` enden.
**So zeigen Sie die URL Ihres Worker-Portals an, nachdem Sie eine private Belegschaft erstellt haben (Konsole):**
1. Öffnen Sie die SageMaker AI-Konsole unter [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im Navigationsbereich die Option **Labeling workforces (Arbeitskräfte für das Labeling)** aus.
1. Wählen Sie die Registerkarte **Private (Privat)** aus.
1. In der **Übersicht über private Auftragnehmer** finden Sie die **Anmelde-URL für das Labeling-Portal**. Dies ist die URL Ihres Worker-Portals.
**So zeigen Sie die URL Ihres Worker-Portals an, nachdem Sie eine private Belegschaft (API) erstellt haben:**
Wenn Sie eine private Arbeitskraft mithilfe von `[CreateWorkforce](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)` erstellen, geben Sie eine `WorkforceName` an. Verwenden Sie diesen Namen, um [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) aufzurufen. Die folgende Tabelle enthält Beispiele für Anfragen, bei denen das AWS CLI und verwendet wird AWS SDK für Python (Boto3).
------
#### [ SDK for Python (Boto3) ]
```
response = client.describe_workforce(WorkforceName='string')
print(f'The workforce subdomain is: {response['SubDomain']}')
```
------
#### [ AWS CLI ]
```
$ C:\> describe-workforce --workforce-name 'string'
```
------
## Bestätigen Sie Ihre Antwort auf die OIDC IdP Workforce-Authentifizierung
Nachdem Sie Ihre OIDC-IdP Workforce erstellt haben, können Sie die folgenden Schritte zum Überprüfen des Authentifizierungs-Workflows mit cURL ausführen. Bei diesem Verfahren wird davon ausgegangen, dass Sie Zugriff auf ein Terminal haben und cURL installiert haben.
**So validieren Sie Ihre OIDC-IdP-Autorisierungsantwort:**
1. Rufen Sie einen Autorisierungscode mit einer wie folgt konfigurierten URI ab:
```
{AUTHORIZE ENDPOINT}?client_id={CLIENT ID}&redirect_uri={REDIRECT URI}&scope={SCOPE}&response_type=code
```
1. Ersetzen Sie *`{AUTHORIZE ENDPOINT}`* durch den Autorisierungsendpunkt für Ihren OIDC-IdP.
1. `{CLIENT ID}`Ersetzen Sie es durch die Client-ID Ihres OAuth Kunden.
1. Ersetzen Sie *`{REDIRECT URI}`* durch die URL des Worker-Portals. Falls sie noch nicht vorhanden ist, müssen Sie `/oauth2/idpresponse` am Ende der URL hinzufügen.
1. Wenn Sie einen benutzerdefinierten Bereich haben, verwenden Sie diesen zum Ersetzen von `{SCOPE}`. Wenn Sie keinen benutzerdefinierten Bereich haben, ersetzen Sie `{SCOPE}` durch`openid`.
Im Folgenden finden Sie ein Beispiel für einen URI, nachdem die obigen Änderungen vorgenommen wurden:
```
https://example.com/authorize?client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac&redirect_uri=https%3A%2F%2F%2Fexample.labeling.sagemaker.aws%2Foauth2%2Fidpresponse&response_type=code&scope=openid
```
1. Kopieren Sie die geänderte URI aus Schritt 1, fügen Sie sie in Ihren Browser ein und drücken Sie die Eingabetaste auf Ihrer Tastatur.
1. Authentifizieren Sie sich mit Ihrem IdP.
1. Kopieren Sie den Abfrageparameter für den Authentifizierungscode in die URI. Dieser Parameter beginnt mit `code=`. Das folgende Beispiel zeigt, wie die Anforderung aussehen kann. In diesem Beispiel kopieren Sie `code=MCNYDB...` und alles danach.
```
https://example.labeling.sagemaker.aws/oauth2/idpresponse?code=MCNYDB....
```
1. Öffnen Sie ein Terminal und geben Sie den folgenden Befehl ein, nachdem Sie die unten aufgeführten erforderlichen Änderungen vorgenommen haben:
```
curl --request POST \
--url '{TOKEN ENDPOINT}' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id={CLIENT ID}' \
--data client_secret={CLIENT SECRET} \
--data code={CODE} \
--data 'redirect_uri={REDIRECT URI}'
```
1. Ersetzen Sie `{TOKEN ENDPOINT}` durch den Token-Endpunkt für Ihren OIDC-IdP.
1. `{CLIENT ID}`Ersetzen Sie es durch die Client-ID Ihres OAuth Kunden.
