Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Forze di lavoro IdP OIDC
Crea una forza lavoro privata utilizzando un Provider di identità (IdP) OpenID Connect (OIDC) quando desideri gestire e autenticare i tuoi worker utilizzando il tuo IdP OIDC. Le credenziali individuali dei worker e gli altri dati rimarranno privati. Ground Truth e Amazon A2I avranno visibilità solo sulle informazioni sui worker fornite tramite le dichiarazioni inviate a questi servizi. Per creare una forza lavoro utilizzando un IdP OIDC, il tuo IdP deve supportare i *gruppi* perché Ground Truth e Amazon A2I mappano uno o più gruppi del tuo IdP in un team di lavoro. Per ulteriori informazioni, consulta [Invia reclami obbligatori e facoltativi a Ground Truth e Amazon A2I](sms-workforce-create-private-oidc.md#sms-workforce-create-private-oidc-configure-idp).
Se sei un nuovo utente di Ground Truth o Amazon A2I, puoi testare l'interfaccia utente e il flusso di lavoro creando un team di lavoro privato e aggiungendoti come worker. Usa questo team di lavoro quando crei un processo di etichettatura o un flusso di lavoro di revisione umana. Innanzitutto, crea una forza lavoro OIDC IdP privata seguendo le istruzioni contenute in [Creazione di una forza lavoro privata (IdP OIDC)](sms-workforce-create-private-oidc.md). Successivamente, consulta [Gestione di una forza lavoro privata (IdP OIDC)](sms-workforce-manage-private-oidc.md) per scoprire come creare un team di lavoro.
**Topics**
+ [
# Creazione di una forza lavoro privata (IdP OIDC)
](sms-workforce-create-private-oidc.md)
+ [
# Gestione di una forza lavoro privata (IdP OIDC)
](sms-workforce-manage-private-oidc.md)
# Creazione di una forza lavoro privata (IdP OIDC)
Crea una forza lavoro privata utilizzando un Identity Provider (IdP) OpenID Connect (OIDC) quando desideri autenticare e gestire i worker utilizzando il tuo provider di identità. Usa questa pagina per scoprire come configurare il tuo IdP per comunicare con Amazon SageMaker Ground Truth (Ground Truth) o Amazon Augmented AI (Amazon A2I) e per imparare a creare una forza lavoro utilizzando il tuo IdP.
Per creare una forza lavoro utilizzando un IdP OIDC, il tuo IdP deve supportare i *gruppi* perché Ground Truth e Amazon A2I utilizzano uno o più gruppi da te specificati per creare team di lavoro. Utilizza i team di lavoro per specificare i worker incaricati dei processi di etichettatura e delle attività di revisione umana. Poiché i gruppi non sono un'[attestazione standard](https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims), il tuo IdP potrebbe avere una convenzione di denominazione diversa per un gruppo di utenti (worker). Pertanto, devi identificare uno o più gruppi di utenti a cui appartiene un worker utilizzando l'attestazione personalizzata `sagemaker:groups` inviata a Ground Truth o Amazon A2I dal tuo IdP. Per ulteriori informazioni, consulta [Invia reclami obbligatori e facoltativi a Ground Truth e Amazon A2I](#sms-workforce-create-private-oidc-configure-idp).
Crei una forza lavoro IdP OIDC utilizzando l'operazione API. SageMaker [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) Una volta creata una forza lavoro privata, tale forza lavoro, tutti i team di lavoro e i worker ad essa associati saranno disponibili per l'utilizzo per tutte le attività di etichettatura GroundTruth e per i flussi di lavoro di revisione umana Amazon A2I. Per ulteriori informazioni, consulta [Creazione di una forza lavoro OIDC IdP](#sms-workforce-create-private-oidc-createworkforce).
## Invia reclami obbligatori e facoltativi a Ground Truth e Amazon A2I
Quando utilizzi il tuo IdP, Ground Truth e Amazon A2I utilizzano il tuo `Issuer`, `ClientId` e `ClientSecret` per autenticare i worker ottenendo un CODICE di autenticazione dal tuo `AuthorizationEndpoint`.
