As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Forças de trabalho OIDC IdP
Crie uma força de trabalho privada usando um provedor de identidade (IdP) do OpenID Connect (OIDC) quando quiser gerenciar e autenticar seus operadores usando seu próprio IdP do OIDC. As credenciais individuais do operador e outros dados serão mantidos em sigilo. A Ground Truth e o Amazon A2I só terão visibilidade das informações dos operadores que você fornecer por meio das solicitações enviadas a esses serviços. Para criar uma força de trabalho usando um IdP OIDC, seu IdP deve apoiar *grupos* porque o Ground Truth e o Amazon A2I mapeiam um ou mais grupos em seu IdP para uma equipe de trabalho. Para saber mais, consulte [Envie reivindicações obrigatórias e opcionais para o Ground Truth e o Amazon A2I](sms-workforce-create-private-oidc.md#sms-workforce-create-private-oidc-configure-idp).
Se você for um novo usuário do Ground Truth ou do Amazon A2I, poderá testar a interface do usuário e o fluxo de trabalho do seu operador criando uma equipe de trabalho privada e adicionando você mesmo como operador. Use essa equipe de trabalho ao criar um trabalho de rotulagem ou um fluxo de trabalho de revisão humana. Primeiro, crie uma força de trabalho privada do OIDC IdP usando as instruções em [Criar uma força de trabalho privada (OIDC IdP)](sms-workforce-create-private-oidc.md). A seguir, consulte [Gerenciar uma força de trabalho privada (OIDC IdP)](sms-workforce-manage-private-oidc.md) para saber como criar uma equipe de trabalho.
**Topics**
+ [Criar uma força de trabalho privada (OIDC IdP)](sms-workforce-create-private-oidc.md)
+ [Gerenciar uma força de trabalho privada (OIDC IdP)](sms-workforce-manage-private-oidc.md)
# Criar uma força de trabalho privada (OIDC IdP)
Crie uma força de trabalho privada usando um provedor de identidades (IdP) do OpenID Connect (OIDC) quando quiser autenticar e gerenciar seus operadores usando seu próprio provedor de identidades. Use esta página para saber como configurar seu IdP para se comunicar com o Amazon SageMaker Ground Truth (Ground Truth) ou o Amazon Augmented AI (Amazon A2I) e aprender como criar uma força de trabalho usando seu próprio IdP.
Para criar uma força de trabalho usando um IdP OIDC, seu IdP deve oferecer suporte a *grupos* porque o Ground Truth e o Amazon A2I usam um ou mais grupos que você especifica para criar equipes de trabalho. Você usa equipes de trabalho para especificar trabalhadores para seus trabalhos de rotulagem e tarefas de revisão humana. Como os grupos não são uma [declaração padrão](https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims), a convenção do seu IdP pode ter uma de nomenclatura diferente para um grupo de usuários (trabalhadores). Portanto, você deve identificar um ou mais grupos de declaração personalizada `sagemaker:groups` que é enviada para o Ground Truth ou Amazon A2I do seu IdP. Para saber mais, consulte [Envie reivindicações obrigatórias e opcionais para o Ground Truth e o Amazon A2I](#sms-workforce-create-private-oidc-configure-idp).
Você cria uma força de trabalho do OIDC IdP usando a operação da API. SageMaker [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) Depois de criar uma força de trabalho privada, essa força de trabalho e todas as equipes de trabalho e os operadores associados a ela estão disponíveis para uso em todas as tarefas de trabalho de rotulagem do Ground Truth e em tarefas de fluxos de trabalho de revisão humana do Amazon A2I. Para saber mais, consulte [Crie uma força de trabalho IdP OIDC](#sms-workforce-create-private-oidc-createworkforce).
## Envie reivindicações obrigatórias e opcionais para o Ground Truth e o Amazon A2I
Quando você usa seu próprio IdP, o Ground Truth e o Amazon A2I usam seu `Issuer`, `ClientId` e `ClientSecret` para autenticar trabalhadores, obtendo um CÓDIGO de autenticação do seu `AuthorizationEndpoint`.
