Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Mains-d’œuvre de fournisseur d’identité OIDC
Créez une main-d’œuvre privée en utilisant un fournisseur d’identité (IdP) OpenID Connect (OIDC) lorsque vous souhaitez gérer et authentifier vos employés en utilisant votre propre IdP OIDC. Les informations d’identification des employés et autres données resteront privées. Ground Truth et Amazon A2I n’auront de visibilité sur les informations relatives aux employés que vous fournissez que par le biais des revendications que vous envoyez à ces services. Pour créer une main-d’œuvre à l’aide d’un IdP OIDC, votre IdP doit prendre en charge les *groupes*, car Ground Truth et Amazon A2I font correspondre un ou plusieurs groupes de votre IdP à une équipe de travail. Pour en savoir plus, consultez [Envoyer les revendications obligatoires et facultatives à Ground Truth et Amazon A2I](sms-workforce-create-private-oidc.md#sms-workforce-create-private-oidc-configure-idp).
Si vous êtes un nouvel utilisateur de Ground Truth ou d’Amazon A2I, vous pouvez tester l’interface utilisateur de votre employé et le flux de travail en créant une équipe de travail privée et en vous ajoutant comme employé. Utilisez cette équipe de travail lorsque vous créez une tâche de labélisation ou un flux de travail de révision humaine. Tout d’abord, créez une main-d’œuvre privée OIDC IdP en suivant les instructions de [Création d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-create-private-oidc.md). Ensuite, reportez-vous à [Gestion d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-manage-private-oidc.md) pour savoir comment créer une équipe de travail.
**Topics**
+ [Création d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-create-private-oidc.md)
+ [Gestion d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-manage-private-oidc.md)
# Création d’une main-d’œuvre privée (OIDC IdP)
Créez une main-d’œuvre privée en utilisant un fournisseur d’identité (IdP) OpenID Connect (OIDC) lorsque vous souhaitez authentifier et gérer les employés en utilisant votre propre fournisseur d’identité. Utilisez cette page pour savoir comment configurer votre IdP pour communiquer avec Amazon SageMaker Ground Truth (Ground Truth) ou Amazon Augmented AI (Amazon A2I) et pour apprendre à créer une main-d'œuvre en utilisant votre propre IdP.
Pour créer une main-d’œuvre à l’aide d’un IdP OIDC, votre IdP doit prendre en charge les *groupes*, car Ground Truth et Amazon A2I utilisent un ou plusieurs groupes que vous spécifiez pour créer les équipes de travail. Vous utilisez des équipes de travail pour spécifier les employés pour vos tâches de labélisation et de révision humaine. Comme les groupes ne sont pas une [revendication standard](https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims), votre IdP peut avoir une convention de dénomination différente pour un groupe d’utilisateurs (employés). Par conséquent, vous devez identifier un ou plusieurs groupes d’utilisateurs auxquels un employé appartient en utilisant la revendication personnalisée `sagemaker:groups` qui est envoyée à Ground Truth ou Amazon A2I depuis votre IdP. Pour en savoir plus, veuillez consulter la section [Envoyer les revendications obligatoires et facultatives à Ground Truth et Amazon A2I](#sms-workforce-create-private-oidc-configure-idp).
Vous créez un effectif IdP OIDC à l'aide de SageMaker l'opération API. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) Une fois que vous avez créé une main-d’œuvre privée, celle-ci, ainsi que toutes les équipes de travail et tous les employés qui lui sont associés, peuvent être utilisés pour toutes les tâches d’étiquetage Ground Truth et les tâches des flux de travail de révision humaine Amazon A2I. Pour en savoir plus, veuillez consulter la section [Création d’une main-d’œuvre OIDC IdP](#sms-workforce-create-private-oidc-createworkforce).
## Envoyer les revendications obligatoires et facultatives à Ground Truth et Amazon A2I
Lorsque vous utilisez votre propre IdP, Ground Truth et Amazon A2I utilisez vos propres `Issuer`, `ClientId` et `ClientSecret` pour authentifier les employés en obtenant un CODE d’authentification à depuis votre `AuthorizationEndpoint`.