1. `{CLIENT SECRET}`Ersetzen Sie es durch das geheime Kundengeheimnis Ihres OAuth Kunden.
1. Ersetzen Sie `{CODE}` durch den Abfrageparameter für den Authentifizierungscode, den Sie in Schritt 4 kopiert haben.
1. Ersetzen Sie *`{REDIRECT URI}`* durch die URL des Worker-Portals.
Im Folgenden finden Sie ein Beispiel für die cURL-Anfrage nach den oben beschriebenen Änderungen:
```
curl --request POST \
--url 'https://example.com/token' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac' \
--data client_secret=client-secret \
--data code=MCNYDB... \
--data 'redirect_uri=https://example.labeling.sagemaker.aws/oauth2/idpresponse'
```
1. Dieser Schritt hängt von der Art von `access_token` Ihrer IdP-Rücksendungen ab, einem Klartext-Zugriffstoken oder einem JWT-Zugriffstoken.
+ Wenn Ihr IdP keine JWT-Zugriffstoken unterstützt, kann `access_token` ein einfacher Text sein (z. B. eine UUID). Die Antwort, die Sie sehen, könnte so ähnlich aussehen wie die folgende. Fahren Sie in diesem Fall mit Schritt 7 fort.
```
{
"access_token":"179c144b-fccb-4d96-a28f-eea060f39c13",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"ef43e52e-9b4f-410c-8d4c-d5c5ee57631a",
"scope":"openid"
}
```
+ Wenn Ihr IdP JWT-Zugriffstoken unterstützt, sollte Schritt 5 ein Zugriffstoken im JWT-Format generieren. Die Antwort kann zum Beispiel wie folgt aussehen:
```
{
"access_token":"eyJh...JV_adQssw5c",
"refresh_token":"i6mapTIAVSp2oJkgUnCACKKfZxt_H5MBLiqcybBBd04",
"refresh_token_expires_in":6327,
"scope":"openid",
"id_token":"eyJ0eXAiOiJK9...-rDaQzUHl6cQQWNiDpWOl_lxXjQEvQ"
}
```
Kopieren Sie das JWT und dekodieren Sie es. Sie können ein Python-Skript oder eine Website eines Drittanbieters verwenden, um es zu dekodieren. Sie können beispielsweise auf die Website [https://jwt.io/](https://jwt.io/) gehen und das JWT in das Feld **Encoded** einfügen, um es zu dekodieren.
Stellen Sie sicher, dass die dekodierte Antwort Folgendes enthält:
+ Die **erforderlichen** SageMaker KI-Ansprüche finden Sie in der Tabelle unter[Erforderliche und optionale Anträge an Ground Truth und Amazon A2I senden](#sms-workforce-create-private-oidc-configure-idp). Ist dies nicht der Fall, müssen Sie Ihren OIDC-IdP neu konfigurieren, um diese Ansprüche zu berücksichtigen.
+ Der [Emittent](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html#sagemaker-Type-OidcConfig-Issuer), den Sie bei der Einrichtung der IdP-Belegschaft angegeben haben.
1. Geben Sie in einem Terminal den folgenden Befehl ein, nachdem Sie die unten aufgeführten erforderlichen Änderungen vorgenommen haben:
```
curl -X POST -H 'Authorization: Bearer {ACCESS TOKEN}' -d '' -k -v {USERINFO ENDPOINT}
```
1. Ersetzen Sie `{USERINFO ENDPOINT}` durch den Benutzerinformationsendpunkt für Ihren OIDC-IdP.
1. Ersetzen Sie `{ACCESS TOKEN}` durch das Zugriffstoken in der Antwort, die Sie in Schritt 7 erhalten haben. Dies ist der Eintrag für den `"access_token"` Parameter.