Ground Truth e Amazon A2I utilizzeranno questo CODICE per ottenere un’attestazione personalizzata dal `TokenEndpoint` o `UserInfoEndpoint` del tuo IdP. Puoi configurare `TokenEndpoint` per restituire un token web JSON (JWT) o `UserInfoEndpoint` per restituire un oggetto JSON. L'oggetto JWT o JSON deve contenere attestazioni obbligatorie e facoltative specificate dall'utente. Un'[attestazione](https://openid.net/specs/openid-connect-core-1_0.html#Terminology) è una coppia chiave-valore che contiene informazioni su un worker o metadati sul servizio OIDC. La tabella seguente elenca le attestazioni che devono essere incluse e che possono essere facoltativamente incluse nell'oggetto JWT o JSON restituito dal tuo IdP.
**Nota**
Alcuni dei parametri nella tabella seguente possono essere specificati utilizzando un `:` o `-`. Ad esempio, è possibile specificare i gruppi a cui appartiene un worker utilizzando `sagemaker:groups` o `sagemaker-groups` nell’attestazione.
| Name | Richiesto | Formato e valori accettati | Description | Esempio |
| --- | --- | --- | --- | --- |
| `sagemaker:groups` o `sagemaker-groups` | Sì | **Tipo di dati**: Se un worker appartiene a un singolo gruppo, identifica il gruppo utilizzando una stringa. Se un worker appartiene a più gruppi, utilizza un elenco con un massimo di 10 stringhe. **Caratteri consentiti**: Espressione regolare: [\$1p\$1L\$1\$1p\$1M\$1\$1p\$1S\$1\$1p\$1N\$1\$1p\$1P\$1]\$1 **Quote**: 10 gruppi per worker 63 caratteri per nome del gruppo | Assegna un worker a uno o più gruppi. I gruppi vengono utilizzati per mappare il worker in team di lavoro. | Esempio di worker che appartiene a un singolo gruppo: `"work_team1"` Esempio di worker che appartiene a più di un gruppo: `["work_team1", "work_team2"]` |
| `sagemaker:sub` o `sagemaker-sub` | Sì | **Tipo di dati**: Stringa | Questo è obbligatorio per tenere traccia dell'identità di un worker all'interno della piattaforma Ground Truth per il controllo e per identificare le attività svolte da quel worker. Per ADFS: i clienti devono utilizzare l’Identificatore di sicurezza primario (SID). | `"111011101-123456789-3687056437-1111"` |
| `sagemaker:client_id` o `sagemaker-client_id` | Sì | **Tipo di dati**: Stringa **Caratteri consentiti**: Espressione regolare: [\$1 w\$1-] \$1 **Virgolette:** 128 caratteri | Un ID client. Tutti i token devono essere emessi per questo ID cliente. | `"00b600bb-1f00-05d0-bd00-00be00fbd0e0"` |
| `sagemaker:name` o `sagemaker-name` | Sì | **Tipo di dati**: Stringa | Il nome del worker da visualizzare nel portale dei worker. | `"Jane Doe"` |
| `email` | No | **Tipo di dati**: Stringa | L'e-mail del worker. Ground Truth utilizza questa e-mail per notificare ai worker che sono stati invitati a lavorare sulle attività di etichettatura. Ground Truth utilizzerà questa e-mail anche per avvisare i dipendenti quando le attività di etichettatura diventano disponibili se imposti un argomento di Amazon SNS per un team di lavoro di cui fa parte il worker. | `"example-email@domain.com"` |
| `email_verified` | No | **Tipo di dati**: Bool **Valori accettati**: `True`, `False` | Indica se l'e-mail dell'utente è stata verificata o meno. | `True` |
Di seguito è riportato un esempio della sintassi dell'oggetto JSON che `UserInfoEndpoint` può restituire.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
Ground Truth o Amazon A2I confrontano i gruppi elencati in `sagemaker:groups` o `sagemaker-groups` per verificare che il worker appartenga al team di lavoro specificato nel processo di etichettatura o nell'attività di revisione umana. Dopo la verifica del team di lavoro, le attività di etichettatura o di revisione umana vengono inviate a quel worker.