Ground Truth et Amazon A2I utiliseront ce CODE pour obtenir une revendication personnalisée auprès du `TokenEndpoint` ou du `UserInfoEndpoint` de votre IdP. Vous pouvez configurer `TokenEndpoint` pour qu’il retourne un jeton Web JSON (JWT) ou `UserInfoEndpoint` pour qu’il retourne un objet JSON. L’objet JWT ou JSON doit contenir des revendications obligatoires et facultatives que vous spécifiez. Une [revendication](https://openid.net/specs/openid-connect-core-1_0.html#Terminology) est une paire clé-valeur qui contient des informations sur un employé ou des métadonnées sur le service OIDC. Le tableau suivant répertorie les revendications qui doivent être incluses et celles qui peuvent éventuellement être incluses dans l’objet JWT ou JSON renvoyé par votre IdP.
**Note**
Certains des paramètres du tableau suivant peuvent être spécifiés en utilisant `:` ou `-`. Par exemple, vous pouvez spécifier les groupes auxquels un employé appartient en utilisant `sagemaker:groups` ou `sagemaker-groups` dans votre revendication.
| Nom | Obligatoire | Format et valeurs acceptés | Description | Exemple |
| --- | --- | --- | --- | --- |
| `sagemaker:groups` ou `sagemaker-groups` | Oui | **Type de données** : Si un employé appartient à un seul groupe, identifiez le groupe à l’aide d’une chaîne. Si un employé appartient à plusieurs groupes, utilisez une liste de 10 chaînes au maximum. **Caractères autorisés** : Regex : [\$1p\$1L\$1\$1p\$1M\$1\$1p\$1S\$1\$1p\$1N\$1\$1p\$1P\$1]\$1 **Quotas** : 10 groupes par employé 63 caractères par nom de groupe | Affecte un employé à un ou plusieurs groupes. Les groupes sont utilisés pour affecter l’employé à des équipes de travail. | Exemple d’un employé appartenant à un seul groupe : `"work_team1"` Exemple d’un employé appartenant à plusieurs groupes : `["work_team1", "work_team2"]` |
| `sagemaker:sub` ou `sagemaker-sub` | Oui | **Type de données** : String | Ceci est obligatoire pour suivre l’identité d’un employé dans la plateforme Ground Truth pour l’audit et pour identifier les tâches effectuées par ce employé. Pour ADFS : les clients doivent utiliser le SID (Primary Security Identifier). | `"111011101-123456789-3687056437-1111"` |
| `sagemaker:client_id` ou `sagemaker-client_id` | Oui | **Type de données** : String **Caractères autorisés** : Regex : [\$1w\$1-]\$1 **Guillemets** : 128 caractères | Un ID client. Tous les jetons doivent être émis pour cet ID client. | `"00b600bb-1f00-05d0-bd00-00be00fbd0e0"` |
| `sagemaker:name` ou `sagemaker-name` | Oui | **Type de données** : String | Le nom de l’employé à afficher dans le portail de travail. | `"Jane Doe"` |
| `email` | Non | **Type de données** : String | L’e-mail de l’employé. Ground Truth utilise cet e-mail pour informer les employés qu’ils ont été invités à travailler sur des tâches d’étiquetage. Ground Truth utilisera également cet e-mail pour notifier vos employés lorsque des tâches de labélisation deviennent disponibles si vous avez configuré une rubrique Amazon SNS pour une équipe de travail dont ce travailleur fait partie. | `"example-email@domain.com"` |
| `email_verified` | Non | **Type de données** : Booléen **Valeurs acceptées :** `True`, `False` | Indique si l’e-mail de l’utilisateur a été vérifié ou non. | `True` |
Voici un exemple de la syntaxe d’objet JSON que votre `UserInfoEndpoint` peut retourner.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
Ground Truth ou Amazon A2I compare les groupes énumérés en `sagemaker:groups` ou `sagemaker-groups` pour vérifier que votre employé appartient à l’équipe de travail spécifiée dans la tâche d’étiquetage ou de révision humaine. Une fois que l’équipe de travail a été vérifiée, les tâches d’étiquetage ou de révision humaine sont envoyées à cet employé.
## Création d’une main-d’œuvre OIDC IdP
Vous pouvez créer une main-d'œuvre à l'aide de l'opération SageMaker API `CreateWorkforce` et de la langue associée spécifique SDKs. Spécifiez un `WorkforceName` et des informations sur votre IDP OIDC dans le paramètre `OidcConfig`. Il est recommandé de configurer votre OIDC avec un URI de redirection de type place-holder, puis de mettre à jour l’URI avec l’URL du portail des employés après avoir créé la main-d’œuvre. Pour en savoir plus, veuillez consulter la section [Configuration de votre IdP OIDC](#sms-workforce-create-private-oidc-configure-url).
