Pular para o conteúdo principal
Última atualização em

Configurar SSO utilizando SAML

info

Visualização

Esse recurso está em Public Preview.

Esta página demonstra como configurar o logon único (SSO) para autenticação no console account e no espaço de trabalho Databricks utilizando SAML. Para obter uma demonstração sobre como configurar o SAML SSO com o Okta, consulte Proteja seu acesso ao Databricks com SAML SSO.

Para obter uma visão geral do logon único no account, consulte Configurar SSO em Databricks.

Ativar SSO usando SAML

As instruções a seguir descrevem como usar o SAML 2.0 para autenticar usuários do console da conta.

  1. Veja a página SSO do console da conta e copie o URL SAML:

    1. Como administrador account , log in no consoleaccount e clique em Segurança .
      1. Clique em Autenticação tab.
      2. Ao lado de Autenticação , clique em gerenciar .
      3. Escolha Login único com meu provedor de identidade .
      4. Clique em "Continuar" .
      5. No protocolo Identidade , selecione SAML 2.0 .
      6. Copie o valor no campo URL de redirecionamento do Databricks . Você precisará da URL SAML do Databricks para uma etapa posterior.

    Configure o SAML SSO.

  2. Em outra janela ou tab do navegador, crie um aplicativo Databricks em seu provedor de identidade:

    1. Acesse seu provedor de identidade (IdP).

    2. Crer um novo aplicativo cliente (web):

      • Use a documentação do seu provedor de identidade conforme necessário.
      • Para o campo URL SAML (que pode ser chamado de URL de redirecionamento), use o URL SAML do Databricks que você copiou da página Databricks.

    3. Copie os seguintes objetos e campos de seu novo aplicativo Databricks:

      • O certificado x.509 : um certificado digital fornecido por seu provedor de identidade para proteger as comunicações entre o Databricks e o provedor de identidade
      • A URL de login único (SSO) para o seu provedor de identidade . Este é o URL que inicia o SSO com o seu provedor de identidade. Também é por vezes referido como o “ SAML ” ( endpoint).
      • O emissor do provedor de identidade : é o identificador exclusivo de seu provedor de identidade SAML. Às vezes, é chamado de ID da entidade ou URL do emissor.

  3. Configure sua conta do Databricks para usar seu provedor de identidade:

    1. Retorne ao navegador tab ou à janela com o console Databricks account SSO .
    2. Digite ou cole os seguintes campos do aplicativo Databricks do seu provedor de identidade: a URL de logon único, o ID da entidade do provedor de identidade e o certificado x.509.
    3. Clique em Salvar .
    4. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
    5. Clique em Habilitar SSO para habilitar o login único em sua conta.
    6. Teste o login do console da conta com SSO.

  4. Conceda a todos os usuários da conta acesso ao aplicativo Databricks no seu provedor de identidade. Talvez seja necessário modificar as permissões de acesso do aplicativo.

  5. Adicionar usuários ao Databricks

    1. Habilitar o provisionamento JIT

      Databricks recomenda habilitar o JIT para adicionar automaticamente os usuários à Databricks quando eles log in pela primeira vez usando SSO. O provisionamento JIT está ativado por default para contas criadas após 2 de fevereiro de 2026, quando SSO estiver configurado. Consulte Provisionamento automático de usuários (JIT).

    2. Configurar o provisionamento do SCIM

      Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Substitua um certificado SAML que está prestes a expirar.

Quando o seu certificado SAML estiver expirando, é necessário atualizá-lo no Databricks. Este processo envolve desativar temporariamente o SSO, atualizar o certificado e, em seguida, reativar o SSO.

Quando o SSO está desativado:

  • Sua configuração de SSO não foi excluída, mas você pode editar as configurações.
  • Os usuários não poderão utilizar o SSO até que ele seja reativado.

Para substituir um certificado SAML que está prestes a expirar, proceda da seguinte forma:

  1. Exporte o novo XML de metadados da federação do seu provedor de identidade. Este arquivo contém o novo certificado x.509 exigido pela Databricks.
  2. Como administrador account , log in no consoleaccount e clique em Segurança
  3. Clique em Autenticação tab.
  4. Ao lado de Autenticação , clique em gerenciar .
  5. Clique em Desativar SSO .
  6. Substitua o texto existente no campo Certificado x.509 pelo novo certificado x.509 do seu provedor de identidade.
  7. Clique em Ativar SSO .
  8. Teste o login do console da conta com SSO.

