SSO com o Microsoft Windows Active Directory para seu espaço de trabalho
Observação
workspace-level SSO só pode ser configurado quando o login unificado estiver desativado. Quando o login unificado é feito, o workspace usa a mesma configuração do SSO e do account. Databricks recomenda ativar o login unificado em todos os espaços de trabalho. Consulte Login unificado.
Microsoft Windows O Active Directory (AD) oferece controles de acesso baseados em identidade para uma ampla gama de produtos Microsoft. O senhor hospeda o Windows AD, seja em seu Azure tenant ou em suas instalações. Com o Windows AD, o senhor pode autenticar aplicativos de extranet de terceiros, como o Databricks, usando o Windows Active Directory Federation serviço (AD FS). O AD FS usa SAML 2.0.
Este artigo mostra como configurar o AD FS como o provedor de identidade para um site Databricks workspace. Para usar o Microsoft Entra ID (antigo Azure Active Directory) hospedado em seu Azure tenant para SSO com Databricks, consulte SSO com Microsoft Entra ID (antigo Azure Active Directory) para seu workspace.
Para configurar SSO no seu console Databricks account, consulte SSO no seu console Databricks account .
Observação
O guia a seguir é para configurar a integração do AD FS usando o serviço Windows Server 2012 R2 Active Directory Federation versão 6.3.0.0. Os clientes existentes que precisam de suporte para outras versões do AD FS ou do Azure serviço Directory podem entrar em contato com help@databricks.com . Se o senhor for um novo cliente, entre em contato com ventas@databricks.com.
Windows Normalmente, o AD usa um ID ou nome de usuário curto do funcionário como principal de autenticação, em vez de um endereço email. Quando um usuário faz login em Databricks, o diretório workspace do usuário é automaticamente anexado ao nome de usuário para criar um endereço email. Por exemplo, o nome de usuário
john.doe
pode se tornarjohn.doe@example.com
.Problemas de sincronização de horário podem levar a uma situação em que todos os logins do AD FS são invalidados. Certifique-se de que o relógio do servidor AD FS esteja atualizado.
Se estiver tendo problemas para ativar o AD FS SSO e sua organização usar vários certificados, entre em contato com Databricks em help@databricks.com (para clientes existentes) ou ventas@databricks.com (para novos clientes).
Requisitos
Instale e configure o seguinte serviço Windows:
Servidor de domínio do Windows
Windows Serviço de DNS
Microsoft IIS
Windows AD
Windows AD FS
Para obter detalhes sobre a configuração desses serviços, consulte Microsoft KB c66c7f4b-6b8f-4e44-8331-63fa85f858c2.
Instale um certificado SSL assinado para sua página de login do AD FS e a impressão digital desse certificado.
Verifique se todos os objetos de usuário no AD têm um atributo de endereço email. Isso é necessário para mapear os usuários do AD para os usuários do Databricks.
No Databricks, anote o URL do SAML.
Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.
Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).
Clique em Identity and access (Identidade e acesso ) tab.
Ao lado de SSO settings, clique em gerenciar.
Vá para Single Sign On.
Copiar o URL SAML do Databricks.
Configurar o AD FS
Nesta secção:
Configurar o serviço AD FS Federation
Vá para o console de gerenciamento do AD FS.
Clique em Edit Federation Service Properties (Editar propriedades do serviço de federação ) na barra de ação do lado direito.
Verifique se o nome e o identificador do serviço de federação correspondem à entrada do DNS para o ambiente. O exemplo a seguir não usa uma entrada de DNS personalizada:
A Databricks usa o SAML 2.0 como mecanismo de autenticação padrão. Para verificar se o serviço do AD FS é compatível com SAML 2.0, acesse AD FS > serviço > endpoint e confirme se o caminho de URL
/adfs/ls
existe.Na primeira vez que o senhor configurar o AD FS para autenticar um cliente fora da intranet corporativa, deverá ativar a autenticação de formulários da intranet.
Acesse o aplicativo AD FS Management (Gerenciamento do AD FS) > AD FS > Authentication Policies (Políticas de autenticação) > Edit Global Authentication Policy (Editar política de autenticação global).
Selecione a autenticação Intranet Forms.
Para acessar view a página SSO de sua organização, vá para
https://<your-sso-domain>.com/adfs/ls/idpinitiatedsignon
.
Configurar a relação de confiança
Para adicionar a Databricks como uma parte confiável:
Acesse AD FS > Trust Relationships > Relying Party Trusts.
Siga as instruções para criar um trust de parte confiável do AD FS.
Defina Nome de exibição como Databricks.
Se desejar, insira informações em Notes.
Clique em Avançar.
Clique em AD FS profile.
Configure um certificado para criptografia entre o AD FS e o Databricks.