## Creazione di una forza lavoro OIDC IdP
È possibile creare una forza lavoro utilizzando l'operazione SageMaker API e le specifiche lingue associate. `CreateWorkforce` SDKs Specifica un indirizzo `WorkforceName` e informazioni sul tuo IDP OIDC nel parametro `OidcConfig`. Si consiglia di configurare l'OIDC con un URI di reindirizzamento segnaposto e quindi di aggiornare l'URI con l'URL del portale di lavoro dopo aver creato la forza lavoro. Per ulteriori informazioni, consulta [Configura il tuo IdP OIDC](#sms-workforce-create-private-oidc-configure-url).
Un esempio della richiesta è illustrato nello screenshot seguente. Per ulteriori informazioni su ciascun parametro contenuto in questa richiesta, consulta [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html).
```
CreateWorkforceRequest: {
#required fields
WorkforceName: "example-oidc-workforce",
OidcConfig: {
ClientId: "clientId",
ClientSecret: "secret",
Issuer: "https://example-oidc-idp.com/adfs",
AuthorizationEndpoint: "https://example-oidc-idp.com/adfs/oauth2/authorize",
TokenEndpoint: "https://example-oidc-idp.com/adfs/oauth2/token",
UserInfoEndpoint: "https://example-oidc-idp.com/adfs/oauth2/userInfo",
LogoutEndpoint: "https://example-oidc-idp.com/adfs/oauth2/log-out",
JwksUri: "https://example-oidc-idp.com/adfs/discovery/keys"
},
SourceIpConfig: {
Cidrs: ["string", "string"]
}
}
```
### Configura il tuo IdP OIDC
Il modo in cui configuri il tuo IdP OIDC dipende dall'IdP che utilizzi e dai tuoi requisiti aziendali.
Quando configuri il tuo IdP, devi specificare un URI di richiamata o di reindirizzamento. Dopo che Ground Truth o Amazon A2I hanno autenticato un worker, questo URI reindirizzerà il worker al portale dei worker dove i worker possono accedere alle attività di etichettatura o di revisione umana. Per creare un URL del portale di lavoro, devi creare una forza lavoro con i dettagli del tuo IdP OIDC utilizzando l'operazione API [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html). In particolare, devi configurare il tuo IdP OIDC con le attestazioni sagemaker personalizzate richieste (consulta la sezione successiva per maggiori dettagli). Pertanto, ti consigliamo di configurare l'OIDC con un URI di reindirizzamento segnaposto e quindi di aggiornare l'URI dopo aver creato la forza lavoro. Consulta [Creazione di una forza lavoro OIDC IdP](#sms-workforce-create-private-oidc-createworkforce) per scoprire come creare una forza lavoro utilizzando questa API.
Puoi visualizzare l'URL del tuo portale di lavoro nella console SageMaker Ground Truth o utilizzando l'operazione SageMaker API`DescribeWorkforce`. L'URL del portale di lavoro si trova nel parametro [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain) della risposta.
**Importante**
Assicurati di aggiungere il sottodominio della forza lavoro all'elenco di indirizzi consentiti per IdP di OIDC. Quando aggiungi il sottodominio all'elenco degli indirizzi consentiti, deve terminare con `/oauth2/idpresponse`.
**Per visualizzare l'URL del portale di lavoro dopo aver creato una forza lavoro privata (Console):**
1. Apri la console SageMaker AI all'indirizzo [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Nel riquadro di navigazione, scegliere **Etichettatura delle forze lavoro**.
1. Selezionare la scheda **Private (Privata)**.
1. In **Riepilogo della forza lavoro privata** vedrai l'**URL di accesso al portale Etichettatura**. Questo è l'URL del tuo portale per i worker.
**Per visualizzare l'URL del portale dei worker dopo aver creato una forza lavoro privata (API):**
Quando crei una forza lavoro privata utilizzando `[CreateWorkforce](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)`, specifichi un `WorkforceName`. Usa questo nome per chiamare [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html). La tabella seguente include esempi di richieste che utilizzano AWS CLI and AWS SDK per Python (Boto3).
