Use this file to discover all available pages before exploring further.
Ce guide s’adresse aux administrateurs d’instances Cloud dédié de W&B ou autogérées qui souhaitent activer l’authentification unique (SSO) à l’aide d’un fournisseur d’identité compatible avec OpenID Connect (OIDC). À la fin, vous aurez configuré votre fournisseur d’identité, l’aurez connecté à W&B afin que les utilisateurs puissent se connecter via le système d’identité existant de votre organisation, et vous pourrez gérer les identités des utilisateurs et leur appartenance à des groupes via des fournisseurs comme Okta, Keycloak, Auth0, Google et Entra.
W&B prend en charge les flux d’authentification OIDC suivants pour l’intégration avec des fournisseurs d’identité (IdP) externes :
Flux implicite avec form post.
Flux de code d’autorisation avec Proof Key for Code Exchange (PKCE).
Ces flux authentifient les utilisateurs et fournissent à W&B les informations d’identité nécessaires (sous forme de jetons ID) pour gérer le contrôle d’accès.Le jeton ID est un JWT qui contient les informations d’identité de l’utilisateur, telles que son nom, son nom d’utilisateur, son adresse e-mail et son appartenance à des groupes. W&B utilise ce jeton pour authentifier l’utilisateur et l’associer aux rôles ou groupes appropriés dans le système.Dans le contexte de W&B, les jetons d’accès autorisent les requêtes aux API au nom de l’utilisateur, mais comme W&B s’intéresse avant tout à l’authentification et à l’identité de l’utilisateur, seul le jeton ID est nécessaire.Vous pouvez utiliser des variables d’environnement pour configurer les options IAM de votre instance Cloud dédié ou Autogéré.Pour vous aider à configurer des fournisseurs d’identité pour des déploiements Cloud dédié ou Autogéré, suivez ces recommandations. Si vous utilisez le Cloud mutualisé de W&B, contactez support@wandb.com pour obtenir de l’assistance.
Les sections suivantes expliquent comment configurer votre fournisseur d’identité (IdP) pour OIDC. Commencez par effectuer les étapes de configuration de votre IdP. Vous utiliserez ensuite le Client ID, l’Issuer URL et, éventuellement, le Client Secret pour configurer le SSO dans W&B dans la section suivante. Sélectionnez l’onglet de votre IdP pour plus de détails.
Cognito
Okta
Entra
Suivez cette procédure pour configurer AWS Cognito comme IdP. À la fin, vous disposerez d’un Client ID et d’une URL d’émetteur OIDC à utiliser lorsque vous configurerez W&B.
Connectez-vous à votre compte AWS et accédez à l’application AWS Cognito.
Fournissez une URL de rappel autorisée pour configurer l’application dans votre IdP. Ajoutez http(s)://[YOUR-W-AND-B-HOST]/oidc/callback comme URL de rappel. Remplacez [YOUR-W-AND-B-HOST] par le nom d’hôte de votre instance W&B.
Si votre IdP prend en charge la déconnexion universelle, définissez l’URL de déconnexion sur http(s)://[YOUR-W-AND-B-HOST]. Remplacez [YOUR-W-AND-B-HOST] par le nom d’hôte de votre instance W&B.Par exemple, si votre application s’exécute à l’adresse https://wandb.mycompany.com, remplacez [YOUR-W-AND-B-HOST] par wandb.mycompany.com.L’image suivante montre comment renseigner les URL de rappel autorisées et de déconnexion dans AWS Cognito.
Sélectionnez un ou plusieurs types d’octroi OAuth pour configurer la manière dont AWS Cognito transmet les jetons à votre application.
W&B exige des scopes OpenID Connect (OIDC) spécifiques. Sélectionnez les éléments suivants dans l’application AWS Cognito :
openid
profile
email
Par exemple, l’interface de l’application AWS Cognito doit ressembler à l’image suivante :
Sélectionnez Auth Method dans la page des paramètres ou définissez la variable d’environnement OIDC_AUTH_METHOD pour préciser quel octroi wandb/local utilise.Vous devez définir Auth Method sur pkce.
Vous avez besoin d’un Client ID et de l’URL de votre émetteur OIDC. Le document de découverte OpenID doit être disponible à l’adresse $OIDC_ISSUER/.well-known/openid-configuration.Par exemple, vous pouvez générer l’URL de votre émetteur en ajoutant votre ID de pool d’utilisateurs à l’URL IdP de Cognito depuis l’onglet App Integration de la section User Pools :
N’utilisez pas le domaine Cognito pour l’URL IdP. Cognito fournit son document de découverte à l’adresse https://cognito-idp.$REGION.amazonaws.com/$USER_POOL_ID.
Suivez cette procédure pour configurer Okta comme IdP. À la fin, vous disposerez d’un Client ID et d’une URL de l’émetteur OIDC à utiliser lorsque vous configurerez W&B.
Assignments : sélectionnez Skip group assignment for now.
Dans l’écran d’aperçu de l’application Okta que vous avez créée, notez le Client ID sous Client Credentials, dans l’onglet General :
Pour identifier l’URL de l’émetteur OIDC d’Okta, sélectionnez Settings, puis Account dans le menu de gauche.
L’interface utilisateur Okta affiche le nom de l’entreprise sous Organization Contact.
L’URL de l’émetteur OIDC a le format suivant : https://[COMPANY].okta.com. Remplacez [COMPANY] par la valeur correspondante. Notez-la.Ensuite, configurez le SSO dans W&B.
