Configure o SSO para seu espaço de trabalho

Este artigo mostra como configurar o logon único (SSO) para autenticar o espaço de trabalho Databricks usando o provedor de identidade da sua organização. Para sincronizar usuários e grupos do seu provedor de identidade, consulte Sincronizar usuários e grupos do seu provedor de identidade.

Observação

workspace-level SSO só pode ser configurado quando o login unificado estiver desativado. Quando o login unificado está habilitado em um workspace, o workspace usa a mesma configuração do SSO que o seu account. Databricks recomenda ativar o login unificado para todos os espaços de trabalho. Consulte Login unificado.

Visão geral da configuração do SSO do espaço de trabalho

workspaceO single sign-on de nível único (SSO) permite que o senhor autentique os usuários no seu Databricks workspace usando o provedor de identidade da sua organização. SSO para usuários do workspace requer o protocolo SAML 2.0.

Observação

que não estejam na versão E2 da plataforma Databricks default para a versão 1 de SAML. Para atualizar um workspace para usar a versão 2, entre em contato com a equipe do Databricks account .

O SSO no nível do workspace só pode ser configurado quando o login unificado estiver desabilitado.

Login unificado

Visualização

O login unificado está atualmente em Public Preview para contas criadas antes de 21 de junho de 2023. O login unificado geralmente está disponível para contas criadas após 21 de junho de 2023.

O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Quando o SSO está ativado no seu account, o senhor pode optar por ativar o login unificado para todos os espaços de trabalho ou para os espaços de trabalho selecionados. O espaço de trabalho de login unificado usa a configuração account-level SSO e todos os usuários, incluindo os administradores account e workspace, devem fazer login em Databricks usando SSO. O senhor não pode gerenciar SSO separadamente no nível workspaceem um login unificado habilitado workspace. Databricks recomenda que o senhor ative o login unificado para todos os espaços de trabalho.

Se o seu account foi criado depois de 21 de junho de 2023, o login unificado é ativado no seu account por default para todos os espaços de trabalho, novos e existentes, e não pode ser desativado.

Para ativar o login unificado, consulte SSO no console da sua conta Databricks.

Exemplos de aplicativos do Workspace SSO

Você pode ler as instruções sobre como configurar o SSO para os seguintes provedores de identidade:

• SSO com Microsoft Windows Active Directory para seu workspace
• Configurar AWS SSO para seu workspace
• SSO com Microsoft Entra ID (anteriormente Azure Active Directory) para o senhor workspace
• SSO com Google Workspace (GSuite) para seu workspace
• Configurar SSO com Okta para seu workspace
• Configurar SSO com OneLogin para seu workspace
• Configurar SSO com Ping Identity para seu workspace

O processo é semelhante para qualquer provedor de identidade compatível com SAML 2.0. Se o seu provedor de identidade não estiver listado acima, siga as instruções abaixo.

Habilitar o logon único no nível do espaço de trabalho

workspace-level SSO só pode ser configurado quando o login unificado estiver desativado. Consulte Login unificado.

Aviso

Para evitar ser bloqueado no Databricks durante os testes de login único, o Databricks sugere manter o console da conta aberto em uma janela de navegador separada.

1. Acesse as workspace configurações de administrador do site e selecione Identidade e acesso tab.

2. Clique em gerenciar ao lado de SSO settings.

3. Acesse seu provedor de identidade e crie um aplicativo Databricks com as informações no campo Databricks SAML URL.

   

4. No campo Fornecer as informações do prov edor de identidade, cole as informações de seu provedor de identidade no endereço Databricks SSO.

5. (Opcional) Habilite a criação automática de usuários; selecione Allow auto user creation (Permitir criação automática de usuários). A criação automática de usuários permite que os usuários do provedor de identidade façam login no site workspace. Se o endereço account do usuário ainda não existir em Databricks, um novo account será provisionado para ele no momento do login. Isso também é conhecido como provisionamento just-in-time (JIT). A criação automática de usuários não associa usuários a grupos.

6. Se estiver configurando a passagem de credenciais do IAM com a federação SAML 2.0, selecione Allow IAM role entitlement auto sync (Permitir sincronização automática de direitos de função do IAM).

   

7. Clique em Ativar SSO.

Processo de login no espaço de trabalho

Quando o login unificado está ativado, o comportamento de login é o seguinte:

• Todos os usuários, inclusive os administradores, devem entrar no espaço de trabalho com login unificado usando SSO. Eles não podem fazer login usando seu nome de usuário e senha.

