SSO com Microsoft Windows Active Directory para seu espaço de trabalho

Observação

O SSO no nível workspacesó pode ser configurado quando o login unificado está desabilitado. No login unificado, seu workspace usa a mesma configuração de SSO da sua account. A Databricks recomenda habilitar o login unificado em todos workspace. Consulte Login unificado.

Microsoft Windows Active Directory (AD) fornece controles de acesso baseados em identidade para uma ampla variedade de produtos Microsoft. Você hospeda o Windows AD, seja em seu tenant do Azure ou em suas instalações. Com o Windows AD, você pode autenticar aplicativos de extranet de terceiros, como Databricks, usando o serviço Windows Active Directory Federation (AD FS). AD FS usa SAML 2.0.

Este artigo mostra como configurar o AD FS como provedor de identidade para um workspace do Databricks. Para usar o Microsoft Entra ID (anteriormente Azure Active Directory) hospedado em seu tenant do Azure para SSO com Databricks, consulte SSO com Microsoft Entra ID (anteriormente Azure Active Directory) para seu workspace.

Para configurar o SSO na sua conta do Databricks, consulte Configurar o SSO no console da sua conta do Databricks.

Observação

  • O guia a seguir é para configurar a integração do AD FS usando o serviço Windows Server 2012 R2 Active Directory Federation versão 6.3.0.0. Os clientes existentes que precisam de suporte para outras versões do serviço AD FS ou Azure Directory podem entrar em contato com help@databricks.com. Se você é um novo cliente, entre em contato com ventas@databricks.com.

  • O Windows AD normalmente usa um ID de funcionário curto ou nome de usuário de funcionário como principal de autenticação, em vez de um endereço email . Quando um usuário log in no Databricks, o diretório workspace do usuário é automaticamente anexado ao nome de usuário para criar um endereço de email. Por exemplo, o nome de usuário john.doe pode se tornar john.doe@example.com.

  • Problemas de sincronização de tempo podem levar a uma situação em que todos os logons do AD FS são invalidados. Verifique se o relógio do servidor AD FS está atualizado.

  • Se você estiver tendo problemas para habilitar o AD FS SSO e sua organização usar vários certificados, entre em contato com Databricks em help@databricks.com (para clientes existentes) ou ventas@databricks.com (para novos clientes).

Requisitos

  • Instale e configure os seguintes serviços do Windows:

    • Servidor de domínio do Windows

    • Serviço de DNS do Windows

    • Microsoft IIS

    • Windows AD

    • Windows AD FS

    Para obter detalhes sobre como configurar esses serviços, consulte Microsoft KB c66c7f4b-6b8f-4e44-8331-63fa85f858c2.

  • Instale um certificado SSL assinado para sua página de logon do AD FS e a impressão digital desse certificado.

  • Verifique se todos os objetos de usuário no AD têm um atributo de endereço email . Isso é necessário para mapear usuários do AD para usuários do Databricks.

  • No Databricks, anote a URL SAML.

    1. Como administrador do workspace, faça login no workspace do Databricks.

    2. Clique em seu nome de usuário na barra superior do workspace do Databricks e selecione Administração de configurações.

    3. Clique na Identidade e acesso tab.

    4. Ao lado de Configurações de SSO, clique em gerenciar.

    5. Vá para Single Sign On.

    6. Copie a URL SAML do Databricks.

Configurar AD FS

Configurar o serviço AD FS Federation

  1. Vá para o console de gerenciamento do AD FS.

    Consola de gestão do serviço ActiveDirectory Federation
  2. Clique em Edit Federation serviço Properties na barra de ação do lado direito.

  3. Verifique se o nome e o identificador do serviço de federação correspondem à entrada DNS do ambiente. O exemplo a seguir não usa uma entrada DNS personalizada:

    Editar propriedades do serviço de federação
  4. Databricks usa SAML 2.0 como o mecanismo de autenticação padrão. Para verificar se o serviço AD FS oferece suporte a SAML 2.0, vá para AD FS > Serviço > endpoint e confirme se o caminho da URL /adfs/ls existe.

    Confirme o caminho do URL /adls/fs
  5. Na primeira vez que você configurar o AD FS para autenticar um cliente fora de sua intranet corporativa, deverá habilitar a autenticação de formulários de intranet.

    1. Vá para o aplicativo AD FS Management > AD FS > Authentication Policies > Edit Global Authentication Policy.

    2. Selecione Autenticação de formulários de intranet.

    Autenticação de formulários de intranet
  6. Para view a página SSO da sua organização, vá para https://<your-sso-domain>.com/adfs/ls/idpinitiatedsignon.

Configurar a relação de confiança

Para adicionar Databricks como uma parte confiável:

  1. Vá para AD FS > Relacionamentos de confiança > Confianças de terceiros confiáveis.

  2. Siga as instruções para criar uma confiança de terceira parte confiável do AD FS.

  3. Defina o nome de exibição para Databricks.

  4. Se desejar, insira informações em Notas.

  5. Clique em Avançar.

  6. Clique em Perfil do AD FS.

    Selecione o perfil do AD FS
  7. Configure um certificado para criptografia entre AD FS e Databricks.