A Ground Truth e o Amazon A2I usarão esse CÓDIGO para obter uma declaração personalizada de seu IdP `TokenEndpoint` ou `UserInfoEndpoint`. Você pode configurar `TokenEndpoint` para retornar um token web JSON (JWT) ou `UserInfoEndpoint` para retornar um objeto JSON. O objeto JWT ou JSON deve conter declarações obrigatórias e opcionais que você especificar. Uma [declaração](https://openid.net/specs/openid-connect-core-1_0.html#Terminology) é um par de valores-chave que contém informações sobre um trabalhador ou metadados sobre o serviço OIDC. A tabela a seguir lista as declarações que devem ser incluídas e que, opcionalmente, podem ser incluídas no objeto JWT ou JSON que seu IdP retorna.
**nota**
Alguns dos parâmetros na tabela a seguir podem ser especificados usando um `:` ou `-`. Por exemplo, você pode especificar os grupos aos quais um trabalhador pertence usando `sagemaker:groups` ou `sagemaker-groups` em sua declaração.
| Nome | Obrigatório | Formato e valores aceitos | Description | Exemplo |
| --- | --- | --- | --- | --- |
| `sagemaker:groups` ou `sagemaker-groups` | Sim | **Tipo de dados**: Se um trabalhador pertencer a um único grupo, identifique o grupo usando uma string. Se um trabalhador pertencer a vários grupos de caracteres, use uma lista de até 10 sequências de caracteres. **Caracteres permitidos**: Regex: [\$1p\$1L\$1\$1p\$1M\$1\$1p\$1S\$1\$1p\$1N\$1\$1p\$1P\$1]\$1 **Cotas**: 10 grupos por trabalhador 63 caracteres por nome de grupo | Atribui um trabalhador a um ou mais grupos. Os grupos são usados para mapear o trabalhador em equipes de trabalho. | Exemplo de trabalhador que pertence a um único grupo: `"work_team1"` Exemplo de um trabalhador que pertence a mais de um grupo: `["work_team1", "work_team2"]` |
| `sagemaker:sub` ou `sagemaker-sub` | Sim | **Tipo de dados**: String | Isso é obrigatório para rastrear a identidade de um trabalhador dentro da plataforma Ground Truth para auditoria e identificar as tarefas realizadas por esse trabalhador. Para ADFS: os clientes devem usar o Identificador de Segurança Primário (SID). | `"111011101-123456789-3687056437-1111"` |
| `sagemaker:client_id` ou `sagemaker-client_id` | Sim | **Tipo de dados**: String **Caracteres permitidos**: Regex: [\$1w\$1-]\$1 **Cotas**: 128 caracteres | Um ID de cliente. Todos os tokens devem ser emitidos para esse ID de cliente. | `"00b600bb-1f00-05d0-bd00-00be00fbd0e0"` |
| `sagemaker:name` ou `sagemaker-name` | Sim | **Tipo de dados**: String | O nome do trabalhador a ser exibido no portal do trabalhador. | `"Jane Doe"` |
| `email` | Não | **Tipo de dados**: String | O e-mail do trabalhador. O Ground Truth usa esse e-mail para notificar os trabalhadores de que eles foram convidados para trabalhar em tarefas de rotulagem. O Ground Truth também usará esse e-mail para notificar seus funcionários quando as tarefas de rotulagem estiverem disponíveis, caso você configure um tópico do Amazon SNS para uma equipe de trabalho da qual esse funcionário faça parte. | `"example-email@domain.com"` |
| `email_verified` | Não | **Tipo de dados**: Bool **Valores aceitos**: `True`, `False` | Indica se o e-mail do usuário foi verificado ou não. | `True` |
Veja a seguir um exemplo da sintaxe do objeto JSON `UserInfoEndpoint` que você pode retornar.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
O Ground Truth ou o Amazon A2I compara os grupos listados `sagemaker:groups` ou `sagemaker-groups` para verificar se seu trabalhador pertence à equipe de trabalho especificada no trabalho de rotulagem ou na tarefa de revisão humana. Depois que a equipe de trabalho é verificada, as tarefas de rotulagem ou revisão humana são enviadas a esse funcionário.
