Pular para o conteúdo principal

Configurar o SSO usando SAML

Este artigo mostra como configurar o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando SAML. Para obter uma demonstração da configuração do SAML SSO com o Okta, consulte Proteger seu acesso ao Databricks com SAML SSO.

Para obter uma visão geral do single sign-on no site account, consulte Configurar SSO em Databricks.

Habilitar o SSO usando SAML

As instruções a seguir descrevem como usar o SAML 2.0 para autenticar usuários do console da conta.

atenção

Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em outra janela do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.

  1. Veja a página SSO do console da conta e copie o URL SAML:

    1. account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.
      1. Clique em Authentication (Autenticação ) tab.
      2. Ao lado de Authentication (Autenticação ), clique em gerenciar .
      3. Escolha Login único com meu provedor de identidade .
      4. Clique em "Continuar" .
      5. Em Identity protocol (Protocolo de identidade ), selecione SAML 2.0 .
      6. Copie o valor no campo Databricks Redirect URL . O senhor precisará do URL SAML da Databricks para uma etapa posterior.

    Configurar o SAML SSO.

  2. Em outra janela ou tab do navegador, crie um aplicativo Databricks em seu provedor de identidade:

    1. Acesse seu provedor de identidade (IdP).

    2. Crer um novo aplicativo cliente (web):

      • Use a documentação do seu provedor de identidade conforme necessário.
      • Para o campo URL SAML (que pode ser chamado de URL de redirecionamento), use o URL SAML do Databricks que você copiou da página Databricks.
    3. Copie os seguintes objetos e campos de seu novo aplicativo Databricks:

      • O certificado x.509 : um certificado digital fornecido por seu provedor de identidade para proteger as comunicações entre o Databricks e o provedor de identidade
      • O URL de logon único (SSO) do seu provedor de identidade . Esse é o URL que inicia o SSO com seu provedor de identidade. Às vezes, ele também é chamado de endpoint SAML.
      • O emissor do provedor de identidade : é o identificador exclusivo de seu provedor de identidade SAML. Às vezes, é chamado de ID da entidade ou URL do emissor.
  3. Configure sua conta do Databricks para usar seu provedor de identidade:

    1. Retorne ao navegador tab ou à janela com a página Databricks account console SSO.
    2. Digite ou cole os seguintes campos do aplicativo Databricks do seu provedor de identidade: o URL de logon único, o ID da entidade do provedor de identidade e o certificado x.509.
    3. Clique em Salvar .
    4. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
    5. Clique em Habilitar SSO para habilitar o login único em sua conta.
    6. Teste o login do console da conta com SSO.
  4. Conceda a todos os usuários da conta acesso ao aplicativo Databricks no seu provedor de identidade. Talvez seja necessário modificar as permissões de acesso do aplicativo.

Configurar o login unificado e adicionar usuários ao Databricks

Depois de configurar o SSO, o Databricks recomenda que o senhor configure o login unificado e adicione usuários ao seu account usando o SCIM provisionamento.

  1. Configurar o login unificado

    O login unificado permite que o senhor use a configuração do console account SSO no seu espaço de trabalho Databricks. Se o seu account foi criado depois de 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho e não pode ser desativado. Para configurar o login unificado, consulte Habilitar login unificado.

  2. Adicionar usuários ao Databricks

    O senhor deve adicionar usuários a Databricks para que eles possam acessar log in. Databricks Recomenda-se usar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.

Substituir um certificado SAML que está expirando

Quando o certificado SAML estiver expirando, o senhor precisará atualizá-lo no Databricks. Esse processo envolve a desativação temporária do SSO, a atualização do certificado e a reativação do SSO.

Quando o SSO está desativado:

  • Sua configuração de SSO não é excluída, mas o senhor pode editar as configurações.
  • Os usuários não podem usar o SSO até que ele seja reativado.
  • Os usuários com acesso de emergência podem continuar acessando log in com uma senha e MFA. Consulte Acesso de emergência para evitar bloqueios.

