設置單點登錄

單點登錄(SSO)使您能夠使用組織的標識提供程序對用戶進行身份驗證。如果您的標識提供程序支持SAML 2.0協議(或者,對於帳戶級SSO,支持OIDC協議),您可以使用Databricks SSO與您的標識提供程序集成。

帳戶級和工作空間級標識的SSO必須分開管理。

您應該在帳戶級別和工作空間級別配置到相同標識提供程序的SSO。最好在帳戶級別使用OIDC進行SSO配置。還支持SAML SSO。

帳戶級別SSO

要為帳戶控製台啟用單點登錄,請參見為Databricks帳戶控製台設置單點登錄

工作空間層SSO

您可以選擇其中一個流程作為組織中的用戶訪問Databricks工作區的方式:

  • 通過標識提供程序添加用戶並啟用自動創建用戶。如果用戶的帳戶還不存在,登錄時將為他們提供一個新帳戶。這也稱為即時(JIT)配置。自動創建用戶不會將用戶與組關聯。使用SCIM將身份提供程序中的組映射到Databricks中的組。

  • 在“數據庫”中手動添加用戶管理用戶並禁用自動創建用戶。如果用戶的帳號在Databricks中不存在,則無法單點登錄。

請注意

為Databricks提供用戶的另一種方法是使用用於跨域身份管理係統的REST api (SCIM),它通常與SSO一起使用。SCIM是用於在標識域之間自動交換用戶標識信息的標準,用於自動提供和取消用戶的配置。

不同SSO版本的要求

在Databricks上,SSO軟件是2.0或1.0版本。

  • 的工作空間Databricks平台E2版本Beplay体育安卓版本始終使用SSO 2.0版本。所有新的Databricks帳戶和大多數現有帳戶現在都是E2。因此,大多數工作區使用SSO 2.0版本。

    SSO 2.0版本要求標識提供程序對SAML響應進行加密簽名。對於某些標識提供者,這需要額外的配置。

  • Databricks平台的ST版本上的工作區默認為SamlAuthenticator的版本1,Beplay体育安卓版本但是Databricks代表可以將工作區升級到使用版本2。在工作空間升級到使用版本2之後,工作空間的SSO SAML端點URL會發生變化,您需要在IdP中更改它。如果ST工作空間升級到E2,工作空間的SSO SAML端點URL會發生變化,您需要在IdP中更改它。

    對於SSO版本1.0,簽名SAML響應是可選的,但強烈推薦使用。

如果您不確定您擁有哪種帳戶類型,請與Databricks代表聯係。

啟用單點登錄身份驗證

  1. 管理控製台並選擇SSO選項卡。

  2. 屬性中的信息創建Databricks應用程序Databricks SAML URL字段。

    SAML URL

    你可以閱讀說明如何設置:

    對於任何支持SAML 2.0的標識提供程序,該過程都是類似的。

  3. 從標識提供程序提供信息字段,在Databricks單點登錄中粘貼您的身份提供者的信息。

  4. 如果需要啟用自動創建用戶,請選中允許自動創建用戶

  5. 如果您正在配置使用SAML 2.0聯邦通過IAM憑據傳遞訪問S3中,選擇允許IAM角色授權自動同步

    SSO選項卡
  6. 點擊啟用SSO

  7. (可選)配置密碼權限使用密碼訪問控製

(可選)配置密碼訪問控製

請注意

訪問控製僅在優質及以上計劃.如果您沒有這樣的計劃,您的用戶將體驗到默認的登錄行為SSO。

默認情況下,所有admin用戶都可以通過單點登錄或用戶名密碼登錄Databricks,所有API用戶都可以通過用戶名密碼認證Databricks REST API。作為管理員,您可以通過使用密碼訪問控製配置權限來限製管理員用戶和API用戶使用其用戶名和密碼進行身份驗證的能力。

密碼有兩種權限級別:沒有權限而且可以使用可以使用授予管理員比非管理員用戶更多的能力。該表列出了每個權限的能力。

能力

沒有權限

非管理與可以使用

管理與可以使用

可以使用密碼對API進行身份驗證嗎

x

x

可以驗證到Databricks用戶界麵使用密碼

x

如果沒有權限的非admin用戶試圖使用密碼進行REST API調用,身份驗證將失敗。管理員應該確保這一點個人訪問令牌啟用並指示其用戶使用它們對api進行身份驗證。