## Crie uma força de trabalho IdP OIDC
Você pode criar uma força de trabalho usando a operação da SageMaker API `CreateWorkforce` e a linguagem SDKs específica associada. Especifique um `WorkforceName` e informações sobre seu OIDC IDP no parâmetro `OidcConfig`. É recomendável que você configure seu OIDC com um URI de redirecionamento de espaço reservado e, em seguida, atualize o URI com o URL do portal do trabalhador depois de criar a força de trabalho. Para saber mais, consulte [Configure seu IdP OIDC](#sms-workforce-create-private-oidc-configure-url).
Veja a seguir um exemplo da solicitação. Consulte [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) para saber mais sobre cada parâmetro nessa solicitação.
```
CreateWorkforceRequest: {
#required fields
WorkforceName: "example-oidc-workforce",
OidcConfig: {
ClientId: "clientId",
ClientSecret: "secret",
Issuer: "https://example-oidc-idp.com/adfs",
AuthorizationEndpoint: "https://example-oidc-idp.com/adfs/oauth2/authorize",
TokenEndpoint: "https://example-oidc-idp.com/adfs/oauth2/token",
UserInfoEndpoint: "https://example-oidc-idp.com/adfs/oauth2/userInfo",
LogoutEndpoint: "https://example-oidc-idp.com/adfs/oauth2/log-out",
JwksUri: "https://example-oidc-idp.com/adfs/discovery/keys"
},
SourceIpConfig: {
Cidrs: ["string", "string"]
}
}
```
### Configure seu IdP OIDC
A forma como você configura seu IdP OIDC depende do IdP que você usa e dos requisitos de sua empresa.
Ao configurar seu IdP, você deve especificar um URI de retorno de chamada ou redirecionamento. Depois que o Ground Truth ou o Amazon A2I autenticarem um trabalhador, esse URI redirecionará o trabalhador para o portal do trabalhador, onde os trabalhadores poderão acessar tarefas de rotulagem ou revisão humana. Para criar uma URL do portal do trabalhador, você precisa criar uma força de trabalho com os detalhes do seu IdP do OIDC usando a [operação da API `CreateWorkforce`](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html). Especificamente, você deve configurar seu IdP do OIDC com as declarações personalizadas necessárias do sagemaker (consulte a próxima seção para obter mais detalhes). Portanto, é recomendável que você configure seu OIDC com um URI de redirecionamento de espaço reservado e, em seguida, atualize o URI depois de criar a força de trabalho. Consulte [Crie uma força de trabalho IdP OIDC](#sms-workforce-create-private-oidc-createworkforce) para saber como criar uma força de trabalho usando essa API.
Você pode visualizar a URL do seu portal de trabalho no console SageMaker Ground Truth ou usando a operação de SageMaker API,`DescribeWorkforce`. A URL do portal do trabalhador está no parâmetro [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain) na resposta.
**Importante**
Certifique-se de adicionar o subdomínio da força de trabalho à sua lista de permissões de IdP do OIDC. Quando você adiciona o subdomínio à sua lista de permissões, ele deve terminar com `/oauth2/idpresponse`.
**Para visualizar a URL do portal do trabalhador após criar uma força de trabalho privada (Console):**
1. Abra o console de SageMaker IA em [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. No painel de navegação, selecione **Rotular forças de trabalho**.
1. Selecione a guia **Privado** .
1. No **resumo da força de trabalho privada**, você verá o URL de **login do portal de rotulagem**. Esta é a URL do seu portal de trabalho.
**Para visualizar a URL do portal do trabalhador após criar uma força de trabalho privada (API):**
Quando criar uma força de trabalho privada usando `[CreateWorkforce](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)`, você especifica um `WorkforceName`. Use esse nome para ligar [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html). A tabela a seguir inclui exemplos de solicitações usando AWS CLI AWS SDK para Python (Boto3) e.
