Configurar o SSO usando SAML
Este artigo mostra como configurar o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando SAML. Para obter uma demonstração da configuração do SAML SSO com o Okta, consulte Proteger seu acesso ao Databricks com SAML SSO.
Para obter uma visão geral do single sign-on no site account, consulte Configurar SSO em Databricks.
Habilitar o SSO usando SAML
As instruções a seguir descrevem como usar o SAML 2.0 para autenticar usuários do console da conta.
Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em outra janela do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.
-
Veja a página SSO do console da conta e copie o URL SAML:
- account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.
- Clique em Authentication (Autenticação ) tab.
- Ao lado de Authentication (Autenticação ), clique em gerenciar .
- Escolha Login único com meu provedor de identidade .
- Clique em "Continuar" .
- Em Identity protocol (Protocolo de identidade ), selecione SAML 2.0 .
- Copie o valor no campo Databricks Redirect URL . O senhor precisará do URL SAML da Databricks para uma etapa posterior.
- account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.
-
Em outra janela ou tab do navegador, crie um aplicativo Databricks em seu provedor de identidade:
-
Acesse seu provedor de identidade (IdP).
-
Crer um novo aplicativo cliente (web):
- Use a documentação do seu provedor de identidade conforme necessário.
- Para o campo URL SAML (que pode ser chamado de URL de redirecionamento), use o URL SAML do Databricks que você copiou da página Databricks.
-
Copie os seguintes objetos e campos de seu novo aplicativo Databricks:
- O certificado x.509 : um certificado digital fornecido por seu provedor de identidade para proteger as comunicações entre o Databricks e o provedor de identidade
- O URL de logon único (SSO) do seu provedor de identidade . Esse é o URL que inicia o SSO com seu provedor de identidade. Às vezes, ele também é chamado de endpoint SAML.
- O emissor do provedor de identidade : é o identificador exclusivo de seu provedor de identidade SAML. Às vezes, é chamado de ID da entidade ou URL do emissor.
-
-
Configure sua conta do Databricks para usar seu provedor de identidade:
- Retorne ao navegador tab ou à janela com a página Databricks account console SSO.
- Digite ou cole os seguintes campos do aplicativo Databricks do seu provedor de identidade: o URL de logon único, o ID da entidade do provedor de identidade e o certificado x.509.
- Clique em Salvar .
- Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
- Clique em Habilitar SSO para habilitar o login único em sua conta.
- Teste o login do console da conta com SSO.
-
Conceda a todos os usuários da conta acesso ao aplicativo Databricks no seu provedor de identidade. Talvez seja necessário modificar as permissões de acesso do aplicativo.
Configurar o login unificado e adicionar usuários ao Databricks
Depois de configurar o SSO, o Databricks recomenda que o senhor configure o login unificado e adicione usuários ao seu account usando o SCIM provisionamento.
-
Configurar o login unificado
O login unificado permite que o senhor use a configuração do console account SSO no seu espaço de trabalho Databricks. Se o seu account foi criado depois de 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho e não pode ser desativado. Para configurar o login unificado, consulte Habilitar login unificado.
-
Adicionar usuários ao Databricks
O senhor deve adicionar usuários a Databricks para que eles possam acessar log in. Databricks Recomenda-se usar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.
Substituir um certificado SAML que está expirando
Quando o certificado SAML estiver expirando, o senhor precisará atualizá-lo no Databricks. Esse processo envolve a desativação temporária do SSO, a atualização do certificado e a reativação do SSO.
Quando o SSO está desativado:
- Sua configuração de SSO não é excluída, mas o senhor pode editar as configurações.
- Os usuários não podem usar o SSO até que ele seja reativado.
- Os usuários com acesso de emergência podem continuar acessando log in com uma senha e MFA. Consulte Acesso de emergência para evitar bloqueios.
Para substituir um certificado SAML que está expirando, faça o seguinte:
- Exporte o novo XML de metadados da federação do seu provedor de identidade. Esse arquivo contém o novo certificado x.509 exigido pela Databricks.