Im Folgenden finden Sie ein Beispiel für die cURL-Anfrage nach den oben beschriebenen Änderungen:
```
curl -X POST -H 'Authorization: Bearer eyJ0eX...' -d '' -k -v https://example.com/userinfo
```
1. Die Antwort auf den letzten Schritt des obigen Verfahrens könnte dem folgenden Codeblock ähneln.
Wenn der in Schritt 6 zurückgegebene `access_token` ein reiner Text war, müssen Sie überprüfen, ob diese Antwort die erforderlichen Informationen enthält. In diesem Fall muss die Antwort die **erforderlichen** SageMaker KI-Ansprüche in der Tabelle unter enthalten[Erforderliche und optionale Anträge an Ground Truth und Amazon A2I senden](#sms-workforce-create-private-oidc-configure-idp). Zum Beispiel `sagemaker-groups`, `sagamaker-name`.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
## Nächste Schritte
Sobald Sie mit Ihrem IdP eine private Belegschaft erstellt und Ihre IdP-Authentifizierungsantwort verifiziert haben, können Sie mithilfe Ihrer IdP-Gruppen Arbeitsteams erstellen. Weitere Informationen hierzu finden Sie unter [Verwalten von privaten Arbeitskräften (OIDC IdP)](sms-workforce-manage-private-oidc.md).
Mithilfe der SageMaker API können Sie den Zugriff Ihrer Mitarbeiter auf Aufgaben auf bestimmte IP-Adressen beschränken und Ihre Belegschaft aktualisieren oder löschen. Weitere Informationen hierzu finden Sie unter [Private Personalverwaltung mithilfe der SageMaker Amazon-API](sms-workforce-management-private-api.md).
# Verwalten von privaten Arbeitskräften (OIDC IdP)
Sobald Sie mit Ihrem OpenID Connect (OIDC) Identity Provider (IdP) eine private Belegschaft erstellt haben, können Sie Ihre Mitarbeiter mithilfe Ihres IdP verwalten. So können Sie Worker beispielsweise direkt über Ihren IdP hinzufügen, entfernen und gruppieren.
Um Mitarbeiter zu einem Amazon SageMaker Ground Truth (Ground Truth) -Labeling-Job oder einer Amazon Augmented AI (Amazon A2I) Human Review-Aufgabe hinzuzufügen, erstellen Sie Arbeitsteams mit 1—10 IdP-Gruppen und weisen dieses Arbeitsteam dem Job oder der Aufgabe zu. Sie weisen einem Job oder einer Aufgabe ein Arbeitsteam zu, indem Sie dieses Arbeitsteam angeben, wenn Sie einen Labeling-Auftrag (Ground Truth) oder einen menschlichen Review-Workflow (Amazon A2I) erstellen.
Sie können jedem Etikettierungsauftrag oder jedem Arbeitsablauf für die Überprüfung durch einen Mitarbeiter nur ein Team zuweisen. Sie können dasselbe Team verwenden, um mehrere Etikettierungsaufträge oder manuelle Überprüfungsaufgaben zu erstellen. Sie können auch mehrere Arbeitsteams zusammenstellen, um an verschiedenen Etikettierungsaufträgen oder menschlichen Überprüfungsaufgaben zu arbeiten.
## Voraussetzungen
Um private Arbeitsteams mithilfe Ihrer OIDC-IdP-Gruppen zu erstellen und zu verwalten, müssen Sie zunächst mithilfe der SageMaker API-Operation eine Belegschaft erstellen. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) Weitere Informationen hierzu finden Sie unter [Erstellen einer privaten Arbeitskraft (OIDC IdP)](sms-workforce-create-private-oidc.md).
## Fügen Sie Arbeitsteams hinzu
**Sie können die SageMaker KI-Konsole verwenden, um mithilfe Ihrer OIDC-IdP-Mitarbeiter auf der Seite **Labeling Workforces** unter Ground Truth ein privates Arbeitsteam zusammenzustellen.** Wenn Sie einen Ground-Truth-Labeling-Auftrag erstellen, können Sie bei der Erstellung eines Labeling-Auftrags auch ein privates Arbeitsteam erstellen.
**Anmerkung**
Sie erstellen und verwalten Arbeitsteams für Amazon A2I im Ground Truth Truth-Bereich der SageMaker KI-Konsole.
Sie können auch die SageMaker API und die zugehörige sprachspezifische API verwenden, SDKs um ein privates Arbeitsteam zusammenzustellen.
Verwenden Sie die folgenden Verfahren, um zu erfahren, wie Sie mithilfe der SageMaker KI-Konsole und der API ein privates Arbeitsteam erstellen.
**So erstellen Sie auf der Seite Labeling Workforces (Konsole) ein privates Arbeitsteam**
1. Gehe zum Ground-Truth-Bereich der SageMaker KI-Konsole: [https://console.aws.amazon.com/sagemaker/Groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Wählen Sie **Labeling-Arbeitskräfte** aus.