------
#### [ SDK for Python (Boto3) ]
```
response = client.describe_workforce(WorkforceName='string')
print(f'The workforce subdomain is: {response['SubDomain']}')
```
------
#### [ AWS CLI ]
```
$ C:\> describe-workforce --workforce-name 'string'
```
------
## Convalida la tua risposta di autenticazione della forza lavoro OIDC IdP
Dopo aver creato la forza lavoro OIDC IdP, puoi utilizzare la seguente procedura per convalidare il relativo flusso di lavoro di autenticazione utilizzando cURL. Questa procedura presuppone che tu abbia accesso a un terminale e che cURL sia installato.
**Per convalidare la tua risposta di autorizzazione OIDC IdP:**
1. Ottieni un codice di autorizzazione utilizzando un URI configurato come segue:
```
{AUTHORIZE ENDPOINT}?client_id={CLIENT ID}&redirect_uri={REDIRECT URI}&scope={SCOPE}&response_type=code
```
1. Sostituisci *`{AUTHORIZE ENDPOINT}`* con l'endpoint di autorizzazione per il tuo IdP OIDC.
1. Sostituiscilo `{CLIENT ID}` con l'ID cliente del tuo OAuth cliente.
1. Sostituisci *`{REDIRECT URI}`* con l'URL del portale dei worker. Se non è già presente, devi aggiungere `/oauth2/idpresponse` alla fine dell'URL.
1. Se hai un ambito personalizzato, usalo per sostituire `{SCOPE}`. Se non disponi di un ambito personalizzato, sostituisci `{SCOPE}` con `openid`.
Di seguito è riportato un esempio di URI dopo le modifiche precedenti:
```
https://example.com/authorize?client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac&redirect_uri=https%3A%2F%2F%2Fexample.labeling.sagemaker.aws%2Foauth2%2Fidpresponse&response_type=code&scope=openid
```
1. Copia e incolla nel browser l'URI modificato nella fase 1 e premi Invio sulla tastiera.
1. Effettua l'autenticazione utilizzando il tuo IdP.
1. Copia il parametro di query del codice di autenticazione nell'URI. Questo parametro inizia con `code=`. Di seguito è riportato un esempio di risposta. In questo esempio, copia `code=MCNYDB...` e tutto ciò che segue.
```
https://example.labeling.sagemaker.aws/oauth2/idpresponse?code=MCNYDB....
```
1. Apri un terminale e inserisci il seguente comando dopo aver apportato le modifiche richieste elencate di seguito:
```
curl --request POST \
--url '{TOKEN ENDPOINT}' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id={CLIENT ID}' \
--data client_secret={CLIENT SECRET} \
--data code={CODE} \
--data 'redirect_uri={REDIRECT URI}'
```
1. Sostituisci `{TOKEN ENDPOINT}` con l'endpoint token per il tuo IdP OIDC.
1. Sostituiscilo `{CLIENT ID}` con il Client ID del tuo OAuth cliente.
1. Sostituiscilo `{CLIENT SECRET}` con il Client Secret OAuth del tuo cliente.
1. Sostituisci `{CODE}` con il parametro di query del codice di autenticazione che hai copiato nella fase 4.
1. Sostituisci *`{REDIRECT URI}`* con l'URL del portale dei worker.
Di seguito è riportato un esempio di richiesta cURL dopo aver apportato le modifiche precedenti:
```
curl --request POST \
--url 'https://example.com/token' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac' \
--data client_secret=client-secret \
--data code=MCNYDB... \
--data 'redirect_uri=https://example.labeling.sagemaker.aws/oauth2/idpresponse'
```
1. Questa fase dipende dal tipo di `access_token` restituito da IdP, da un token di accesso in testo normale o da un token di accesso JWT.
+ Se il tuo IdP non supporta i token di accesso JWT, `access_token` potrebbe essere testo normale (ad esempio un UUID). Viene visualizzata una risposta simile alla seguente. In questo caso, vai alla fase 7.