    Configurar certificado
    1. Em Configurar URL, clique em Ativar suporte para o protocolo SAML 2.0 WebSSO.

    2. Insira a URL SAML do Databricks que você copiou em Requisitos.

      Configurar URL
    3. Em Configure Identifiers, insira a URL SAML do Databricks novamente.

      Configurar identificadores
    4. Clique em Adicionar para adicionar outro identificador. Insira a URL workspace Databricks, como https://<databricks-instance>.cloud.databricks.com.

  8. Ao lado de Configure Multi-factor Authentication …, selecione I don’t want to configure ….

    Configurar autenticação multifator
  9. Em Escolher Regras de Autorização de Emissão, selecione Permitir que todos os usuários acessem esta terceira parte confiável. Após o período de teste, você pode atualizar essa configuração para permitir seletivamente que grupos ou membros do Active Directory acessem Databricks.

    Escolha as regras de autorização de emissão

    Clique em Avançar.

  10. Revise a configuração.

    Revise a configuração
  11. Deixe Open the Edit Claim Rules … selecionado e, em seguida, clique em Close para terminar de adicionar a confiança da parte de retransmissão.

    Conclua a adição da confiança da terceira parte confiável

    Mantenha esta caixa de diálogo aberta e continue em Incluir regras de declaração de transformação.

Adicionar regras de declaração de transformação

As regras de declaração no AD FS mapeiam objetos de usuário no Windows AD para usuários no Databricks. Para criar uma regra de reivindicação para mapear usuários com base em seus endereços email :

  1. Se necessário, clique em Relaying Party Trusts e clique em Databricks.

  2. Na barra de ações à direita, clique em Editar regras de declaração e clique em Adicionar regra.

  3. Clique em Enviar atributos LDAP como declarações.

    Enviar atributos LDAP como declarações
    1. Defina o Nome da Regra de Reivindicação como emailde saída do Databricks LDAP.

    2. Defina o Attribute Store como Active Directory.

    3. Selecione o atributo LDAP usado por sua empresa para endereços email . O default é Endereços de e-mail. Mapeie-o para ID de nome e endereço de e-mail:

    Configurar o nome da regra de declaração
  4. Clique em Concluir.

  5. Clique em Adicionar regra para adicionar outra regra.

  6. Defina a Regra de Reivindicação padrão para Transformar uma Reivindicação Recebida.

    Adicionar regra
    1. Defina o nome da regra de declaração como emailLDAP do Databricks de entrada.

    2. Defina o tipo de solicitação de entrada como Endereço de e-mail.

    3. Defina Formato de ID de nome de entrada como Não especificado.

    4. Defina o tipo de declaração de saída como ID do nome.

    5. Defina o formato de ID de nome de saída para email.

  7. Clique em Passar por todos os valores de declaração.

    Passar por todos os valores reivindicados
  8. Clique em Concluir.

  9. Clique em Aplicar e depois em Ok para retornar à tela principal.

Alterar assinatura para SHA-256

  1. Na tela AD FS Relying Party Trusts, selecione Databricks.

  2. Clique em Propriedades na barra de ação.

    Configurar propriedades do Databricks
  3. Vá para a tab Avançado .

  4. Defina o algoritmo de hash seguro como SHA-256.

    Definir algoritmo de hash seguro

Copie o certificado de serviço AD FS

  1. No console de gerenciamento do AD FS, vá para AD FS > serviço > Certificados.

  2. Localize o certificado de assinatura tokens . Clique em view Certificado na barra lateral de ação. view certificado

    1. Clique na tab Detalhes .

    2. Clique em Copiar para arquivo.

    3. Escolha X.509 codificado em Base 64 (.CER) quando solicitado.

    4. Abra o arquivo com o Bloco de Notas ou outro editor de texto.

    5. Copie o texto entre -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.

(Obrigatório) Configure a assinatura da resposta SAML

Para configurar a assinatura da resposta SAML e a declaração SAML dentro dela, use o seguinte comando do PowerShell. Se sua parte confiável não for nomeada Databricks, defina -TargetName de acordo.

Set-ADFSRelyingPartyTrust -TargetName Databricks -SamlResponseSignature “MessageAndAssertion”

Para obter mais informações sobre esse requisito, consulte Verificar se a resposta SAML está assinada.

Configurar Databricks

Como administrador do Databricks:

  1. Vá para a página de configurações de administrador e clique na Identidade e acesso tab.

  2. Clique em gerenciar próximo às configurações de SSO.

    tabSSO
  3. Defina o URLSingle Sign On como https://<your-sso-domain>.com/adfs/ls/.

  4. Defina o ID da entidade do provedor de identidade como https://<your-sso-domain>.com/adfs/services/trust.

  5. Cole o certificado de Copie o certificado de serviço AD FS no campo Certificado X.509 .

  6. Clique em Ativar SSO.

  7. Opcionalmente, clique em Permitir criação automática de usuário.

Teste a configuração

  1. Em uma janela anônima do navegador, vá para o workspace do Databricks.

  2. Clique Single Sign On. Você é redirecionado para o AD FS.

  3. Insira suas credenciais do AD FS. Se o SSO estiver configurado corretamente, você será redirecionado para Databricks.

Se o teste falhar, revise a Solução de problemas.