Configurar SSO utilizando SAML

Esta página demonstra como configurar o logon único (SSO) para autenticação no console account e no espaço de trabalho Databricks utilizando SAML. Para obter uma demonstração sobre como configurar o SAML SSO com o Okta, consulte Proteja seu acesso ao Databricks com SAML SSO.

Para obter uma visão geral do logon único no account, consulte Configurar SSO em Databricks.

Ativar SSO usando SAML

As instruções a seguir descrevem como usar o SAML 2.0 para autenticar usuários do console da conta.

atenção

Para evitar ser bloqueado do Databricks durante o teste de login único, Databricks recomenda manter o console account aberto em uma janela diferente do navegador. Também é possível configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.

1. Veja a página SSO do console da conta e copie o URL SAML:

   1. Como administrador account , log in no consoleaccount e clique em Segurança .
      1. Clique em Autenticação tab.
      2. Ao lado de Autenticação , clique em gerenciar .
      3. Escolha Login único com meu provedor de identidade .
      4. Clique em "Continuar" .
      5. No protocolo Identidade , selecione SAML 2.0 .
      6. Copie o valor no campo URL de redirecionamento do Databricks . Você precisará da URL SAML do Databricks para uma etapa posterior.

   

2. Em outra janela ou tab do navegador, crie um aplicativo Databricks em seu provedor de identidade:

   1. Acesse seu provedor de identidade (IdP).

   2. Crer um novo aplicativo cliente (web):

      • Use a documentação do seu provedor de identidade conforme necessário.
      • Para o campo URL SAML (que pode ser chamado de URL de redirecionamento), use o URL SAML do Databricks que você copiou da página Databricks.

   3. Copie os seguintes objetos e campos de seu novo aplicativo Databricks:

      • O certificado x.509 : um certificado digital fornecido por seu provedor de identidade para proteger as comunicações entre o Databricks e o provedor de identidade
      • A URL de login único (SSO) para o seu provedor de identidade . Este é o URL que inicia o SSO com o seu provedor de identidade. Também é por vezes referido como o “ SAML ” ( endpoint).
      • O emissor do provedor de identidade : é o identificador exclusivo de seu provedor de identidade SAML. Às vezes, é chamado de ID da entidade ou URL do emissor.

3. Configure sua conta do Databricks para usar seu provedor de identidade:

   1. Retorne ao navegador tab ou à janela com o console Databricks account SSO .
   2. Digite ou cole os seguintes campos do aplicativo Databricks do seu provedor de identidade: a URL de logon único, o ID da entidade do provedor de identidade e o certificado x.509.
   3. Clique em Salvar .
   4. Clique em Testar SSO para validar se a sua configuração de SSO está funcionando corretamente. O Databricks abre uma nova janela do navegador e tenta autenticar usando seu provedor de identidade. Conclua o processo de login e revise os resultados do teste.
   5. Clique em Habilitar SSO para habilitar o login único em sua conta.
   6. Teste o login do console da conta com SSO.

4. Conceda a todos os usuários da conta acesso ao aplicativo Databricks no seu provedor de identidade. Talvez seja necessário modificar as permissões de acesso do aplicativo.

Para obter orientações detalhadas sobre testes pós-configuração, incluindo testes de login workspace , consulte Testar sua configuração SSO.

Configurar login unificado e adicionar usuários ao Databricks

Após configurar SSO, Databricks recomenda que você configure o login unificado e adicione usuários ao seu account usando SCIM provisionamento.

1. Configurar o login unificado

   O login unificado permite que você utilize a configuração do console account SSO em seu espaço de trabalho Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se você não configurou SSO antes de 12 de dezembro de 2024, o login unificado estará habilitado em seu account para todos os espaços de trabalho e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.

2. Adicionar usuários ao Databricks

   1. Habilitar o provisionamento JIT

      Databricks recomenda habilitar o JIT para adicionar automaticamente os usuários a Databricks quando eles usarem log in pela primeira vez SSO. O provisionamento JIT é ativado por default para contas criadas após 1º de maio de 2025 quando SSO é configurado. Consulte Provisionamento automático de usuários (JIT).

   2. Configurar o provisionamento do SCIM

      Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Substitua um certificado SAML que está prestes a expirar.

Quando o seu certificado SAML estiver expirando, é necessário atualizá-lo no Databricks. Este processo envolve desativar temporariamente o SSO, atualizar o certificado e, em seguida, reativar o SSO.

Quando o SSO está desativado:

• Sua configuração de SSO não foi excluída, mas você pode editar as configurações.

• Os usuários não poderão utilizar o SSO até que ele seja reativado.

• Os usuários com acesso de emergência podem continuar acessando log in com uma senha e MFA. Consulte Acesso de emergência para evitar bloqueios.