```
{
"access_token":"179c144b-fccb-4d96-a28f-eea060f39c13",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"ef43e52e-9b4f-410c-8d4c-d5c5ee57631a",
"scope":"openid"
}
```
+ Se il tuo IdP supporta i token di accesso JWT, la fase 5 dovrebbe generare un token di accesso in formato JWT. Ad esempio, la risposta può apparire simile alla seguente:
```
{
"access_token":"eyJh...JV_adQssw5c",
"refresh_token":"i6mapTIAVSp2oJkgUnCACKKfZxt_H5MBLiqcybBBd04",
"refresh_token_expires_in":6327,
"scope":"openid",
"id_token":"eyJ0eXAiOiJK9...-rDaQzUHl6cQQWNiDpWOl_lxXjQEvQ"
}
```
Copia il JWT e decodificalo. Puoi usare uno script python o un sito Web di terze parti per decodificarlo. Ad esempio, puoi visitare il sito Web [https://jwt.io/](https://jwt.io/) e incollare il JWT nella casella Codificato per **decodificarlo**.
Assicurati che la risposta decodificata contenga quanto segue:
+ Le affermazioni SageMaker AI **richieste** nella tabella riportata in[Invia reclami obbligatori e facoltativi a Ground Truth e Amazon A2I](#sms-workforce-create-private-oidc-configure-idp). In caso contrario, devi riconfigurare il tuo IdP OIDC in modo che contenga queste attestazioni.
+ L'[emittente](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html#sagemaker-Type-OidcConfig-Issuer) che hai specificato quando hai configurato la forza lavoro IdP.
1. Apri un terminale e inserisci il seguente comando dopo aver apportato le modifiche richieste elencate di seguito:
```
curl -X POST -H 'Authorization: Bearer {ACCESS TOKEN}' -d '' -k -v {USERINFO ENDPOINT}
```
1. Sostituisci `{USERINFO ENDPOINT}` con l'endpoint informazioni utente per il tuo IdP OIDC.
1. Sostituisci `{ACCESS TOKEN}` con il token di accesso nella risposta che hai ricevuto nella fase 7. Questa è la voce per il parametro `"access_token"`.
Di seguito è riportato un esempio di richiesta cURL dopo aver apportato le modifiche precedenti:
```
curl -X POST -H 'Authorization: Bearer eyJ0eX...' -d '' -k -v https://example.com/userinfo
```
1. La risposta alla fase finale della procedura precedente può essere simile al seguente blocco di codice.
Se il `access_token` restituito nella fase 6 era testo normale, è necessario verificare che questa risposta contenga le informazioni richieste. In questo caso, la risposta deve contenere le affermazioni SageMaker AI **richieste** nella tabella riportata in[Invia reclami obbligatori e facoltativi a Ground Truth e Amazon A2I](#sms-workforce-create-private-oidc-configure-idp). Ad esempio, `sagemaker-groups`, `sagamaker-name`.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
## Fasi successive
Dopo aver creato una forza lavoro privata utilizzando il tuo IdP e verificato la risposta di autenticazione dell'IdP, puoi creare team di lavoro utilizzando i tuoi gruppi IdP. Per ulteriori informazioni, consulta [Gestione di una forza lavoro privata (IdP OIDC)](sms-workforce-manage-private-oidc.md).
È possibile limitare l'accesso dei lavoratori alle attività a indirizzi IP specifici e aggiornare o eliminare la forza lavoro utilizzando l' SageMaker API. Per ulteriori informazioni, consulta [Gestione della forza lavoro privata tramite l'API Amazon SageMaker](sms-workforce-management-private-api.md).
# Gestione di una forza lavoro privata (IdP OIDC)
Dopo aver creato una forza lavoro privata utilizzando il tuo Identity Provider (IdP) OpenID Connect (OIDC), puoi gestire i tuoi worker utilizzando il tuo IdP. Ad esempio, puoi aggiungere, rimuovere e raggruppare i worker direttamente tramite il tuo IdP.
Per aggiungere lavoratori a un lavoro di etichettatura di Amazon SageMaker Ground Truth (Ground Truth) o a un'attività di revisione umana di Amazon Augmented AI (Amazon A2I), crei team di lavoro utilizzando 1-10 gruppi IdP e assegnando quel team di lavoro al lavoro o all'attività. Assegni un team di lavoro a un processo o un'attività specificando quel team di lavoro quando crei un processo di etichettatura (Ground Truth) o un flusso di lavoro di revisione umana (Amazon A2I).