------
#### [ SDK for Python (Boto3) ]
```
response = client.describe_workforce(WorkforceName='string')
print(f'The workforce subdomain is: {response['SubDomain']}')
```
------
#### [ AWS CLI ]
```
$ C:\> describe-workforce --workforce-name 'string'
```
------
## Valide sua resposta de autenticação da força de trabalho do OIDC IdP
Depois de criar sua força de trabalho IdP OIDC, use o procedimento a seguir para validar o fluxo de trabalho de autenticação usando cURL. Esse procedimento pressupõe que você tenha acesso a um terminal e que tenha o cURL instalado.
**Valide sua resposta de autorização do OIDC IdP:**
1. Obtenha um código de autorização usando um URI configurado da seguinte forma:
```
{AUTHORIZE ENDPOINT}?client_id={CLIENT ID}&redirect_uri={REDIRECT URI}&scope={SCOPE}&response_type=code
```
1. Substitua *`{AUTHORIZE ENDPOINT}`* pelo endpoint de autorização do seu IdP do OIDC.
1. `{CLIENT ID}`Substitua pela ID do cliente do seu OAuth cliente.
1. Substitua *`{REDIRECT URI}`* pela URL do portal do trabalhador. Se ainda não estiver presente, você deverá adicionar `/oauth2/idpresponse` ao final do URL.
1. Se tiver um escopo personalizado, use-o para substituir `{SCOPE}`. Se não tiver um escopo personalizado, substitua `{SCOPE}` por `openid`.
Veja a seguir um exemplo de URI após as modificações acima serem feitas:
```
https://example.com/authorize?client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac&redirect_uri=https%3A%2F%2F%2Fexample.labeling.sagemaker.aws%2Foauth2%2Fidpresponse&response_type=code&scope=openid
```
1. Copie e cole o URI modificado da etapa 1 em seu navegador e pressione Enter no teclado.
1. Autentique usando seu IdP.
1. Copie o parâmetro de consulta do código de autenticação no URI. Esse parâmetro começa com `code=`. Veja a seguir um exemplo de como pode ser a resposta. Neste exemplo, copie `code=MCNYDB...` e tudo o que vier depois.
```
https://example.labeling.sagemaker.aws/oauth2/idpresponse?code=MCNYDB....
```
1. Abra um terminal e digite o seguinte comando depois de fazer as modificações necessárias listadas abaixo:
```
curl --request POST \
--url '{TOKEN ENDPOINT}' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id={CLIENT ID}' \
--data client_secret={CLIENT SECRET} \
--data code={CODE} \
--data 'redirect_uri={REDIRECT URI}'
```
1. Substitua `{TOKEN ENDPOINT}` pelo endpoint do token do seu IdP do OIDC.
1. `{CLIENT ID}`Substitua pela ID do cliente do seu OAuth cliente.
1. `{CLIENT SECRET}`Substitua pelo segredo do cliente do seu OAuth cliente.
1. Substitua `{CODE}` pelo parâmetro de consulta do código de autenticação que você copiou na etapa 4.
1. Substitua *`{REDIRECT URI}`* pela URL do portal do trabalhador.
Veja a seguir um exemplo da solicitação cURL após fazer as modificações descritas acima:
```
curl --request POST \
--url 'https://example.com/token' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac' \
--data client_secret=client-secret \
--data code=MCNYDB... \
--data 'redirect_uri=https://example.labeling.sagemaker.aws/oauth2/idpresponse'
```
1. Essa etapa depende do tipo de retorno do `access_token` IdP, de um token de acesso de texto simples ou de um token de acesso JWT.
+ Se seu IdP não suportar tokens de acesso JWT, `access_token` pode ser texto sem formatação (por exemplo, um UUID). A resposta que você vê pode ser semelhante à seguinte. Nesse caso, vá para a etapa 7.