Azure AD (Entra ID) prend en charge deux modes de configuration OIDC pour W&B. Choisissez la configuration qui correspond à vos exigences de sécurité :
Client public : utilise PKCE sans secret client. Plus simple à configurer, il convient à la plupart des déploiements.
Client confidentiel : utilise PKCE avec un secret de client. Requis si vous devez définir la variable d’environnement GORILLA_OIDC_SECRET.
Ne mélangez pas les configurations. Si vous sélectionnez Single-page application dans Azure AD, ne fournissez pas de secret client. Si vous avez besoin d’un secret client, vous devez sélectionner Web comme type de plateforme.
Client public
Utilisez cette configuration si vous n’avez pas besoin de spécifier un secret client. Elle convient aux déploiements ne nécessitant pas d’exigences de sécurité avancées.
Accédez au service Microsoft Entra ID et sélectionnez App registrations dans la barre latérale gauche.
Cliquez sur New registration en haut de la page.
Dans l’écran Register an application, configurez les éléments suivants :
Name : saisissez un nom explicite.
Supported account types : conservez l’option par défaut Single tenant ou modifiez-la selon vos besoins.
Redirect URI : sélectionnez le type de plateforme Web et saisissez https://[YOUR-W-AND-B-URL]/oidc/callback.
Cliquez sur Register.
Après l’enregistrement, notez les valeurs suivantes sur la page Overview :
Application (client) ID : votre ID client OIDC.
Directory (tenant) ID : votre URL d’émetteur OIDC.
Configurez les paramètres d’authentification :
Sélectionnez Authentication dans la barre latérale gauche.
Sous Front-channel logout URL, saisissez https://[YOUR-W-AND-B-URL]/logout.
Cliquez sur Save.
Créez un secret client :
Sélectionnez Certificates & secrets dans la barre latérale gauche.
Cliquez sur New client secret.
Ajoutez une description au secret.
Choisissez une durée d’expiration.
Cliquez sur Add.
Copiez et enregistrez immédiatement la Value du secret (et non le Secret ID).
Notez les informations suivantes :
OIDC Client ID : l’Application (client) ID de l’étape 5.
OIDC Client Secret : la valeur du secret de l’étape 7.
OIDC Issuer URL : https://login.microsoftonline.com/[TENANT-ID]/v2.0 (remplacez [TENANT-ID] par votre Directory ID de l’étape 5).
Lors de la configuration de W&B, utilisez :
Auth Method : pkce.
OIDC Client Secret : définissez la variable d’environnement GORILLA_OIDC_SECRET sur la valeur du secret de l’étape 7.
Le point de terminaison v2.0 prend en charge à la fois les comptes Microsoft personnels et les comptes professionnels ou scolaires. Si votre organisation exige le point de terminaison v1.0, utilisez plutôt https://login.microsoftonline.com/[TENANT-ID].
Après avoir terminé la configuration de votre IdP, effectuez les étapes suivantes dans W&B pour connecter l’IdP et activer le SSO pour votre instance.Pour configurer le SSO, vous devez disposer des privilèges d’administrateur et des informations suivantes :
OIDC Client ID.
OIDC Auth method (implicit ou pkce).
OIDC Issuer URL.
OIDC Client Secret (facultatif, selon la manière dont vous avez configuré votre IdP).
Si votre IdP nécessite un OIDC Client Secret, indiquez-le en définissant la variable d’environnementGORILLA_OIDC_SECRET :
Dans la W&B App, accédez à System Console > Settings > Advanced > User Spec et ajoutez GORILLA_OIDC_SECRET à la section extraENV, comme dans l’exemple suivant.
Dans Helm, configurez values.global.extraEnv comme dans l’exemple suivant.
Si vous ne parvenez pas à vous connecter à votre instance après avoir configuré le SSO, vous pouvez redémarrer l’instance avec la variable d’environnement LOCAL_RESTORE=true. Cela consigne un mot de passe temporaire dans les journaux des conteneurs et désactive le SSO. Une fois les problèmes de SSO résolus, vous devez supprimer cette variable d’environnement pour réactiver le SSO.
System Console
System settings
Utilisez cet onglet si vous déployez W&B avec l’opérateur Kubernetes W&B. System Console remplace la page System Settings. Elle est disponible avec les déploiements basés sur l’opérateur Kubernetes W&B.
Avant de pouvoir configurer BYOB au niveau de l’équipe avec le stockage CoreWeave sur le Cloud dédié de W&B ou en mode Autogéré, vous devez obtenir le Customer Namespace de votre organisation. Vous pouvez l’afficher et le copier en bas de l’onglet Authentication.Pour obtenir des instructions détaillées sur la configuration du stockage CoreWeave avec votre Customer Namespace, voir CoreWeave requirements for Dedicated Cloud or Autogéré.
Connectez-vous à votre instance W&B.
Accédez à la W&B App.
Dans la liste déroulante, sélectionnez System Settings :
Saisissez les valeurs Issuer, Client ID et Authentication Method.
Sélectionnez Update settings.
Si vous ne parvenez pas à vous connecter à votre instance après avoir configuré le SSO, vous pouvez redémarrer l’instance avec la variable d’environnement LOCAL_RESTORE=true. Cela consigne un mot de passe temporaire dans les journaux des conteneurs et désactive le SSO. Une fois les problèmes de SSO résolus, vous devez supprimer cette variable d’environnement pour réactiver le SSO.