Solução de problemas do SSO SAML

A tabela a seguir lista os códigos de erro SAML que podem ser encontrados durante a autenticação SSO. Cada entrada fornece o nome do erro legível por máquina, uma explicação detalhada e as próximas etapas recomendadas para solução de problemas. Utilize estas informações para identificar e resolver rapidamente problemas de autenticação do SAML no seu workspace.

Nome do erro

Detalhes

Passos seguintes

user_not_registered_error

O nome de usuário inserido não está associado a este workspace ou account.

Certifique-se de que o usuário foi adicionado à sua lista de permissões de e-mail Databricks workspace ou account. Se o provisionamento de usuários for automatizado (por exemplo, usando SCIM), verifique se o SCIM está funcionando. Entre em contato com o suporte do Databricks com a mensagem de erro, o endereço email do usuário e a data e hora da tentativa de login.

saml_not_enabled

SAML A autenticação não está habilitada para este Databricks workspace.

Ative a opção “ SAML ” nas configurações de “ workspace ”. Entre em contato com o administrador do Databricks ou com o suporte do Databricks com a mensagem de erro.

saml_invalid_idp_settings

A solicitação SAML não pôde ser construída devido a metadados ou configuração inválidos do IdP.

Verifique se há campos ausentes ou inválidos nos metadados do IdP. Verifique as configurações de URL do ACS e ID da entidade. Entre em contato com o suporte do IdP com a mensagem de erro, o arquivo de metadados e o URL do ACS.

saml_expired_error

A afirmação SAML expirou ou ainda não é válida.

Verifique se os relógios do sistema no IdP e no Databricks estão sincronizados (utilizando NTP). Entre em contato com o suporte do IdP com a mensagem de erro, o HAR do navegador e o logs do IdP.

saml_response_not_signed_error

A resposta SAML não está assinada, mas é necessária uma assinatura.

Habilite a assinatura para respostas SAML no IdP. Entre em contato com o suporte do IdP com a mensagem de erro e os detalhes da configuração do IdP.

saml_assertion_not_signed_error

A afirmação SAML não está assinada, mas é necessária uma assinatura.

Certifique-se de que o IdP assina as afirmações nas configurações SAML. Entre em contato com o suporte do IdP com a mensagem de erro e os detalhes da configuração do IdP.

saml_no_signature_error

Não foi encontrada nenhuma assinatura na resposta ou afirmação SAML.

Certifique-se de que as respostas ou asserções SAML estejam assinadas. Entre em contato com o suporte do IdP com a mensagem de erro e a resposta SAML completa.

saml_invalid_signature_error

A assinatura na resposta ou afirmação SAML é inválida.

Verifique se o key público correto está configurado em Databricks. Entre em contato com o suporte do IdP com a mensagem de erro e os detalhes da configuração do IdP.

saml_nameid_missing_error

O NameID está ausente da asserção SAML, que é necessária para o login.

Atualize o IdP para incluir NameID nas afirmações. Entre em contato com o suporte do IdP com a mensagem de erro, os detalhes da configuração do IdP e a configuração do mapeamento de atributos SAML.

saml_generic_request_error

Não foi possível inicializar a solicitação SAML. O Databricks não conseguiu criar uma solicitação SAML para retransmitir ao IdP, possivelmente devido a um ID de entidade ou URL de SSO incorreto ou ausente.

Certifique-se de que a configuração no Databricks corresponde ao IdP. Verifique o ID da entidade (ID do emissor IdP ou URL) e a URL do SSO. Entre em contato com o suporte da Databricks e do IdP com a mensagem de erro e os detalhes da configuração do IdP.

saml_generic_response_validation_error

Falha na validação da resposta SAML. A Databricks não conseguiu validar a resposta SAML do IdP.

Analise a resposta SAML e verifique o erro de validação. Entre em contato com o suporte do IdP com a mensagem de erro, a resposta SAML e a mensagem de erro de validação.

consume_sso_enabled_failure

O usuário não pode fazer login com o Google depois que o SSO é ativado.

Inicie sessão utilizando o seu URL Databricks account em vez do URL OAuth do Google para aceder ao seu account.

incr_auth_email_mismatch

Durante a criação ou exclusão de um workspace, quando não houver refresh, tokens ou GCP Incremental Auth, será solicitado que o usuário faça login novamente com as credenciais do Google.

Faça login com sua conta do Google email que corresponde ao seu Databricks account email.