Configurar SSO utilizando OIDC

info

Visualização

Esse recurso está em Public Preview.

Esta página demonstra como configurar de maneira geral o login único (SSO) para autenticar-se no console account e no espaço de trabalho Databricks utilizando OIDC. Para obter uma demonstração da configuração do OIDC SSO com Okta, consulte Proteja seu acesso ao Databricks com OIDC SSO.

Para obter uma visão geral do logon único no account, consulte Configurar SSO em Databricks.

Habilite o SSO utilizando OIDC

1. Como administrador do account, acesse log in no consoleaccount e clique no ícone Configurações na barra lateral.

2. Clique em Autenticação tab.

3. Ao lado de Autenticação , clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. Em Protocolo de identidade , selecione OpenID Connect .

7. Copie o valor no campo URL de redirecionamento do Databricks .

   

8. Acesse seu provedor de identidade e crie um novo aplicativo cliente (web), inserindo o valor da URL de redirecionamento do Databricks no campo apropriado na interface de configuração do provedor de identidade.

   Seu provedor de identidade deve ter documentação para orientar você nesse processo.

9. Copie o ID do cliente, o segredo do cliente e o URL do emissor do OpenID gerados pelo provedor de identidade para o aplicativo.

   • ID do cliente é o identificador exclusivo do aplicativo Databricks que você criou em seu provedor de identidade. Às vezes, ele é chamado de ID do aplicativo .

   • Segredo do cliente é um segredo ou senha gerado para o aplicativo Databricks que você criou. Ele é usado para conceder autorização ao Databricks com o seu provedor de identidade.

   • O URL do emissor é o prefixo do URL no qual o documento de configuração do OpenID do seu provedor de identidade pode ser encontrado. Esse documento de configuração do OpenID deve estar em {issuer-url}/.well-known/openid-configuration.

     Remova a terminação /.well-known/openid-configuration do URL. Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.

10. Retorne para a autenticação do console do Databricks account tab e insira os valores copiados do aplicativo do provedor de identidade nos campos ID do cliente , Segredo do cliente e URL do emissor OpenID .

11. Opcionalmente, insira uma reivindicação de nome de usuário se desejar utilizar uma reivindicação diferente de email como nome de usuário Databricks dos usuários. Consulte a documentação do seu provedor de identidade para obter informações específicas sobre valores de reivindicação.

    

12. Clique em Salvar .

13. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

14. Clique em Habilitar SSO para habilitar o login único em sua conta.

15. Teste o login do console da conta com SSO.

16. Conceda a todos os usuários da conta acesso ao aplicativo Databricks no seu provedor de identidade. Talvez seja necessário modificar as permissões de acesso do aplicativo.

17. Adicionar usuários ao Databricks

    É necessário adicionar usuários a Databricks para que eles possam acessar log in. Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Solução de problemas do SSO OIDC

A tabela a seguir lista os códigos de erro OIDC que podem ser encontrados durante a autenticação SSO. Cada entrada fornece o código de erro, o nome do erro legível por máquina, uma explicação detalhada e as próximas etapas recomendadas para solução de problemas. Utilize estas informações para identificar e resolver rapidamente problemas de autenticação OIDC no seu workspace.

Código de erro	Explicação	Passos seguintes
oidc_login_error	Ocorreu um erro genérico de login.	Obtenha o ID da solicitação para identificar quais solicitações falharam.
oidc_state_missing	O parâmetro " state " está ausente na resposta do IdP ou não corresponde ao que a Databricks enviou. Isso também pode ocorrer se você configurar um fluxo OIDC iniciado pelo IdP, que não é suportado. O parâmetro state ajuda a evitar a falsificação de solicitações entre sites (CSRF).	Verifique a configuração do IdP para garantir que o parâmetro state seja retornado e corresponda à solicitação.
oidc_nonce_missing	O parâmetro " nonce " está ausente da solicitação do Databricks. Isso pode acontecer se o cookie nonce expirar ou se o cookie estiver totalmente ausente. O parâmetro " nonce " impede ataques de repetição, garantindo que os tokens do IdP correspondam à solicitação iniciada por Databricks.	Inspecione o tráfego da sua rede para verificar se o nonce expirou ou se o cookie está ausente.
oidc_metadata_fetch_failure	A Databricks não conseguiu recuperar os metadados da configuração OIDC. A URL do emissor do IdP é utilizada para procurar o ponto final necessário para o fluxo OIDC.	Certifique-se de que o {issuer-url}/.well-known/openid-configuration seja válido e acessível ao público. Cada URL endpoint deve estar acessível.
oidc_received_no_code_or_token_failure	O IdP não retornou um código de autorização. Databricks É necessário este código para resgatar os tokens de identificação na próxima etapa.	Verifique se seu IdP suporta o fluxo de código de autorização do OIDC (response_type=code) e se está configurado para retornar um código de autorização. Confirme se o URI de redirecionamento e os escopos necessários estão configurados corretamente. Caso necessite de mais assistência, entre em contato com o suporte da Databricks.
oidc_code_exchange_failure	Isso normalmente ocorre quando o segredo do cliente está incorreto ou expirou. Isso também pode acontecer se o IdP retornar qualquer resposta diferente de 200.	Certifique-se de que o segredo do cliente seja válido.
oidc_code_exchange_token_missing	O código de autorização foi recebido do IdP, mas a troca de tokens subsequente não retornou os tokens de identificação esperados. Após receber o código de autorização, a próxima etapa no fluxo OIDC é obter os tokens de identificação.	Verifique a configuração do IdP. Você também pode testar manualmente o fluxo OIDC para verificar se os códigos e tokens são retornados.
oidc_generic_token_failure	Semelhante a oidc_code_exchange_token_missing, mas isso também pode ocorrer se o código de autorização for inválido, expirado ou se houver uma incompatibilidade de reivindicações (emissor, público ou nonce). Erros na validação ou decodificação do código devido a incompatibilidades de reivindicações também podem causar isso.	Verifique a configuração do IdP. Você também pode testar manualmente o fluxo OIDC para verificar se os códigos e tokens são retornados.
oidc_missing_email_claim	O IdP não enviou a reivindicação email nos tokens de identificação. Isso pode ser devido ao uso de uma declaração personalizada.	Verifique se uma declaração personalizada foi usada e verifique se ela está configurada corretamente.
oidc_auth_error	Ocorreu um erro genérico de login.	Obtenha o ID da solicitação para identificar quais solicitações falharam.
consume_sso_enabled_failure	O usuário não pode fazer login com o Google depois que o SSO é ativado.	Inicie sessão utilizando o seu URL Databricks account em vez do URL OAuth do Google para aceder ao seu account.
incr_auth_email_mismatch	Durante a criação ou exclusão de um workspace, quando não houver refresh, tokens ou GCP Incremental Auth, será solicitado que o usuário faça login novamente com as credenciais do Google.	Faça login com sua conta do Google email que corresponde ao seu Databricks account email.