```
{
"access_token":"179c144b-fccb-4d96-a28f-eea060f39c13",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"ef43e52e-9b4f-410c-8d4c-d5c5ee57631a",
"scope":"openid"
}
```
+ Se o seu IdP suportar tokens de acesso JWT, a etapa 5 deverá gerar um token de acesso no formato JWT. Por exemplo, a resposta pode ser semelhante ao seguinte exemplo:
```
{
"access_token":"eyJh...JV_adQssw5c",
"refresh_token":"i6mapTIAVSp2oJkgUnCACKKfZxt_H5MBLiqcybBBd04",
"refresh_token_expires_in":6327,
"scope":"openid",
"id_token":"eyJ0eXAiOiJK9...-rDaQzUHl6cQQWNiDpWOl_lxXjQEvQ"
}
```
Copie o JWT e decodifique-o. Você pode usar o script python ou um site de terceiros para decodificá-lo. Por exemplo, você pode acessar o site [https://jwt.io/](https://jwt.io/) e colar o JWT na caixa **Codificado** para decodificá-lo.
Certifique-se de que a resposta decodificada contenha o seguinte:
+ As reivindicações de SageMaker IA **necessárias** na tabela encontrada em[Envie reivindicações obrigatórias e opcionais para o Ground Truth e o Amazon A2I](#sms-workforce-create-private-oidc-configure-idp). Caso contrário, você deverá reconfigurar seu IdP do OIDC para conter essas declarações.
+ O [emissor](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html#sagemaker-Type-OidcConfig-Issuer) que você especificou ao configurar a força de trabalho do IdP.
1. Em um terminal, digite o seguinte comando depois de fazer as modificações necessárias listadas abaixo:
```
curl -X POST -H 'Authorization: Bearer {ACCESS TOKEN}' -d '' -k -v {USERINFO ENDPOINT}
```
1. Substitua `{USERINFO ENDPOINT}` pelo endpoint das informações do usuário do seu IdP do OIDC.
1. Substitua `{ACCESS TOKEN}` pelo token de acesso na resposta que você recebeu na etapa 7. Essa é a entrada para o parâmetro `"access_token"`.
Veja a seguir um exemplo da solicitação cURL após fazer as modificações descritas acima:
```
curl -X POST -H 'Authorization: Bearer eyJ0eX...' -d '' -k -v https://example.com/userinfo
```
1. A resposta para a etapa final do procedimento acima pode ser semelhante ao bloco de código a seguir.
Se o `access_token` retornado na etapa 6 for texto sem formatação, você deverá verificar se essa resposta contém as informações necessárias. Nesse caso, a resposta deve conter as declarações de SageMaker IA **necessárias** na tabela encontrada em[Envie reivindicações obrigatórias e opcionais para o Ground Truth e o Amazon A2I](#sms-workforce-create-private-oidc-configure-idp). Por exemplo, `sagemaker-groups`, `sagamaker-name`.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
## Próximas etapas
Depois de criar uma força de trabalho privada usando seu IdP e verificar sua resposta de autenticação de IdP, você pode criar equipes de trabalho usando seus grupos de IdP. Para saber mais, consulte [Gerenciar uma força de trabalho privada (OIDC IdP)](sms-workforce-manage-private-oidc.md).
Você pode restringir o acesso dos trabalhadores às tarefas a endereços IP específicos e atualizar ou excluir sua força de trabalho usando a SageMaker API. Para saber mais, consulte [Gerenciamento de força de trabalho privada usando a API da Amazon SageMaker](sms-workforce-management-private-api.md).
# Gerenciar uma força de trabalho privada (OIDC IdP)
Depois de criar uma força de trabalho privada usando seu provedor de identidade (IdP) do OpenID Connect (OIDC), você pode gerenciar seus operadores usando seu IdP. Por exemplo, você pode adicionar, remover e agrupar trabalhadores diretamente por meio do seu IdP.
Para adicionar trabalhadores a um trabalho de rotulagem do Amazon SageMaker Ground Truth (Ground Truth) ou à tarefa de revisão humana do Amazon Augmented AI (Amazon A2I), você cria equipes de trabalho usando de 1 a 10 grupos de IdP e atribui essa equipe de trabalho ao trabalho ou tarefa. Você atribui uma equipe de trabalho a um trabalho ou tarefa especificando essa equipe de trabalho ao criar um trabalho de rotulagem (Ground Truth) ou um fluxo de trabalho de revisão humana (Amazon A2I).