管理用戶可以使用許可見Admin登錄選項卡登錄頁麵。他們可以選擇使用該選項卡使用用戶名和密碼登錄Databricks。

SSO admin登錄選項卡

沒有權限的管理員看不到此頁麵,必須使用SSO登錄。

配置密碼權限

請注意

介紹權限管理的操作步驟。你也可以使用權限API 2.0

  1. 管理控製台

  2. 單擊工作空間設置選項卡。

  3. 旁邊密碼使用,點擊權限設置

  4. 在“權限設置”對話框中,使用用戶或組旁邊的下拉菜單為用戶和組分配密碼權限。您還可以為“Admins”組配置權限。

  5. 點擊保存

登錄過程

啟用SSO後,您將在登錄頁麵上看到單點登錄選項。

SSO登錄

默認行為如下:

  • 非管理用戶必須使用SSO登錄Databricks;他們不能使用用戶名和密碼登錄。

  • 管理員用戶被授予可以使用密碼訪問控製權限,可以SSO或他們的用戶名和密碼登錄。

  • API用戶被授予可以使用密碼訪問控製權限,並且可以使用他們的用戶名和密碼進行REST API調用(盡管您應該鼓勵他們使用user個人訪問令牌相反)。

如果您的Databricks帳戶屬於Premium計劃或更高級別,您可以通過配置權限使用限製管理用戶和API用戶使用其用戶名和密碼進行身份驗證的能力密碼訪問控製

將現有用戶遷移到SSO

請注意

如果用戶在Databricks中的當前電子郵件地址(用戶名)與身份提供程序中的相同,則遷移將是自動的(隻要啟用了自動創建用戶),您可以跳過此步驟。

如果用戶使用身份提供商的電子郵件地址與使用Databricks的電子郵件地址不同,那麼當用戶登錄時,基於身份提供商電子郵件的新用戶將出現在Databricks中。由於非管理員用戶將不再能夠使用舊的電子郵件地址和密碼登錄,他們將無法訪問現有users文件夾中的文件。

我們推薦以下步驟將文件從舊的Users文件夾遷移到新的Users文件夾:

  1. 管理員可以刪除舊用戶。這將用戶的文件夾目錄標記為失效,並且該目錄將跟隨工作區文件夾列表中的所有活動用戶。管理員仍然可以訪問所有筆記本和圖書館。用戶創建的所有集群和作業將保持原樣。如果用戶設置了任何其他acl,啟用SSO將導致這些acl被重置,管理員必須手動為新用戶設置這些acl。

  2. 然後管理員可以將舊用戶的文件夾移動到新文件夾中,如下圖所示。

    SSO的舉動

故障排除

Databricks建議安裝SAML Tracer擴展火狐.SAML Tracer允許您檢查從Databricks發送到IdP的SAML請求和從IdP發送到Databricks的SAML響應。

如果使用以下故障排除提示無法解決問題,請與Databricks代表聯係。

驗證SSO版本和URL

  1. 在“數據庫”中,轉到SSO管理控製台頁。

  2. 驗證SSO版本,即旁邊括號中的版本單點登錄

  3. 驗證Databricks SAML URL。您向IdP提供這個URL。如果將工作空間升級到Databricks平台的E2版本,或者將工作空間升級到SSO版本2,則此URL將發生變化。Beplay体育安卓版本

驗證SAML響應是否已簽名

在瀏覽器中安裝SAML Tracer後,按照以下步驟操作。

  1. 在隱身窗口中,通過轉到打開SAML跟蹤器工具> SAML跟蹤器

  2. 轉到Databricks工作空間並嚐試使用SSO登錄。

  3. 在SAML Tracer中,轉到響應選項卡。

    • 如果響應是簽名的,則> < saml2p:響應元素有一個子元素< ds:簽名>元素。如果響應未簽名,則配置IdP為SAML響應簽名。按此鏈接查詢IdP啟用單點登錄身份驗證

    • 如果對斷言進行了簽名,則< saml:斷言>元素的子元素> < saml2p:響應元素有一個子元素< ds:簽名>元素。

驗證用戶郵箱是否區分大小寫

在“數據庫”中,用戶郵箱地址區分大小寫。假設一個用戶的電子郵件地址為john.doe@example.com在數據庫和John.Doe@example.com在IdP。登錄Databricks會以以下方式之一失敗:

  • 如果Databricks中啟用了自動創建用戶,則會創建一個新用戶,並使用這些憑據而不是現有憑據登錄。

  • 如果禁用了自動創建用戶,則登錄失敗,報錯如下我們遇到一個錯誤日誌記錄在。支持提醒而且開始問題正確的走了。

若要解決此問題,可以在“數據庫”中刪除已有用戶。如果啟用了自動創建用戶,請重新單點登錄。否則,重新創建用戶,確保電子郵件地址與IdP中的記錄完全匹配。當用戶在Databricks中存在後,必須將前一個用戶擁有的資產解歸檔並重新分配給新用戶。