1. Wählen Sie **Privat** aus.
1. Wählen Sie im Abschnitt **Private Teams** die Option **Privates Team erstellen** aus.
1. Geben Sie im Abschnitt **Teamdetails** einen **Teamnamen** ein.
1. Geben Sie im Abschnitt **Mitarbeiter hinzufügen** den Namen einer einzelnen Benutzergruppe ein. Alle Mitarbeiter, die dieser Gruppe in Ihrem IdP zugeordnet sind, werden diesem Arbeitsteam hinzugefügt.
1. Um mehr als eine Benutzergruppe hinzuzufügen, wählen Sie **Neue Benutzergruppe hinzufügen** aus und geben Sie die Namen der Benutzergruppen ein, die Sie diesem Arbeitsteam hinzufügen möchten. Geben Sie pro Zeile eine Benutzergruppe ein.
1. (Optional) Wenn Sie bei Ground-Truth-Labeling-Aufträgen eine E-Mail für Mitarbeiter in Ihrem JWT angeben, benachrichtigt Ground Truth die Mitarbeiter, wenn eine neue Labeling-Aufgabe verfügbar ist, wenn Sie ein SNS-Thema auswählen.
1. Wählen Sie **Privates Team erstellen**.
**So erstellen Sie ein privates Arbeitsteam beim Erstellen eines Ground-Truth-Labeling-Auftrags (Konsole)**
1. Gehe zum Ground-Truth-Bereich der SageMaker KI-Konsole: [https://console.aws.amazon.com/sagemaker/Groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Wählen Sie **Labeling-Job** aus.
1. Verwenden Sie die Anweisungen unter [Erstellen eines Kennzeichnungsauftrags (Konsole)](sms-create-labeling-job-console.md), um einen Labeling-Job zu erstellen. Hören Sie auf, wenn Sie auf der zweiten Seite zum Abschnitt **Mitarbeiter** gelangen.
1. Wählen Sie **Privat** für Ihren Mitarbeitertyp aus.
1. Geben Sie einen **Teamnamen** ein.
1. Geben Sie im Abschnitt **Mitarbeiter hinzufügen** unter **Benutzergruppen** den Namen einer einzelnen Benutzergruppe ein. Alle Mitarbeiter, die dieser Gruppe in Ihrem IdP zugeordnet sind, werden diesem Arbeitsteam hinzugefügt.
**Wichtig**
Die Gruppennamen, die Sie für **Benutzergruppen** angeben, müssen mit den in Ihrem OIDC-IdP angegebenen Gruppennamen übereinstimmen.
1. Um mehr als eine Benutzergruppe hinzuzufügen, wählen Sie **Neue Benutzergruppe hinzufügen** aus und geben Sie die Namen der Benutzergruppen ein, die Sie diesem Arbeitsteam hinzufügen möchten. Geben Sie pro Zeile eine Benutzergruppe ein.
1. Führen Sie alle verbleibenden Schritte aus, um Ihren Etikettierungsauftrag zu erstellen.
Das private Team, das Sie erstellen, wird für diesen Labeling-Job verwendet und ist im Bereich **Labeling Workforces** der SageMaker KI-Konsole aufgeführt.
**Um mithilfe der API ein privates Arbeitsteam zu erstellen SageMaker**
Mithilfe der SageMaker API-Operation können Sie ein privates Arbeitsteam erstellen`[CreateWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html)`.
Wenn Sie diesen Vorgang verwenden, listen Sie im `OidcMemberDefinition` Parameter `Groups` alle Benutzergruppen auf, die Sie in das Arbeitsteam aufnehmen möchten.
**Wichtig**
Die Gruppennamen, die Sie für `Groups` angeben, müssen mit den in Ihrem OIDC-IdP angegebenen Gruppennamen übereinstimmen.
Wenn Ihre Benutzergruppennamen beispielsweise `group1`, `group2`, und `group3` in Ihrem OIDC-IdP lauten, konfigurieren Sie `OidcMemberDefinition` wie folgt:
```
"OidcMemberDefinition": {
"Groups": ["group1", "group2", "group3"]
}
```
Darüber hinaus müssen Sie dem Arbeitsteam mithilfe des Parameters `WorkteamName` einen Namen geben.
