Configurar SSO para seu espaço de trabalho

Este artigo mostra como configurar o logon único (SSO) para autenticar nos workspaces do Databricks usando o provedor de identidade da sua organização.

Observação

O SSO no nível workspacesó pode ser configurado quando o login unificado está desabilitado. Quando o login unificado está habilitado em um workspace, o workspace usa a mesma configuração de SSO da sua account. A Databricks recomenda habilitar o login unificado para todos workspace. Consulte Login unificado.

Visão geral da configuração do SSO do workspace

O logon único (SSO) no nível workspacepermite que você autentique seus usuários no seu workspace do Databricks usando o provedor de identidade da sua organização. O SSO para usuários do workspace requer o protocolo SAML 2.0 .

Observação

que não estejam na versão E2 da plataforma Databricks default para a versão 1 do SAML. Para atualizar um workspace para usar a versão 2, entre em contato com a equipe da Databricks account.

O SSO no nível do workspace só pode ser configurado quando o login unificado estiver desabilitado.

Login unificado

Visualização

O login unificado está atualmente em visualização pública para account criadas antes de 21 de junho de 2023. O login unificado está geralmente disponível para account criadas após 21 de junho de 2023.

O login unificado permite que você gerencie uma configuração de SSO em sua account que é usada para a account e workspace do Databricks. Quando o SSO estiver ativado em sua account, você poderá optar por ativar o login unificado para todos workspace ou para os workspace selecionados. workspace de login unificado usa a configuração de SSO no nível account , e todos os usuários, incluindo administradores account e workspace , devem entrar no Databricks usando SSO. Você não pode gerenciar o SSO separadamente no nível workspaceem um workspace habilitado para login unificado. A Databricks recomenda que você habilite o login unificado para todos workspace.

Se sua account foi criada depois de 21 de junho de 2023, o login unificado estará habilitado em sua account por default para todos workspace, novos e existentes, e não poderá ser desabilitado.

Para ativar o login unificado, consulte Configurar o SSO na consola da sua conta Databricks.

Exemplos de aplicativos SSO do Workspace

Você pode ler as instruções sobre como configurar o SSO para os seguintes provedores de identidade:

O processo é semelhante para qualquer provedor de identidade compatível com SAML 2.0. Se o seu provedor de identidade não estiver listado acima, siga as instruções abaixo.

Ativar logon único no nível do espaço de trabalho

O SSO no nível workspacesó pode ser configurado quando o login unificado está desabilitado. Consulte Login unificado.

Aviso

Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console da account aberto em uma janela diferente do navegador.

  1. Acesse as configurações de administrador do workspace e selecione a Identidade e acesso tab.

  2. Clique em gerenciar próximo às configurações de SSO.

  3. Vá para o seu provedor de identidade e crie um aplicativo Databricks com a informação no campo URL SAML do Databricks .

    URL SAML
  4. No campo Fornecer as informações do provedor de identidade , cole as informações do seu provedor de identidade no Databricks SSO.

  5. (Opcional) Ative a criação automática de usuário, selecione Permitir criação automática de usuário. A criação automática de usuário permite que os usuários no provedor de identidade façam login no workspace. Se account do usuário ainda não existir no Databricks, uma nova account será provisionada para ele no login. Isso também é conhecido como provisionamento just-in-time (JIT). A criação automática de usuários não associa usuários a grupos.

  6. Se você estiver configurando a passagem de credenciais do IAM com a federação SAML 2.0, selecione Permitir sincronização automática de direitos IAM role .

    tabSSO
  7. Clique em Ativar SSO.

Processo de login do espaço de trabalho

Quando o login unificado está ativado, o comportamento de login é o seguinte:

  • Todos os usuários, incluindo administradores, devem entrar no workspace de login unificado usando SSO. Eles não podem fazer login usando seu nome de usuário e senha.

  • Todos os usuários da API podem usar seu nome de usuário e senha para fazer chamadas de API REST. Databricks recomenda usar access token pessoal em vez disso.

    Observação

    Se a sua account foi criada depois de 21 de junho de 2023 e você deseja impedir que os usuários usem seu nome de usuário e senha para autenticação, entre em contato com a equipe da sua account do Databricks.