Você só pode atribuir uma equipe para cada trabalho de rotulagem ou fluxo de trabalho de análise humana. Você pode usar a mesma equipe para criar vários trabalhos de rotulagem ou tarefas de revisão humana. Você também pode criar várias equipes de trabalho para trabalhar em diferentes trabalhos de rotulagem ou tarefas de revisão humana.
## Pré-requisitos
Para criar e gerenciar equipes de trabalho privadas usando seus grupos de IdP do OIDC, primeiro você deve criar uma força de trabalho usando a operação da API. SageMaker [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) Para saber mais, consulte [Criar uma força de trabalho privada (OIDC IdP)](sms-workforce-create-private-oidc.md).
## Adicione equipes de trabalho
**Você pode usar o console de SageMaker IA para criar uma equipe de trabalho privada usando sua força de trabalho do OIDC IdP na **página Labeling** workforces em Ground Truth.** Se você estiver criando um trabalho de rotulagem do Ground Truth, você também pode criar uma equipe de trabalho privada ao criar um trabalho de rotulagem.
**nota**
Você cria e gerencia equipes de trabalho para o Amazon A2I na área Ground Truth do console de SageMaker IA.
Você também pode usar a SageMaker API e a linguagem associada específica SDKs para criar uma equipe de trabalho privada.
Use os procedimentos a seguir para aprender a criar uma equipe de trabalho privada usando o console de SageMaker IA e a API.
**Para criar uma equipe de trabalho privada na página Labeling workforces (console)**
1. Vá para a área Ground Truth do console de SageMaker IA: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Selecione **Forças de trabalho de rotulagem**.
1. Selecione **Privado**.
1. Na seção **Equipes privadas**, selecione **Criar equipe privada**.
1. Na seção **Detalhes da equipe**, insira o **nome da equipe**.
1. Na seção **Adicionar trabalhadores**, insira o nome de um único grupo de usuários. Todos os trabalhadores associados a esse grupo em seu IdP são adicionados a essa equipe de trabalho.
1. Para adicionar mais de um grupo de usuários, selecione **Adicionar novo grupo de usuários** e insira os nomes dos grupos de usuários que você deseja adicionar a essa equipe de trabalho. Insira um grupo de usuários por linha.
1. (Opcional) Para trabalhos de rotulagem do Ground Truth, se você fornecer um e-mail para os operadores em seu JWT, o Ground Truth notificará os trabalhadores quando uma nova tarefa de rotulagem estiver disponível se você selecionar um tópico SNS.
1. Selecione **Criar equipe privada**.
**Como criar uma equipe de trabalho privada ao criar um trabalho de rotulagem Ground Truth (console)**
1. Vá para a área Ground Truth do console de SageMaker IA: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Selecione **Trabalhos de rotulagem**.
1. Use as instruções em [Criar um trabalho de rotulagem (console)](sms-create-labeling-job-console.md) para criar um trabalho de rotulagem. Pare quando chegar à seção **Operadores** na segunda página.
1. Selecione **Privado** para seu tipo de operador.
1. Insira um **Nome de equie**.
1. Na seção **Adicionar trabalhadores**, insira o nome de um único grupo de usuários em **Grupos de usuários**. Todos os trabalhadores associados a esse grupo em seu IdP são adicionados a essa equipe de trabalho.
**Importante**
Os nomes dos grupos que você especificar para **grupos de usuários** devem corresponder aos nomes dos grupos especificados no seu IdP do OIDC.
1. Para adicionar mais de um grupo de usuários, selecione **Adicionar novo grupo de usuários** e insira os nomes dos grupos de usuários que você deseja adicionar a essa equipe de trabalho. Insira um grupo de usuários por linha.
1. Conclua todas as etapas restantes para criar seu trabalho de rotulagem.
A equipe privada que você cria é usada para esse trabalho de rotulagem e está listada na seção **Rotulagem de forças de trabalho** do console de SageMaker IA.
**Para criar uma equipe de trabalho privada usando a SageMaker API**
Você pode criar uma equipe de trabalho privada usando a operação SageMaker da API`[CreateWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html)`.
