为Databricks帐户控制台设置单点登录

使用单点登录(SSO)进行身份验证账户控制台使用组织的标识提供程序。帐户控制台是您管理Databricks帐户级配置的地方,包括工作空间创建、委托的AWS访问凭据、AWS存储配置和可选的客户管理vpc。

不像工作空间用户的SSO,这需要SAML 2.0,帐户控制台SSO支持使用SAML 2.0(公共预览)或OpenID连接(OIDC).您的标识提供程序(IdP)必须至少支持其中一种协议。如果您的IdP同时支持OIDC和SAML 2.0, Databricks建议您使用OIDC进行帐户控制台身份验证。

为帐户管理员启用单点登录后,所有帐户管理员都需要使用单点登录帐户控制台。只有帐户所有者可以使用他们的用户名(电子邮件地址)和密码登录。

具有单点登录身份验证的帐户控制台的行为取决于用户是否具有管理标识提供程序响应中的角色。

  • 管理角色,用户可以访问帐户控制台的管理功能,例如创建和修改工作区和工作区资源。

  • 没有管理角色,用户仅限于非管理操作,例如查看他们可以登录的工作空间列表,以及访问这些工作空间的链接。

工作区做继承帐户级别的身份验证设置。工作空间用户必须继续使用每个工作空间的工作空间级身份验证设置对工作空间进行身份验证,即使工作空间层SSO为帐户中的一个或多个工作区配置。

请注意

要使用帐户级SSO,帐户必须在Databricks平台E2版本bob体育客户端下载.所有新的Databricks帐户和大多数现有帐户现在都是E2。如果您不确定您拥有哪种帐户类型,请与Databricks代表联系。

帐户控制台单点登录应用示例

您可以阅读关于如何配置SSO到以下身份提供程序的说明:

对于任何支持OIDC或SAML 2.0的标识提供程序,该过程都是类似的。如果上面没有列出您的身份提供程序,请按照下面的说明进行OIDCSAML.Databricks建议使用OIDC进行帐户控制台身份验证。

使用OIDC启用帐户单点登录身份验证

  1. 以帐户所有者或帐户admin登录账户控制台然后点击设置图标。

  2. 单击单点登录选项卡。

  3. 从该选项卡顶部的下拉菜单中选择OpenID连接

  4. 单点登录Tab,记下Databricks重定向URI价值。

    首次打开时的单点登录选项卡

  5. 转到您的身份提供程序并创建一个新的客户端应用程序(web),输入Databricks重定向URI值在标识提供程序配置接口中的适当字段中。

    您的身份提供者应该有文档来指导您完成这个过程。

  6. 复制由身份提供程序为应用程序生成的客户机ID、客户机秘密和OpenID颁发者URL。

    • 客户机ID是在身份提供程序中创建的Databricks应用程序的唯一标识符。这有时被称为应用程序ID

    • 客户的秘密是为您创建的Databricks应用程序生成的秘密或密码。它用于将Databricks授权给您的身份提供者。

    • OpenID颁发者URL是您的身份提供者的OpenID配置文档可以找到的URL。OpenID配置文档必须在{issuer-url} / .well-known / openid-configuration

    有关示例,请参见帐户控制台单点登录应用示例

  7. 返回到Databricks帐户控制台单点登录选项卡,并输入从标识提供程序应用程序复制到客户机ID客户的秘密,OpenID颁发者URL字段。

    当所有值都已输入时,使用单点登录选项卡

  8. 点击启用SSO为您帐户中的所有用户启用单点登录。现在除帐户所有者外,所有帐户管理员都必须使用单点登录Databricks帐户控制台。

  9. 测试单点登录帐户控制台。使用帐户所有者以外的用户ID进行测试。

    单点登录选项卡

使用SAML启用帐户单点登录身份验证(公共预览)

预览

此功能已在公共预览

以下说明描述如何使用SAML 2.0对帐户控制台用户(而不是帐户所有者)进行身份验证。如果您的IdP同时支持OIDC和SAML 2.0, Databricks建议您在以下方面使用OIDC帐户控制台身份验证

  1. 查看帐户控制台单点登录页面并复制SAML URL:

    1. 以帐户所有者或帐户admin登录账户控制台然后点击设置图标。

    2. 单击单点登录选项卡。

    3. 从该选项卡顶部的下拉菜单中选择SAML 2.0

    4. 中的值Databricks SAML URL字段。后面的步骤将需要Databricks SAML URL。

      SSO SAML

  2. 在另一个浏览器窗口或选项卡中,在您的身份提供程序中创建Databricks应用程序:

    1. 请访问您的身份提供者(IdP)。

    2. 创建一个新的客户端应用程序(web):

      • 根据需要使用您的身份提供者的文档。

      • 对于SAML URL字段(可以称为重定向URL),使用从Databricks页面复制的Databricks SAML URL。

    3. 从新的Databricks应用程序复制以下对象和字段:

      • x.509证书:由身份提供者提供的数码证书,以确保Databricks与身份提供者之间的通讯安全

      • 标识提供程序的单点登录(SSO) URL.这是使用您的身份提供程序启动单点登录的URL。这有时也被称为SAML端点。

      • 标识提供程序颁发者:这是SAML标识提供程序的唯一标识符。这有时被称为实体ID或发行者URL。

    有关示例,请参见帐户控制台单点登录应用示例

  3. 设置您的Databricks帐户使用您的身份提供者:

    1. 返回到带有Databricks帐户控制台SSO页面的浏览器选项卡或窗口。

    2. 从您的身份提供者的Databricks应用程序中键入或粘贴以下字段:单点登录URL、身份提供者实体ID和x.509证书。

    3. 点击启用SSO为您帐户中的所有用户启用单点登录。现在除帐户所有者外,所有帐户管理员都必须使用单点登录Databricks帐户控制台。

    4. 测试单点登录帐户控制台。使用帐户所有者以外的用户ID进行测试。

      单点登录选项卡