Voici un exemple de requête. Consultez [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) pour en savoir plus sur chaque paramètre de cette requête.
```
CreateWorkforceRequest: {
#required fields
WorkforceName: "example-oidc-workforce",
OidcConfig: {
ClientId: "clientId",
ClientSecret: "secret",
Issuer: "https://example-oidc-idp.com/adfs",
AuthorizationEndpoint: "https://example-oidc-idp.com/adfs/oauth2/authorize",
TokenEndpoint: "https://example-oidc-idp.com/adfs/oauth2/token",
UserInfoEndpoint: "https://example-oidc-idp.com/adfs/oauth2/userInfo",
LogoutEndpoint: "https://example-oidc-idp.com/adfs/oauth2/log-out",
JwksUri: "https://example-oidc-idp.com/adfs/discovery/keys"
},
SourceIpConfig: {
Cidrs: ["string", "string"]
}
}
```
### Configuration de votre IdP OIDC
La façon dont vous configurez votre IdP OIDC dépend de l’IdP que vous utilisez et de vos exigences commerciales.
Lorsque vous configurez votre IdP, vous devez spécifier un URI de rappel ou de redirection. Après l’authentification d’un employé par Ground Truth ou Amazon A2I, cette URI redirigera l’employé vers le portail de l’employé où il pourra accéder aux tâches d’étiquetage ou de révision humaine. Pour créer une URL de portail d’employé, vous devez créer une main-d’œuvre avec vos détails OIDC IdP en utilisant l’opération d’API [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html). Plus précisément, vous devez configurer votre IdP OIDC avec les revendications Sagemaker personnalisées requises (voir la section suivante pour plus de détails). Par conséquent, il est recommandé de configurer votre OIDC avec un URI de redirection de type place-holder, puis de mettre à jour l’URI après avoir créé la main-d’œuvre. Consultez [Création d’une main-d’œuvre OIDC IdP](#sms-workforce-create-private-oidc-createworkforce) pour apprendre à créer une main-d’œuvre à l’aide de cette API.
Vous pouvez consulter l'URL de votre portail de travail dans la console SageMaker Ground Truth ou à l'aide de l'opération SageMaker API`DescribeWorkforce`. L’URL du portail d’employé se trouve dans le paramètre [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain) dans la réponse.
**Important**
Assurez-vous d’ajouter le sous-domaine de la main-d’œuvre à votre liste d’autorisations OIDC IdP. Lorsque vous ajoutez le sous-domaine à votre liste d’autorisation, il doit se terminer par `/oauth2/idpresponse`.
**Pour afficher l’URL de votre portail d’employé après la création d’une main-d’œuvre privée (Console) :**
1. Ouvrez la console SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation, choisissez **Mains-d’œuvre d’étiquetage**.
1. Sélectionnez l’onglet **Privé**.
1. Dans **Résumé de la main-d’œuvre privée**, vous verrez **URL de connexion au portail d’étiquetage**. Il s’agit de l’URL de votre portail d’employé.
**Pour afficher l’URL de votre portail d’employé après la création d’une main-d’œuvre privée (API) :**
Lorsque vous créez une main-d’œuvre privée à l’aide de `[CreateWorkforce](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)`, vous spécifiez un `WorkforceName`. Utilisez ce nom pour appeler [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html). Le tableau suivant contient des exemples de demandes utilisant le AWS CLI et AWS SDK pour Python (Boto3).
------
#### [ SDK for Python (Boto3) ]
```
response = client.describe_workforce(WorkforceName='string')
print(f'The workforce subdomain is: {response['SubDomain']}')
```
------
#### [ AWS CLI ]
```
$ C:\> describe-workforce --workforce-name 'string'
```
------
## Valider la réponse d’authentification de la main-d’œuvre de l’IdP OIDC
Après avoir créé votre main-d’œuvre OIDC IdP, vous pouvez utiliser la procédure suivante pour valider son flux d’authentification à l’aide de cURL. Cette procédure suppose que vous avez accès à un terminal, et que vous avez installé cURL.