• Todos os usuários da API podem usar seu nome de usuário e senha para fazer chamadas à API REST. Databricks recomenda o uso do site pessoal access tokens.

  Observação

  Se o seu account foi criado após 21 de junho de 2023 e o senhor deseja impedir que os usuários usem seu nome de usuário e senha para autenticação, entre em contato com a equipe do Databricks account .

Quando o login unificado está desativado e o workspace-level SSO está ativado, o comportamento do login default é o seguinte:

• Os usuários não administradores devem fazer login no Databricks usando o SSO. Eles não podem fazer login usando seu nome de usuário e senha.

• workspace Os usuários administradores podem fazer login com SSO ou com seu nome de usuário e senha.

• Os usuários da API podem usar seu nome de usuário e senha para fazer chamadas à API REST. Databricks recomenda o uso do site pessoal access tokens.

Se o seu Databricks account estiver no plano Premium ou acima e o login unificado estiver desativado, é possível limitar a capacidade dos usuários administradores do workspace e dos usuários do API de se autenticarem usando seu nome de usuário e senha configurando as permissões usando o controle de acesso por senha, consulte Permissões de senha.

Para saber mais sobre o processo de login do account quando o SSO está ativado, consulte o processo de login doaccount .

Migrar os usuários existentes para o SSO

Observação

Quando a criação automática de usuário estiver habilitada e o endereço de email atual de um usuário (nome de usuário) com Databricks for o mesmo que no provedor de identidade, a migração será automática e você poderá pular esta passo.

Se o endereço email de um usuário no provedor de identidade for diferente do endereço Databricks, um novo usuário baseado no provedor de identidade email aparecerá em Databricks quando ele fizer login. Como os usuários não administradores não poderão mais fazer login usando o endereço email e a senha antigos, eles não poderão acessar os arquivos na pasta Users existente.

Recomendamos as seguintes passos para migrar arquivos de sua antiga pasta de usuários para sua nova pasta de usuários:

1. Um administrador do workspace pode remover o usuário antigo. Isso marca o diretório de pastas do usuário como extinto e o diretório seguirá todos os usuários ativos na lista de pastas workspace. Todos os Notebooks e bibliotecas ainda poderão ser acessados pelos administradores do site workspace. Todos os clusters e trabalhos criados pelo usuário permanecerão como estão. Se o usuário tiver outras ACLs definidas, a ativação do SSO fará com que elas sejam Reset, e o administrador do workspace deverá definir manualmente essas ACLs para o novo usuário.

2. O administrador do workspace pode então mover a pasta do usuário antigo para a nova pasta, conforme mostrado na figura a seguir.

   

Solução de problemas

A Databricks recomenda a instalação da extensão SAML Tracer para Chrome ou Firefox. O SAML Tracer permite que o senhor examine a solicitação SAML enviada do Databricks para o IdP e a resposta SAML enviada do IdP para o Databricks.

Se não conseguir resolver o problema usando as dicas de solução de problemas a seguir, entre em contato com a equipe de suporte da Databricks.

Verificar a versão e o URL do SSO

1. Vá para as configurações de administrador e clique em Identity and access (Identidade e acesso ) tab.

2. Clique em gerenciar ao lado de SSO settings.

3. Verifique a versão do site SSO, que está entre parênteses ao lado de Single Sign On.

4. Verifique o URL SAML da Databricks. O senhor fornece esse URL ao IdP. Esse URL será alterado se o senhor atualizar o site workspace para a versão E2 da plataforma Databricks ou se o site workspace for atualizado para a versão 2 do SSO.

Verificar se a resposta SAML está assinada

Se a resposta SAML não for assinada, o login poderá falhar com um erro como We encountered an error logging you in. Databricks support has been alerted and will begin looking into this issue right away.

Siga estes passos com o SAML Tracer instalado em seu navegador.

1. Em uma janela anônima, abra o SAML Tracer acessando Tools (Ferramentas) > SAML Tracer.

2. Acesse o site Databricks workspace e tente acessar log in usando SSO.

3. Em SAML Tracer, acesse a resposta tab.

   • Se a resposta for assinada, o elemento <saml2p:Response> terá um elemento <ds:signature> filho. Se a resposta não for assinada, configure seu IdP para assinar a resposta SAML. Para obter detalhes sobre como configurar seu IdP, siga o link do seu IdP em workspace SSO exemplos de aplicativos.