Ao usar essa operação, liste todos os grupos de usuários que você deseja incluir na equipe de trabalho no `OidcMemberDefinition` parâmetro `Groups`.
**Importante**
Os nomes dos grupos que você especificar para `Groups` devem corresponder aos nomes dos grupos especificados no seu IdP do OIDC.
Por exemplo, se os nomes dos seus grupos de usuários forem `group1`, `group2` e `group3` no seu IdP do OIDC, configure `OidcMemberDefinition` da seguinte forma:
```
"OidcMemberDefinition": {
"Groups": ["group1", "group2", "group3"]
}
```
Além disso, você deve dar um nome à equipe de trabalho usando o parâmetro `WorkteamName`.
## Adicionar ou remover grupos de IdP das equipes de trabalho
Depois de criar uma equipe de trabalho, você pode usar a SageMaker API para gerenciar essa equipe de trabalho. Use a operação [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) para atualizar os grupos de usuários do IdP incluídos nessa equipe de trabalho.
+ Use o parâmetro `WorkteamName` para identificar a equipe de trabalho que você deseja atualizar.
+ Ao usar essa operação, liste todos os grupos de usuários que você deseja incluir na equipe de trabalho no parâmetro[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html) `Groups`. Se um grupo de usuários estiver associado a uma equipe de trabalho e você *não* o incluir nessa lista, esse grupo de usuários não estará mais associado a essa equipe de trabalho.
## Excluir uma equipe de trabalho
Você pode excluir uma equipe de trabalho usando o console de SageMaker IA e a SageMaker API.
**Para excluir uma equipe de trabalho privada no console de SageMaker IA**
1. Vá para a área Ground Truth do console de SageMaker IA: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Selecione **Forças de trabalho de rotulagem**.
1. Selecione **Privado**.
1. Na seção **Equipes privadas**, selecione a equipe à qual você deseja excluir.
1. Selecione **Excluir**.
**Para excluir uma equipe de trabalho privada (API)**
Você pode excluir uma equipe de trabalho privada usando a operação SageMaker da API`[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)`.
## Gerencie trabalhadores individuais
Quando você cria uma força de trabalho usando seu próprio OIDC IdP, você não pode usar o Ground Truth ou o Amazon A2I para gerenciar trabalhadores individuais.
+ Para adicionar um trabalhador a uma equipe de trabalho, adicione-o a um grupo associado a essa equipe de trabalho.
+ Para remover um trabalhador de uma equipe de trabalho, remova-o de todos os grupos de usuários associados a essa equipe de trabalho.
## Atualize, exclua e descreva sua força de trabalho
Você pode atualizar, excluir e descrever sua força de trabalho do OIDC IdP usando a API. SageMaker A seguir, uma lista de operações de API que podem ser usadas para gerenciar sua força de trabalho. Para obter detalhes adicionais, incluindo como você pode localizar o nome da sua força de trabalho, consulte [Gerenciamento de força de trabalho privada usando a API da Amazon SageMaker](sms-workforce-management-private-api.md).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) – Talvez você queira atualizar uma força de trabalho criada usando seu próprio IdP do OIDC para especificar um endpoint de autorização, endpoint do token ou emissor diferente. Você pode atualizar qualquer parâmetro encontrado no `[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` usando essa operação.
Você só pode atualizar sua configuração de IdP do OIDC quando não houver equipes de trabalho associadas à sua força de trabalho. Para saber como excluir equipes de trabalho, consulte [Excluir uma equipe de trabalho](#sms-workforce-manage-private-oidc-workteam-delete).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) – Use essa operação para excluir sua força de trabalho privada. Se você tiver alguma equipe de trabalho associada à sua força de trabalho, exclua essas equipes de trabalho antes de excluir sua força de trabalho. Para obter mais informações, consulte [Excluir uma equipe de trabalho](#sms-workforce-manage-private-oidc-workteam-delete).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html)— Use essa operação para listar informações privadas da força de trabalho, incluindo nome da força de trabalho, Amazon Resource Name (ARN) e, se aplicável, intervalos de endereços IP permitidos (). CIDRs