Puoi assegnare un solo team a ciascun processo di etichettatura o flusso di lavoro di revisione umana. Puoi utilizzare lo stesso team per creare più processi di etichettatura o attività di revisione umana. Puoi anche creare più team di lavoro per lavorare su diversi processi di etichettatura o attività di revisione umana.
## Prerequisiti
Per creare e gestire team di lavoro privati utilizzando i tuoi gruppi IdP OIDC, devi innanzitutto creare una forza lavoro utilizzando l'operazione API. SageMaker [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) Per ulteriori informazioni, consulta [Creazione di una forza lavoro privata (IdP OIDC)](sms-workforce-create-private-oidc.md).
## Aggiungere team di lavoro
**Puoi utilizzare la console SageMaker AI per creare un team di lavoro privato utilizzando la tua forza lavoro IdP OIDC nella pagina **Labeling** workforce in Ground Truth.** Se stai creando un processo di etichettatura Ground Truth, puoi anche creare un team di lavoro privato durante la creazione di un processo di etichettatura.
**Nota**
Puoi creare e gestire team di lavoro per Amazon A2I nell'area Ground Truth della console SageMaker AI.
Puoi anche utilizzare l' SageMaker API e le specifiche lingue associate SDKs per creare un team di lavoro privato.
Utilizza le seguenti procedure per imparare a creare un team di lavoro privato utilizzando la console di SageMaker intelligenza artificiale e l'API.
**Per creare un team di lavoro privato nella pagina Forze lavoro di etichettatura (console)**
1. Vai all'area Ground Truth della console SageMaker AI: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Seleziona **Etichettatura delle forze lavoro**.
1. Seleziona **Privato**.
1. Nella sezione **Team privati**, seleziona **Crea team privato**.
1. Nella sezione **Dettagli del team**, inserisci il **Nome del team**.
1. Nella sezione **Aggiungi worker**, inserisci il nome di un singolo gruppo di utenti. Tutti i worker associati a questo gruppo nel tuo IdP vengono aggiunti a questo team di lavoro.
1. Per aggiungere più di un gruppo di utenti, seleziona **Aggiungi nuovo gruppo di utenti** e inserisci i nomi dei gruppi di utenti che desideri aggiungere a questo team di lavoro. Specifica un gruppo di utenti per riga.
1. (Facoltativo) Per i processi di etichettatura Ground Truth, se fornisci un'e-mail per i worker del vostro JWT, Ground Truth avviserà i worker quando è disponibile una nuova attività di etichettatura se selezioni un argomento SNS.
1. Scegli **Crea team privato**.
**Per creare un team di lavoro privato durante la creazione di un processo di etichettatura Ground (console)**
1. Vai all'area Ground Truth della console SageMaker AI: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Seleziona **Processi di etichettatura**.
1. Usa le istruzioni riportate in [Creare un processo di etichettatura (console)](sms-create-labeling-job-console.md) per creare un processo di etichettatura. Fermati quando arrivi alla sezione **worker** nella seconda pagina.
1. Seleziona **Privato** per il tipo di worker.
1. Immetti un **Nome del team**.
1. Nella sezione **Aggiungi worker**, inserisci il nome di un singolo gruppo di utenti in **Gruppi di utenti**. Tutti i worker associati a questo gruppo nel tuo IdP vengono aggiunti a questo team di lavoro.
**Importante**
I nomi dei gruppi specificati per i **Gruppi di utenti** devono corrispondere ai nomi dei gruppi specificati nel tuo IdP OIDC.
1. Per aggiungere più di un gruppo di utenti, seleziona **Aggiungi nuovo gruppo di utenti** e inserisci i nomi dei gruppi di utenti che desideri aggiungere a questo team di lavoro. Specifica un gruppo di utenti per riga.
1. Completa tutte le fasi rimanenti per creare il tuo processo di etichettatura.
Il team privato che crei viene utilizzato per questo lavoro di etichettatura ed è elencato nella sezione **Etichettatura della forza lavoro** della console AI. SageMaker
**Per creare un team di lavoro privato utilizzando l'API SageMaker**
È possibile creare un team di lavoro privato utilizzando l'operazione SageMaker API`[CreateWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html)`.