## IdP-Gruppen zu Arbeitsteams hinzufügen oder daraus entfernen
Nachdem Sie ein Arbeitsteam erstellt haben, können Sie die SageMaker API verwenden, um dieses Arbeitsteam zu verwalten. Verwenden Sie den [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) Vorgang, um die IdP-Benutzergruppen zu aktualisieren, die in diesem Arbeitsteam enthalten sind.
+ Verwenden Sie den `WorkteamName` Parameter, um das Worker zu identifizieren, das Sie aktualisieren möchten.
+ Wenn Sie diesen Vorgang verwenden, listen Sie im [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html) Parameter `Groups` alle Benutzergruppen auf, die Sie in das Arbeitsteam aufnehmen möchten. Wenn eine Benutzergruppe einem Arbeitsteam zugeordnet ist und Sie sie *nicht* in diese Liste aufnehmen, ist diese Benutzergruppe nicht mehr diesem Arbeitsteam zugeordnet.
## Löschen Sie ein Arbeitsteam
Sie können ein Arbeitsteam mithilfe der SageMaker AI-Konsole und der SageMaker API löschen.
**Um ein privates Arbeitsteam in der SageMaker AI-Konsole zu löschen**
1. Gehe zum Ground-Truth-Bereich der SageMaker KI-Konsole: [https://console.aws.amazon.com/sagemaker/Groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Wählen Sie **Labeling-Arbeitskräfte** aus.
1. Wählen Sie **Privat** aus.
1. Wählen Sie im Bereiche **Private Teams** das Team aus, dem Sie die Auftragnehmer hinzufügen möchten.
1. Wählen Sie **Löschen** aus.
**Um ein privates Arbeitsteam (API) zu löschen**
Sie können ein privates Arbeitsteam mithilfe der SageMaker API-Operation `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)` löschen.
## Einzelne Worker verwalten
Wenn Sie eine Belegschaft mit Ihrem eigenen OIDC-IdP zusammenstellen, können Sie Ground Truth oder Amazon A2I nicht verwenden, um einzelne Mitarbeiter zu verwalten.
+ Um einen Mitarbeiter zu einem Arbeitsteam hinzuzufügen, fügen Sie diesen Mitarbeiter einer Gruppe hinzu, die diesem Arbeitsteam zugeordnet ist.
+ Um einen Mitarbeiter aus einem Arbeitsteam zu entfernen, entfernen Sie diesen Mitarbeiter aus allen Benutzergruppen, die diesem Arbeitsteam zugeordnet sind.
## Aktualisieren, löschen und beschreiben Sie Ihre Belegschaft
Sie können Ihre OIDC-IdP-Belegschaft mithilfe der API aktualisieren, löschen und beschreiben. SageMaker Im Folgenden finden Sie eine Liste von API-Operationen, mit denen Sie Ihre Worker verwalten können. Weitere Informationen, unter anderem dazu, wie Sie den Namen Ihrer Belegschaft finden können, finden Sie unter [Private Personalverwaltung mithilfe der SageMaker Amazon-API](sms-workforce-management-private-api.md).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html)– Möglicherweise möchten Sie eine Belegschaft, die mit Ihrem eigenen OIDC-IdP erstellt wurde, aktualisieren, um einen anderen Autorisierungsendpunkt, Token-Endpunkt oder Emittenten anzugeben. Sie können jeden Parameter aktualisieren, der bei der Verwendung dieses Vorgangs in `[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` gefunden wurde.
Sie können Ihre OIDC-IdP-Konfiguration nur aktualisieren, wenn Ihrer Belegschaft keine Arbeitsteams zugeordnet sind. Weitere Informationen zum Löschen von Worker finden Sie unter [Löschen Sie ein Arbeitsteam](#sms-workforce-manage-private-oidc-workteam-delete).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html)– Verwenden Sie diesen Vorgang, um Ihre privaten Mitarbeiter zu löschen. Wenn Ihrer Belegschaft Arbeitsteams zugeordnet sind, müssen Sie diese Arbeitsteams löschen, bevor Sie Ihre Belegschaft löschen. Weitere Informationen finden Sie unter [Löschen Sie ein Arbeitsteam](#sms-workforce-manage-private-oidc-workteam-delete).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html)— Verwenden Sie diesen Vorgang, um Informationen zu privaten Mitarbeitern aufzulisten, einschließlich des Namens der Belegschaft, des Amazon-Ressourcennamens (ARN) und, falls zutreffend, der zulässigen IP-Adressbereiche (CIDRs).