Configurar o SSO usando o OIDC

Este artigo mostra como configurar, de modo geral, o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando o OIDC. Para obter uma demonstração da configuração do SSO do OIDC com o Okta, consulte Proteger seu acesso ao Databricks com o SSO do OIDC.

Para obter uma visão geral do single sign-on no site account, consulte Configurar SSO em Databricks.

Habilitar o SSO usando o OIDC

atenção

Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em outra janela do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.

1. account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.

2. Clique em Authentication (Autenticação ) tab.

3. Ao lado de Authentication (Autenticação ), clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. Em Protocolo de identidade , selecione OpenID Connect .

7. Copie o valor no campo Databricks Redirect URL .

   

8. Acesse o provedor de identidade e crie um novo aplicativo cliente (web), inserindo o valor do URL de redirecionamento da Databricks no campo apropriado na interface de configuração do provedor de identidade.

   Seu provedor de identidade deve ter documentação para orientar você nesse processo.

9. Copie o ID do cliente, o segredo do cliente e o URL do emissor do OpenID gerados pelo provedor de identidade para o aplicativo.

   • ID do cliente é o identificador exclusivo do aplicativo Databricks que você criou em seu provedor de identidade. Às vezes, ele é chamado de ID do aplicativo .

   • Segredo do cliente é um segredo ou senha gerado para o aplicativo Databricks que você criou. Ele é usado para conceder autorização ao Databricks com o seu provedor de identidade.

   • O URL do emissor é o prefixo do URL no qual o documento de configuração do OpenID do seu provedor de identidade pode ser encontrado. Esse documento de configuração do OpenID deve estar em {issuer-url}/.well-known/openid-configuration.

     Remova a terminação /.well-known/openid-configuration do URL. Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.

10. Retorne ao console Databricks account Authentication tab e insira os valores copiados do aplicativo do provedor de identidade nos campos Client ID (ID do cliente), Client secret (segredo do cliente ) e OpenID issuer URL (URL do emissor do OpenID ).

11. Opcionalmente, insira uma reivindicação de nome de usuário se quiser usar uma reivindicação diferente de email como nomes de usuário do Databricks dos usuários. Consulte a documentação de seu provedor de identidade para obter informações específicas sobre os valores dos sinistros.

    

12. Clique em Salvar .

13. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

14. Clique em Habilitar SSO para habilitar o login único em sua conta.

15. Teste o login do console da conta com SSO.

16. Conceda a todos os usuários da conta acesso ao aplicativo Databricks no seu provedor de identidade. Talvez seja necessário modificar as permissões de acesso do aplicativo.

Configurar o login unificado e adicionar usuários ao Databricks

Depois de configurar o SSO, o Databricks recomenda que o senhor configure o login unificado e adicione usuários ao seu account usando o SCIM provisionamento.

1. Configurar o login unificado

   O login unificado permite que o senhor use a configuração do console account SSO no seu espaço de trabalho Databricks. Se o seu account foi criado depois de 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho e não pode ser desativado. Para configurar o login unificado, consulte Habilitar login unificado.

2. Adicionar usuários ao Databricks

   O senhor deve adicionar usuários a Databricks para que eles possam acessar log in. Databricks Recomenda-se usar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.

Solução de problemas de SSO do OIDC

A tabela a seguir lista os códigos de erro do OIDC que podem ser encontrados durante a autenticação SSO. Cada entrada fornece o código de erro, o nome do erro legível por máquina, uma explicação detalhada e as próximas etapas recomendadas para solução de problemas. Use essas informações para identificar e resolver rapidamente os problemas de autenticação do OIDC em seu site workspace.

Código de erro	Explicação	Passos seguintes
oidc_login_error	Ocorreu um erro genérico de login.	Obtenha o ID da solicitação para identificar quais solicitações falharam.
oidc_state_missing	O parâmetro state está ausente na resposta do IdP ou não corresponde ao que a Databricks enviou. Isso também pode ocorrer se você configurar um fluxo OIDC iniciado pelo IdP, que não é suportado. O parâmetro state ajuda a evitar a falsificação de solicitações entre sites (CSRF).	Verifique a configuração do IdP para garantir que o parâmetro state seja retornado e corresponda à solicitação.
oidc_nonce_missing	O parâmetro nonce está faltando na solicitação do Databricks. Isso pode acontecer se o cookie nonce expirar ou se o cookie estiver totalmente ausente. O parâmetro nonce evita ataques de repetição, garantindo que os tokens do IdP correspondam à solicitação iniciada por Databricks.	Inspecione o tráfego da sua rede para verificar se o nonce expirou ou se o cookie está ausente.
oidc_metadata_fetch_failure	O Databricks não pôde recuperar metadados da configuração do OIDC. O URL do emissor do IdP é usado para procurar o ponto de extremidade necessário para o fluxo OIDC.	Certifique-se de que o {issuer-url}/.well-known/openid-configuration seja válido e acessível ao público. Cada URL de endpoint deve ser acessível.
oidc_received_no_code_or_token_failure	O IdP não retornou um código de autorização. Databricks precisa desse código para trocar por tokens de ID na próxima etapa.	Verifique se seu IdP suporta o fluxo de código de autorização do OIDC (response_type=code) e se está configurado para retornar um código de autorização. Confirme se o URI de redirecionamento e os escopos necessários estão configurados corretamente. Se precisar de mais assistência, entre em contato com o suporte da Databricks.
oidc_code_exchange_failure	Isso normalmente ocorre quando o segredo do cliente está incorreto ou expirou. Isso também pode acontecer se o IdP retornar qualquer resposta diferente de 200.	Certifique-se de que o segredo do cliente seja válido.
oidc_code_exchange_token_missing	O código de autorização foi recebido do IdP, mas a troca de tokens subsequente não retornou os tokens de ID esperados. Depois de receber o código de autorização, a próxima etapa do fluxo do OIDC é obter os tokens de ID.	Verifique a configuração do IdP. O senhor também pode testar manualmente o fluxo do OIDC para verificar se os códigos e tokens são retornados.
oidc_generic_token_failure	Semelhante a oidc_code_exchange_token_missing, mas isso também pode ocorrer se o código de autorização for inválido, expirado ou se houver uma incompatibilidade de reivindicações (emissor, público ou nonce). Erros na validação ou decodificação do código devido a incompatibilidades de reivindicações também podem causar isso.	Verifique a configuração do IdP. O senhor também pode testar manualmente o fluxo do OIDC para verificar se os códigos e tokens são retornados.
oidc_missing_email_claim	O IdP não enviou a declaração email nos tokens de ID. Isso pode ser devido ao uso de uma declaração personalizada.	Verifique se uma declaração personalizada foi usada e verifique se ela está configurada corretamente.
oidc_auth_error	Ocorreu um erro genérico de login.	Obtenha o ID da solicitação para identificar quais solicitações falharam.