Em Configure URL (Configurar URL), clique em Enable support for the SAML 2.0 WebSSO protocol (Ativar suporte para o protocolo SAML 2.0 WebSSO).
Digite o URL SAML da Databricks que você copiou em Requirements (Requisitos).
Em Configure Identifiers (Configurar identificadores), insira novamente o URL SAML da Databricks.
Clique em Add para adicionar outro identificador. Digite o URL Databricks workspace , como
https://<databricks-instance>.cloud.databricks.com
.
Ao lado de Configure Multi-factor Authentication ..., selecione I do not want to configure ....
Em Choose Issuance Authorization Rules (Selecionar regras de autorização de emissão), selecione Permit all users to access this relying party (Permitir que todos os usuários acessem essa parte confiável). Após o período de teste, o senhor pode atualizar essa configuração para permitir seletivamente que grupos ou membros do Active Directory acessem o Databricks.
Clique em Avançar.
Revise a configuração.
Deixe a opção Open the Edit Claim Rules ... selecionada e clique em Close (Fechar ) para concluir a adição da confiança da parte de retransmissão.
Mantenha essa caixa de diálogo aberta e continue a adicionar regras de reivindicação de transformação.
Adicionar regras de reivindicação de transformação
As regras de reivindicação no AD FS mapeiam objetos de usuário no Windows AD para usuários no Databricks. Para criar uma regra de reivindicação para mapear usuários com base em seus endereços email:
Se necessário, clique em Relaying Party Trusts e clique em Databricks.
Na barra de ações à direita, clique em Edit Claim Rules (Editar regras de reivindicação) e, em seguida, clique em Add Rule (Adicionar regra).
Clique em Send LDAP Attributes as Claims (Enviar atributos LDAP como reivindicações).
Defina o nome da regra de reivindicação como Outgoing Databricks LDAP email.
Defina o Attribute Store como Active Directory.
Selecione o atributo LDAP usado por sua empresa para email endereços. O endereço default é E-Mail Addresses (Endereços de e-mail). Mapeie-o para o ID do nome e o endereço de e-mail:
Clique em Concluir.
Clique em Add Rule para adicionar outra regra.
Definir a regra de reclamação padrão para transformar uma reclamação recebida.
Definir o nome da regra de reivindicação para Incoming Databricks LDAP email.
Defina o tipo de reclamação de entrada como Endereço de e-mail.
Definir o formato do ID do nome de entrada como Não especificado.
Defina o tipo de reivindicação de saída como ID do nome.
Definir o formato do ID do nome de saída como email.
Clique em Passar por todos os valores de reivindicação.
Clique em Concluir.
Clique em Apply e depois em Ok para voltar à tela principal.
Alterar a assinatura para SHA-256
Na tela AD FS Relying Party Trusts, selecione Databricks.
Clique em Properties (Propriedades ) na barra de ações.
Acesse o site Advanced tab.
Defina o algoritmo de hash seguro como SHA-256.
Copiar o certificado de serviço do AD FS
No console de gerenciamento do AD FS, acesse AD FS > serviço > Certificates.
Localize o certificado de assinatura de tokens. Clique em view Certificate na barra lateral de ações.
Clique em Details tab.
Clique em Copy to File (Copiar para arquivo).
Escolha X.509 (.CER) codificado em base-64 quando solicitado.
Abra o arquivo com o Notepad ou outro editor de texto.
Copie o texto entre
-----BEGIN CERTIFICATE-----
e-----END CERTIFICATE-----
.
(Obrigatório) Configurar a assinatura da resposta SAML
Para configurar a assinatura da resposta SAML e a asserção SAML dentro dela, use o seguinte comando do PowerShell. Se a confiança da parte confiável não for denominada Databricks, defina -TargetName
de acordo.
Set-ADFSRelyingPartyTrust -TargetName Databricks -SamlResponseSignature “MessageAndAssertion”
Para obter mais informações sobre esse requisito, consulte Verificar se a resposta do SAML está assinada.
Configure o Databricks
Como administrador do Databricks:
Acesse a página de configurações e clique em Identity and access (Identidade e acesso ) tab.
Clique em gerenciar ao lado de SSO settings.
Defina o URL de logon único como
https://<your-sso-domain>.com/adfs/ls/
.Defina a ID da entidade do provedor de identidade como
https://<your-sso-domain>.com/adfs/services/trust
.Cole o certificado de Copie o certificado de serviço do AD FS no campo Certificado X.509.
Clique em Ativar SSO.
Ou então, clique em Permitir criação de usuário automático.
Teste a configuração
Em uma janela anônima do navegador, acesse seu Databricks workspace.
Clique em Single Sign On. O senhor é redirecionado para o AD FS.
Digite suas credenciais do AD FS. Se o SSO estiver configurado corretamente, o senhor será redirecionado para a Databricks.
Se o teste falhar, consulte Solução de problemas.