**Pour valider votre réponse d’autorisation OIDC IdP :**
1. Obtenez un code d’autorisation à l’aide d’un URI configuré comme suit :
```
{AUTHORIZE ENDPOINT}?client_id={CLIENT ID}&redirect_uri={REDIRECT URI}&scope={SCOPE}&response_type=code
```
1. Remplacez *`{AUTHORIZE ENDPOINT}`* avec le point de terminaison autorisé pour votre IdP OIDC.
1. `{CLIENT ID}`Remplacez-le par l'ID client de votre OAuth client.
1. Remplacez *`{REDIRECT URI}`* par l’URL du portail d’employé. Si elle n’est pas déjà présente, vous devez ajouter la chaîne `/oauth2/idpresponse` à la fin de l’URL.
1. Si vous avez une portée personnalisée, utilisez-la pour remplacer `{SCOPE}`. Si vous n’avez aucune portée personnalisée, remplacez `{SCOPE}` par `openid`.
Voici un exemple d’URI après que les modifications ci-dessus ont été effectuées :
```
https://example.com/authorize?client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac&redirect_uri=https%3A%2F%2F%2Fexample.labeling.sagemaker.aws%2Foauth2%2Fidpresponse&response_type=code&scope=openid
```
1. Copiez et collez l’URI modifié de l’étape 1 dans votre navigateur et appuyez sur Entrée sur votre clavier.
1. Authentifiez-vous en utilisant votre IdP.
1. Copiez le paramètre de requête de code d’authentification dans l’URI. Ce paramètre commence par `code=`. Voici un exemple de ce à quoi pourrait ressembler la réponse. Dans cet exemple, copiez `code=MCNYDB...` et tout ce qui suit.
```
https://example.labeling.sagemaker.aws/oauth2/idpresponse?code=MCNYDB....
```
1. Ouvrez un terminal et entrez la commande suivante après avoir effectué les modifications requises énumérées ci-dessous :
```
curl --request POST \
--url '{TOKEN ENDPOINT}' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id={CLIENT ID}' \
--data client_secret={CLIENT SECRET} \
--data code={CODE} \
--data 'redirect_uri={REDIRECT URI}'
```
1. Remplacez `{TOKEN ENDPOINT}` par le point de terminaison du jeton pour votre IdP OIDC.
1. `{CLIENT ID}`Remplacez-le par l'ID client de votre OAuth client.
1. `{CLIENT SECRET}`Remplacez-le par le secret client de votre OAuth client.
1. Remplacez `{CODE}` avec le paramètre de requête de code d’authentification que vous avez copié à l’étape 4.
1. Remplacez *`{REDIRECT URI}`* par l'URL du portail d'employé.
Voici un exemple de requête cURL après avoir effectué les modifications décrites ci-dessus :
```
curl --request POST \
--url 'https://example.com/token' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac' \
--data client_secret=client-secret \
--data code=MCNYDB... \
--data 'redirect_uri=https://example.labeling.sagemaker.aws/oauth2/idpresponse'
```
1. Cette étape dépend du type de `access_token` que votre IdP renvoie, un jeton d’accès en texte brut ou un jeton d’accès JWT.
+ Si votre IdP ne prend pas en charge les jetons d’accès JWT, `access_token` peut être en texte brut (par exemple, un UUID). La réponse que vous voyez peut ressembler à ce qui suit. Dans ce cas, passez à l’étape 7.
```
{
"access_token":"179c144b-fccb-4d96-a28f-eea060f39c13",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"ef43e52e-9b4f-410c-8d4c-d5c5ee57631a",
"scope":"openid"
}
```
+ Si votre IdP prend en charge les jetons d’accès JWT, l’étape 5 devrait générer un jeton d’accès au format JWT. Par exemple, la réponse peut ressembler à ce qui suit :
```
{
"access_token":"eyJh...JV_adQssw5c",
"refresh_token":"i6mapTIAVSp2oJkgUnCACKKfZxt_H5MBLiqcybBBd04",
"refresh_token_expires_in":6327,
"scope":"openid",
"id_token":"eyJ0eXAiOiJK9...-rDaQzUHl6cQQWNiDpWOl_lxXjQEvQ"
}
```
Copiez le JWT et décodez-le. Vous pouvez utiliser un script python ou un site Web tiers pour le décoder. Par exemple, vous pouvez vous rendre sur le site Web [https://jwt.io/](https://jwt.io/) et coller le JWT dans la case **Encoded (Encodé)** pour le décoder.