Quando o login unificado está desabilitado e o SSO no nível do workspace está habilitado, o comportamento default login é o seguinte:

  • Os utilizadores não administradores devem iniciar sessão no Databricks utilizando SSO. Eles não podem fazer login usando seu nome de usuário e senha.

  • os usuários administradores workspace podem entrar com SSO ou com seu nome de usuário e senha.

  • Os usuários da API podem usar seu nome de usuário e senha para fazer chamadas de API REST. Databricks recomenda usar access token pessoal em vez disso.

Se a sua account Databricks estiver no plano Premium ou acima e o login unificado estiver desabilitado, você poderá limitar a capacidade dos usuários administradores do espaço de trabalho e dos usuários da API de se autenticarem usando seu nome de usuário e senha configurando permissões usando o controle de acesso por senha, consulte Permissões de senha.

Para saber mais sobre o processo de login na conta quando o SSO está habilitado, consulte Processo de login na conta.

Migrar usuários existentes para SSO

Observação

Quando a criação automática de usuário estiver habilitada e o endereço de email atual de um usuário (nome de usuário) com Databricks for o mesmo que no provedor de identidade, a migração será automática e você poderá pular esta passo.

Se o endereço email de um utilizador com o fornecedor de identidade for diferente daquele com Databricks, então um novo utilizador baseado no email do fornecedor de identidade aparecerá em Databricks quando iniciar sessão. Como os usuários não administradores não poderão mais fazer login usando o endereço email e a senha antigos, eles não poderão acessar os arquivos na pasta Usuários existente.

Recomendamos as seguintes passos para migrar arquivos de sua antiga pasta de usuários para sua nova pasta de usuários:

  1. Um administrador do workspace pode remover o usuário antigo. Isso marca o diretório da pasta do usuário como extinto e o diretório seguirá todos os usuários ativos na lista de pastas workspace . Todos Notebook e bibliotecas ainda poderão ser acessados pelos administradores workspace . Todos os clusters e Job criados pelo usuário permanecerão como estão. Se o usuário tiver quaisquer outras ACLs definidas, ativar o SSO fará com que elas sejam Reset e o administrador workspace deverá definir manualmente essas ACLs para o novo usuário.

  2. O administrador workspace pode mover a pasta do usuário antigo para a nova, conforme mostrado na figura a seguir.

    movimento SSO

Solução de problemas

A Databricks recomenda a instalação da extensão SAML Tracer para Chrome ou Firefox. O SAML Tracer permite que o senhor examine a solicitação SAML enviada do Databricks para o IdP e a resposta SAML enviada do IdP para o Databricks.

Se não conseguir resolver o seu problema utilizando as seguintes dicas de resolução de problemas, contacte a equipa de suporte do Databricks.

Verifique a versão e URL do SSO

  1. Vá para as configurações de administrador e clique na Identidade e acesso tab.

  2. Clique em gerenciar próximo às configurações de SSO.

  3. Verifique a versão do SSO, que está entre parênteses ao lado de Single Sign On.

  4. Verifique a URL SAML do Databricks. Você fornece esse URL ao IdP. Essa URL muda se você atualizar seu workspace para a versão E2 da plataforma Databricks ou se seu workspace for atualizado para SSO versão 2.

Verifique se a resposta SAML está assinada

Se a resposta SAML não for assinada, o login pode falhar com um erro como We encountered an error logging you in. Databricks support has been alerted and will begin looking into this issue right away.

Siga estes passos com o SAML Tracer instalado em seu navegador.

  1. Em uma janela anônima, abra o SAML Tracer acessando Ferramentas > SAML Tracer.

  2. Vá para o workspace Databricks e tente fazer logs in usando o SSO.

  3. No SAML Tracer, vá para a tab Resposta .

    • Se a resposta for assinada, o elemento <saml2p:Response> possui um elemento filho <ds:signature> . Se a resposta não for assinada, configure seu IdP para assinar a resposta SAML. Para obter detalhes sobre como configurar seu IdP, siga o link para seu IdP nos exemplos de aplicativos SSOworkspace .