Para substituir um certificado SAML que está prestes a expirar, proceda da seguinte forma:

1. Exporte o novo XML de metadados da federação do seu provedor de identidade. Este arquivo contém o novo certificado x.509 exigido pela Databricks.
2. Como administrador account , log in no consoleaccount e clique em Segurança
3. Clique em Autenticação tab.
4. Ao lado de Autenticação , clique em gerenciar .
5. Clique em Desativar SSO .
6. Substitua o texto existente no campo Certificado x.509 pelo novo certificado x.509 do seu provedor de identidade.
7. Clique em Ativar SSO .
8. Faça um teste de login no console account com SSO para verificar se o novo certificado funciona. Para testar os passos, consulte Testar login no console account.

Solução de problemas do SSO SAML

A tabela a seguir lista os códigos de erro SAML que podem ser encontrados durante a autenticação SSO. Cada entrada fornece o nome do erro legível por máquina, uma explicação detalhada e as próximas etapas recomendadas para solução de problemas. Utilize estas informações para identificar e resolver rapidamente problemas de autenticação do SAML no seu workspace.

Nome do erro	Detalhes	Passos seguintes
user_not_registered_error	O nome de usuário inserido não está associado a este workspace ou account.	Certifique-se de que o usuário foi adicionado à sua lista de permissões de e-mail Databricks workspace ou account. Se o provisionamento de usuários for automatizado (por exemplo, usando SCIM), verifique se o SCIM está funcionando. Entre em contato com o suporte do Databricks com a mensagem de erro, o endereço email do usuário e a data e hora da tentativa de login.
saml_not_enabled	SAML A autenticação não está habilitada para este Databricks workspace.	Ative a opção “ SAML ” nas configurações de “ workspace ”. Entre em contato com o administrador do Databricks ou com o suporte do Databricks com a mensagem de erro.
saml_invalid_idp_settings	A solicitação SAML não pôde ser construída devido a metadados ou configuração inválidos do IdP.	Verifique se há campos ausentes ou inválidos nos metadados do IdP. Verifique as configurações de URL do ACS e ID da entidade. Entre em contato com o suporte do IdP com a mensagem de erro, o arquivo de metadados e o URL do ACS.
saml_expired_error	A afirmação SAML expirou ou ainda não é válida.	Verifique se os relógios do sistema no IdP e no Databricks estão sincronizados (utilizando NTP). Entre em contato com o suporte do IdP com a mensagem de erro, o HAR do navegador e o logs do IdP.
saml_response_not_signed_error	A resposta SAML não está assinada, mas é necessária uma assinatura.	Habilite a assinatura para respostas SAML no IdP. Entre em contato com o suporte do IdP com a mensagem de erro e os detalhes da configuração do IdP.
saml_assertion_not_signed_error	A afirmação SAML não está assinada, mas é necessária uma assinatura.	Certifique-se de que o IdP assina as afirmações nas configurações SAML. Entre em contato com o suporte do IdP com a mensagem de erro e os detalhes da configuração do IdP.
saml_no_signature_error	Não foi encontrada nenhuma assinatura na resposta ou afirmação SAML.	Certifique-se de que as respostas ou asserções SAML estejam assinadas. Entre em contato com o suporte do IdP com a mensagem de erro e a resposta SAML completa.
saml_invalid_signature_error	A assinatura na resposta ou afirmação SAML é inválida.	Verifique se o key público correto está configurado em Databricks. Entre em contato com o suporte do IdP com a mensagem de erro e os detalhes da configuração do IdP.
saml_nameid_missing_error	O NameID está ausente da asserção SAML, que é necessária para o login.	Atualize o IdP para incluir NameID nas afirmações. Entre em contato com o suporte do IdP com a mensagem de erro, os detalhes da configuração do IdP e a configuração do mapeamento de atributos SAML.
saml_generic_request_error	Não foi possível inicializar a solicitação SAML. O Databricks não conseguiu criar uma solicitação SAML para retransmitir ao IdP, possivelmente devido a um ID de entidade ou URL de SSO incorreto ou ausente.	Certifique-se de que a configuração no Databricks corresponde ao IdP. Verifique o ID da entidade (ID do emissor IdP ou URL) e a URL do SSO. Entre em contato com o suporte da Databricks e do IdP com a mensagem de erro e os detalhes da configuração do IdP.
saml_generic_response_validation_error	Falha na validação da resposta SAML. A Databricks não conseguiu validar a resposta SAML do IdP.	Analise a resposta SAML e verifique o erro de validação. Entre em contato com o suporte do IdP com a mensagem de erro, a resposta SAML e a mensagem de erro de validação.