Assurez-vous que la réponse décodée contient les éléments suivants :
+ Les affirmations relatives à l' SageMaker IA **requise** figurent dans le tableau figurant dans[Envoyer les revendications obligatoires et facultatives à Ground Truth et Amazon A2I](#sms-workforce-create-private-oidc-configure-idp). Si ce n’est pas le cas, vous devez reconfigurer votre IdP OIDC pour qu’il contienne ces revendications.
+ Le [Diffuseur](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html#sagemaker-Type-OidcConfig-Issuer) que vous avez spécifié lorsque vous avez configuré la main-d’œuvre IdP.
1. Ouvrez un terminal et saisissez la commande suivante après avoir effectué les modifications requises énumérées ci-dessous :
```
curl -X POST -H 'Authorization: Bearer {ACCESS TOKEN}' -d '' -k -v {USERINFO ENDPOINT}
```
1. Remplacez `{USERINFO ENDPOINT}` par le point de terminaison des informations utilisateur de votre IdP OIDC.
1. Remplacez `{ACCESS TOKEN}` par le jeton d’accès figurant dans la réponse que vous avez reçue à l’étape 7. Il s’agit de l’entrée pour le paramètre `"access_token"`.
Voici un exemple de requête cURL après avoir effectué les modifications décrites ci-dessus :
```
curl -X POST -H 'Authorization: Bearer eyJ0eX...' -d '' -k -v https://example.com/userinfo
```
1. La réponse à la dernière étape de la procédure ci-dessus peut ressembler au bloc de code suivant.
Si le `access_token` renvoyé à l’étape 6 était en texte brut, vous devez vérifier que cette réponse contient les informations requises. Dans ce cas, la réponse doit contenir les demandes d' SageMaker IA **requises** dans le tableau figurant dans[Envoyer les revendications obligatoires et facultatives à Ground Truth et Amazon A2I](#sms-workforce-create-private-oidc-configure-idp). Par exemple, `sagemaker-groups`, `sagamaker-name`.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
## Étapes suivantes
Une fois que vous avez créé une main-d’œuvre privée à l’aide de votre IdP et vérifié votre réponse d’authentification IdP, vous pouvez créer des équipes de travail à l’aide de vos groupes IdP. Pour en savoir plus, veuillez consulter la section [Gestion d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-manage-private-oidc.md).
Vous pouvez restreindre l'accès des employés aux tâches à des adresses IP spécifiques, et mettre à jour ou supprimer votre personnel à l'aide de l' SageMaker API. Pour en savoir plus, consultez [Gestion du personnel privé à l'aide de l' SageMaker API Amazon](sms-workforce-management-private-api.md).
# Gestion d’une main-d’œuvre privée (OIDC IdP)
Une fois que vous avez créé une main-d’œuvre privée en utilisant votre fournisseur d’identité (IdP) OpenID Connect (OIDC), vous pouvez gérer vos employés en utilisant votre IdP. Vous pouvez par exemple ajouter, supprimer et regrouper des employés directement via votre IdP.
Pour ajouter des collaborateurs à une tâche d'étiquetage Amazon SageMaker Ground Truth (Ground Truth) ou à une tâche de révision humaine Amazon Augmented AI (Amazon A2I), vous créez des équipes de travail composées de 1 à 10 groupes IdP et vous affectez cette équipe de travail à la tâche ou à la tâche. Vous affectez une équipe de travail à un travail ou à une tâche en spécifiant cette équipe de travail lorsque vous créez un travail de labélisation (Ground Truth) ou un flux de travail de révision humaine (Amazon A2I).
Vous ne pouvez affecter qu’une seule équipe à chaque tâche d’étiquetage ou à chaque flux de travail de révision humaine. Vous pouvez utiliser la même équipe pour créer plusieurs tâches de labélisation ou de révision humaine. Vous pouvez également créer plusieurs équipes de travail pour travailler sur différentes tâches de labélisation ou de révision humaine.