Quando usi questa operazione, elenca nel parametro tutti i gruppi di utenti che desideri includere nel team di lavoro nel parametro `OidcMemberDefinition` `Groups`.
**Importante**
I nomi dei gruppi specificati per `Groups` devono corrispondere ai nomi dei gruppi specificati nel tuo IdP OIDC.
Ad esempio, se i nomi dei gruppi di utenti sono `group1`, `group2` e `group3` nel tuo IdP IDC, configura `OidcMemberDefinition` come segue:
```
"OidcMemberDefinition": {
"Groups": ["group1", "group2", "group3"]
}
```
Inoltre, è necessario assegnare un nome al team di lavoro utilizzando il parametro `WorkteamName`.
## Aggiungere o rimuovere gruppi IdP dai team di lavoro
Dopo aver creato un team di lavoro, puoi utilizzare l' SageMaker API per gestirlo. Utilizza l'operazione [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) per aggiornare i gruppi di utenti IdP inclusi in quel team di lavoro.
+ Utilizza il parametro `WorkteamName` per identificare il team di lavoro che intendi aggiornare.
+ Quando usi questa operazione, elenca nel parametro tutti i gruppi di utenti che desideri includere nel team di lavoro nel parametro [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html) `Groups`. Se un gruppo di utenti è associato a un team di lavoro e *non* lo includi in questo elenco, quel gruppo di utenti non è più associato a questo team di lavoro.
## Eliminare un team di lavoro
Puoi eliminare un team di lavoro utilizzando la console SageMaker AI e l' SageMaker API.
**Per eliminare un team di lavoro privato nella console SageMaker AI**
1. Vai all'area Ground Truth della console SageMaker AI: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Seleziona **Etichettatura delle forze lavoro**.
1. Seleziona **Privato**.
1. Nella sezione **Team privati**, scegli il team di lavoro che desideri eliminare.
1. Seleziona **Elimina**.
**Per eliminare un team di lavoro privato (API)**
Puoi eliminare un team di lavoro privato utilizzando l'operazione SageMaker `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)` API.
## Gestire i singoli worker
Quando crei una forza lavoro utilizzando il tuo IdP OIDC, non puoi usare Ground Truth o Amazon A2I per gestire singoli worker.
+ Per aggiungere un worker a un team di lavoro, aggiungi quel worker a un gruppo associato a quel team di lavoro.
+ Per rimuovere un worker da un team di lavoro, rimuovi quel worker da tutti i gruppi di utenti associati a quel team di lavoro.
## Aggiornare, eliminare e descrivere la tua forza lavoro
Puoi aggiornare, eliminare e descrivere la tua forza lavoro IdP OIDC utilizzando l'API. SageMaker Di seguito è riportato un elenco di operazioni API utilizzabili per gestire la forza lavoro. Per ulteriori dettagli, incluso come individuare il nome della forza lavoro, consulta [Gestione della forza lavoro privata tramite l'API Amazon SageMaker](sms-workforce-management-private-api.md).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html): potresti voler aggiornare una forza lavoro creata utilizzando il tuo IdP OIDC per specificare un endpoint di autorizzazione, un endpoint token o un emittente diverso. Puoi aggiornare qualsiasi parametro trovato in `[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` utilizzando questa operazione.
Puoi aggiornare la configurazione IdP di OIDC solo quando non ci sono team di lavoro associati alla tua forza lavoro. Per informazioni su come eliminare i team di lavoro, consulta [Eliminare un team di lavoro](#sms-workforce-manage-private-oidc-workteam-delete).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html): usa questa operazione per eliminare la tua forza lavoro privata. Se hai dei team di lavoro associati alla tua forza lavoro, devi eliminarli prima di eliminare la tua forza lavoro. Per ulteriori informazioni, consulta [Eliminare un team di lavoro](#sms-workforce-manage-private-oidc-workteam-delete).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html)— Utilizza questa operazione per elencare informazioni private sulla forza lavoro, tra cui il nome della forza lavoro, Amazon Resource Name (ARN) e, se applicabile, gli intervalli di indirizzi IP consentiti (). CIDRs