- account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.
- Clique em Authentication (Autenticação ) tab.
- Ao lado de Authentication (Autenticação ), clique em gerenciar .
- Clique em Disable SSO (Desativar SSO ).
- Substitua o texto existente no campo Certificado x.509 pelo novo certificado x.509 do seu provedor de identidade.
- Clique em Ativar SSO .
- Teste o login do console da conta com SSO.
Solução de problemas de SAML SSO
A tabela a seguir lista os códigos de erro SAML que podem ser encontrados durante a autenticação SSO. Cada entrada fornece o nome do erro legível por máquina, uma explicação detalhada e as próximas etapas recomendadas para solução de problemas. Use essas informações para identificar e resolver rapidamente os problemas de autenticação do SAML em seu workspace.
Nome do erro | Detalhes | Passos seguintes |
---|---|---|
| O nome de usuário inserido não está associado a este workspace ou account. | Verifique se o usuário foi adicionado ao seu site Databricks workspace ou account. Se o provisionamento de usuários for automatizado (por exemplo, usando o SCIM), verifique se o SCIM está funcionando. Entre em contato com o suporte Databricks com a mensagem de erro, o endereço email do usuário e o registro de data e hora da tentativa de login. |
| SAML A autenticação não está ativada para este Databricks workspace. | Habilite SAML nas configurações de workspace. Entre em contato com o administrador da Databricks ou com o suporte da Databricks e informe a mensagem de erro. |
| Não foi possível criar a solicitação SAML devido a metadados ou configuração de IdP inválidos. | Verifique se há campos ausentes ou inválidos nos metadados do IdP. Verifique as configurações de URL do ACS e ID da entidade. Entre em contato com o suporte do IdP com a mensagem de erro, o arquivo de metadados e o URL do ACS. |
| A asserção SAML expirou ou ainda não é válida. | Verifique se os relógios do sistema no IdP e nos Databricks estão sincronizados (usando NTP). Entre em contato com o suporte do IdP informando a mensagem de erro, o HAR do navegador e o IdP logs. |
| A resposta SAML não é assinada, mas é necessária uma assinatura. | Habilite a assinatura para respostas SAML no IdP. Entre em contato com o suporte do IdP com a mensagem de erro e os detalhes da configuração do IdP. |
| A asserção SAML não é assinada, mas é necessária uma assinatura. | Certifique-se de que o IdP assine as asserções nas configurações de SAML. Entre em contato com o suporte do IdP com a mensagem de erro e os detalhes da configuração do IdP. |
| Nenhuma assinatura foi encontrada na resposta ou asserção SAML. | Garantir que as respostas ou afirmações SAML sejam assinadas. Entre em contato com o suporte do IdP com a mensagem de erro e a resposta SAML completa. |
| A assinatura na resposta ou asserção SAML é inválida. | Verifique se o key público correto está configurado em Databricks. Entre em contato com o suporte do IdP com a mensagem de erro e os detalhes da configuração do IdP. |
| O NameID está faltando na asserção SAML, que é necessária para o login. | Atualize o IdP para incluir NameID nas afirmações. Entre em contato com o suporte do IdP com a mensagem de erro, os detalhes da configuração do IdP e a configuração do mapeamento de atributos SAML. |
| Não foi possível inicializar a solicitação SAML. O Databricks não pôde criar uma solicitação SAML para retransmitir ao IdP, possivelmente devido a um ID de entidade ou URL SSO incorreto ou ausente. | Certifique-se de que a configuração no Databricks corresponda ao IdP. Verifique o ID da entidade (ID ou URL do emissor do IdP) e o URL do SSO. Entre em contato com o suporte da Databricks e do IdP com a mensagem de erro e os detalhes da configuração do IdP. |
| Falha na validação da resposta SAML. A Databricks não pôde validar a resposta SAML do IdP. | Examine a resposta SAML e analise o erro de validação. Entre em contato com o suporte do IdP com a mensagem de erro, a resposta SAML e a mensagem de erro de validação. |