## Conditions préalables
Pour créer et gérer des équipes de travail privées à l'aide de vos groupes IdP OIDC, vous devez d'abord créer un effectif à l'aide de SageMaker l'opération API. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) Pour en savoir plus, veuillez consulter la section [Création d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-create-private-oidc.md).
## Ajout d’équipes de travail
**Vous pouvez utiliser la console SageMaker AI pour créer une équipe de travail privée en utilisant votre personnel IDP OIDC sur **la page Labeling** workforces sous Ground Truth.** Si vous créez une tâche d’étiquetage Ground Truth, vous pouvez également créer une équipe de travail privée lors de la création d’une tâche d’étiquetage.
**Note**
Vous créez et gérez des équipes de travail pour Amazon A2I dans la zone Ground Truth de la console SageMaker AI.
Vous pouvez également utiliser l' SageMaker API et le langage spécifique associé SDKs pour créer une équipe de travail privée.
Suivez les procédures suivantes pour savoir comment créer une équipe de travail privée à l'aide de la console et de l'API SageMaker AI.
**Pour créer une équipe de travail privée sur la page Mains-d’œuvre d’étiquetage (console)**
1. Accédez à la zone Ground Truth de la console SageMaker AI : [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Sélectionnez **Mains-d’œuvre d’étiquetage**.
1. Cliquez sur **Private (Privé)**.
1. Dans la section **Équipes privées**, cliquez sur **Créer une équipe privée**.
1. Dans la section **Détails de l’équipe**, entrez un **Nom de l’équipe**.
1. Dans la section **Ajout d’employés**, saisissez le nom d’un seul groupe d’utilisateurs. Tous les employés associés à ce groupe dans votre IdP sont ajoutés à cette équipe de travail.
1. Pour ajouter plusieurs groupes d’utilisateurs, cliquez sur **Ajouter un nouveau groupe d’utilisateurs** et saisissez les noms des groupes d’utilisateurs que vous souhaitez ajouter à cette équipe de travail. Entrez un groupe d’utilisateurs par ligne.
1. (Facultatif) Pour les tâches d’étiquetage Ground Truth, si vous fournissez un e-mail pour les employés dans votre JWT, Ground Truth notifie les employés lorsqu’une nouvelle tâche d’étiquetage est disponible si vous sélectionnez une rubrique SNS.
1. Cliquez sur **Créer une équipe privée**.
**Pour créer une équipe de travail privée lors de la création d’une tâche d’étiquetage Ground Truth (console)**
1. Accédez à la zone Ground Truth de la console SageMaker AI : [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Sélectionnez **Tâches d’étiquetage**.
1. Utilisez les instructions fournies dans [Création d’une tâche d’étiquetage (Console)](sms-create-labeling-job-console.md) pour créer une tâche d’étiquetage. Arrêtez-vous lorsque vous arrivez à la section **Employés** sur la deuxième page.
1. Sélectionnez **Privé** pour le type de votre employé.
1. Saisissez un **Nom d’équipe**.
1. Dans la section **Ajout d’employés**, saisissez le nom d’un seul groupe d’utilisateurs sous **Groupes d’utilisateurs**. Tous les employés associés à ce groupe dans votre IdP sont ajoutés à cette équipe de travail.
**Important**
Les noms de groupe que vous spécifiez pour **Groupes d’utilisateurs** doit correspondre aux noms de groupe spécifiés dans votre IdP OIDC.
1. Pour ajouter plusieurs groupes d'utilisateurs, sélectionnez **Add new user group (Ajouter un nouveau groupe d'utilisateurs)** et saisissez les noms des groupes d'utilisateurs que vous souhaitez ajouter à cette équipe de travail. Entrez un groupe d'utilisateurs par ligne.
1. Effectuez toutes les étapes restantes pour créer votre tâche de labélisation.
L'équipe privée que vous créez est utilisée pour cette tâche d'étiquetage et est répertoriée dans la section **Étiquetage du** personnel de la console SageMaker AI.
**Pour créer une équipe de travail privée à l'aide de l' SageMaker API**
Vous pouvez créer une équipe de travail privée à l'aide de l'opération SageMaker API`[CreateWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html)`.
Lorsque vous utilisez cette opération, dressez la liste de tous les groupes d’utilisateurs que vous souhaitez inclure dans l’équipe de travail dans le paramètre `OidcMemberDefinition` de `Groups`.