Para substituir um certificado SAML que está expirando, faça o seguinte:

  1. Exporte o novo XML de metadados da federação do seu provedor de identidade. Esse arquivo contém o novo certificado x.509 exigido pela Databricks.
  2. account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.
  3. Clique em Authentication (Autenticação ) tab.
  4. Ao lado de Authentication (Autenticação ), clique em gerenciar .
  5. Clique em Disable SSO (Desativar SSO ).
  6. Substitua o texto existente no campo Certificado x.509 pelo novo certificado x.509 do seu provedor de identidade.
  7. Clique em Ativar SSO .
  8. Teste o login do console da conta com SSO.

Solução de problemas de SAML SSO

A tabela a seguir lista os códigos de erro SAML que podem ser encontrados durante a autenticação SSO. Cada entrada fornece o nome do erro legível por máquina, uma explicação detalhada e as próximas etapas recomendadas para solução de problemas. Use essas informações para identificar e resolver rapidamente os problemas de autenticação do SAML em seu workspace.

Nome do erro

Detalhes

Passos seguintes

user_not_registered_error

O nome de usuário inserido não está associado a este workspace ou account.

Verifique se o usuário foi adicionado ao seu site Databricks workspace ou account. Se o provisionamento de usuários for automatizado (por exemplo, usando o SCIM), verifique se o SCIM está funcionando. Entre em contato com o suporte Databricks com a mensagem de erro, o endereço email do usuário e o registro de data e hora da tentativa de login.

saml_not_enabled

SAML A autenticação não está ativada para este Databricks workspace.

Habilite SAML nas configurações de workspace. Entre em contato com o administrador da Databricks ou com o suporte da Databricks e informe a mensagem de erro.

saml_invalid_idp_settings

Não foi possível criar a solicitação SAML devido a metadados ou configuração de IdP inválidos.

Verifique se há campos ausentes ou inválidos nos metadados do IdP. Verifique as configurações de URL do ACS e ID da entidade. Entre em contato com o suporte do IdP com a mensagem de erro, o arquivo de metadados e o URL do ACS.

saml_expired_error

A asserção SAML expirou ou ainda não é válida.

Verifique se os relógios do sistema no IdP e nos Databricks estão sincronizados (usando NTP). Entre em contato com o suporte do IdP informando a mensagem de erro, o HAR do navegador e o IdP logs.

saml_response_not_signed_error

A resposta SAML não é assinada, mas é necessária uma assinatura.

Habilite a assinatura para respostas SAML no IdP. Entre em contato com o suporte do IdP com a mensagem de erro e os detalhes da configuração do IdP.

saml_assertion_not_signed_error

A asserção SAML não é assinada, mas é necessária uma assinatura.

Certifique-se de que o IdP assine as asserções nas configurações de SAML. Entre em contato com o suporte do IdP com a mensagem de erro e os detalhes da configuração do IdP.

saml_no_signature_error

Nenhuma assinatura foi encontrada na resposta ou asserção SAML.

Garantir que as respostas ou afirmações SAML sejam assinadas. Entre em contato com o suporte do IdP com a mensagem de erro e a resposta SAML completa.

saml_invalid_signature_error

A assinatura na resposta ou asserção SAML é inválida.

Verifique se o key público correto está configurado em Databricks. Entre em contato com o suporte do IdP com a mensagem de erro e os detalhes da configuração do IdP.

saml_nameid_missing_error

O NameID está faltando na asserção SAML, que é necessária para o login.

Atualize o IdP para incluir NameID nas afirmações. Entre em contato com o suporte do IdP com a mensagem de erro, os detalhes da configuração do IdP e a configuração do mapeamento de atributos SAML.

saml_generic_request_error

Não foi possível inicializar a solicitação SAML. O Databricks não pôde criar uma solicitação SAML para retransmitir ao IdP, possivelmente devido a um ID de entidade ou URL SSO incorreto ou ausente.

Certifique-se de que a configuração no Databricks corresponda ao IdP. Verifique o ID da entidade (ID ou URL do emissor do IdP) e o URL do SSO. Entre em contato com o suporte da Databricks e do IdP com a mensagem de erro e os detalhes da configuração do IdP.

saml_generic_response_validation_error

Falha na validação da resposta SAML. A Databricks não pôde validar a resposta SAML do IdP.

Examine a resposta SAML e analise o erro de validação. Entre em contato com o suporte do IdP com a mensagem de erro, a resposta SAML e a mensagem de erro de validação.