**Important**
Les noms de groupe que vous spécifiez pour `Groups` doit correspondre aux noms de groupe spécifiés dans votre IdP OIDC.
Par exemple, si vos noms de groupes d’utilisateurs sont `group1`, `group2` et `group3` dans votre IdP OIDC, configurez `OidcMemberDefinition` comme suit :
```
"OidcMemberDefinition": {
"Groups": ["group1", "group2", "group3"]
}
```
En outre, vous devez donner un nom à l’équipe de travail à l’aide du paramètre `WorkteamName`.
## Ajouter ou supprimer des groupes IdP des équipes de travail
Après avoir créé une équipe de travail, vous pouvez utiliser l' SageMaker API pour gérer cette équipe de travail. Utilisez l’opération [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) pour mettre à jour les groupes d’utilisateurs IdP inclus dans cette équipe de travail.
+ Utilisez le paramètre `WorkteamName` pour identifier l’équipe de travail que vous souhaitez mettre à jour.
+ Lorsque vous utilisez cette opération, dressez la liste de tous les groupes d’utilisateurs que vous souhaitez inclure dans l’équipe de travail dans le paramètre [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html) de `Groups`. Si un groupe d’utilisateurs est associé à une équipe de travail et que vous ne l’incluez *pas* dans cette liste, ce groupe d’utilisateurs n’est plus associé à cette équipe de travail.
## Suppression d’une équipe de travail
Vous pouvez supprimer une équipe de travail à l'aide de la console SageMaker AI et de SageMaker l'API.
**Pour supprimer une équipe de travail privée dans la console SageMaker AI**
1. Accédez à la zone Ground Truth de la console SageMaker AI : [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Sélectionnez **Mains-d’œuvre d’étiquetage**.
1. Sélectionnez **Privé**.
1. Dans la section **Équipes privées** sélectionnez l’équipe dans laquelle vous souhaitez supprimer des employés.
1. Sélectionnez **Supprimer**.
**Pour supprimer une équipe de travail privée (API)**
Vous pouvez supprimer une équipe de travail privée à l'aide de l'opération SageMaker API`[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)`.
## Gérer les employés individuels
Lorsque vous créez une main-d’œuvre à l’aide de votre propre IdP OIDC, vous ne pouvez pas utiliser Ground Truth ou Amazon A2I pour gérer des employés individuels.
+ Pour ajouter un employé à une équipe de travail, ajoutez-le à un groupe associé à cette équipe de travail.
+ Pour supprimer un employé d’une équipe de travail, supprimez le de tous les groupes d’utilisateurs associés à cette équipe de travail.
## Mettre à jour, supprimer et décrire votre main-d’œuvre
Vous pouvez mettre à jour, supprimer et décrire votre personnel IdP OIDC à l'aide SageMaker de l'API. La liste suivante contient les opérations d’API que vous pouvez utiliser pour gérer votre main-d’œuvre. Pour plus d’informations, y compris la façon de localiser le nom de votre main-d’œuvre, consultez [Gestion du personnel privé à l'aide de l' SageMaker API Amazon](sms-workforce-management-private-api.md).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) : vous pouvez mettre à jour une main-d’œuvre créée à l’aide de votre propre OIDC IdP pour spécifier un point de terminaison d’autorisation, un point de terminaison de jeton ou un diffuseur différent. Vous pouvez mettre à jour n’importe quel paramètre trouvé dans `[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` à l’aide de cette opération.
Vous ne pouvez mettre à jour votre configuration OIDC IdP que lorsqu’il n’y a pas d’équipes de travail associées à votre main-d’œuvre. Pour savoir comment supprimer des équipes de travail, consultez [Suppression d’une équipe de travail](#sms-workforce-manage-private-oidc-workteam-delete).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) : utilisez cette opération pour supprimer votre main-d’œuvre privée. Si vous avez des équipes de travail associées à votre main-d’œuvre, vous devez supprimer ces équipes avant de supprimer votre main-d’œuvre. Pour de plus amples informations, veuillez consulter [Suppression d’une équipe de travail](#sms-workforce-manage-private-oidc-workteam-delete).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html)— Utilisez cette opération pour répertorier les informations relatives au personnel privé, notamment le nom du personnel, le nom de ressource Amazon (ARN) et, le cas échéant, les plages d'adresses IP autorisées (CIDRs).