微软Windows活动目录

Microsoft Windows活动目录(AD)为广泛的Microsoft产品提供基于身份的访问控制。您托管Windows AD,要么在Azure租户中,要么在您的场所中。使用Windows AD,您可以使用Windows Active Directory Federation Services (AD FS)对Databricks等第三方外网应用程序进行身份验证。AD FS使用SAML 2.0。

本文介绍如何将AD FS配置为Databricks的标识提供程序。若要使用Azure租户中托管的Azure Active Directory与Databricks进行SSO,请参见微软Azure活动目录

请注意

  • 本文档以Windows Server 2012 R2 Active Directory Federation Services 6.3.0.0版本为例进行介绍。需要其他版本AD FS或Azure目录服务支持的现有客户可以联系帮助@com.如果您是新客户,请联系销售@com

  • Windows AD通常使用简短的员工ID或员工用户名作为身份验证主体,而不是电子邮件地址。当用户登录Databricks时,该用户的工作空间目录会自动附加到用户名后,以创建电子邮件地址。例如,用户名john.doe可能会成为john.doe@example.com

  • 时间同步问题可能导致所有AD FS登录都失效。确保更新了AD FS服务器上的时钟。

  • 如果您在启用AD FS SSO时遇到问题,并且您的组织使用多个证书,请联系Databricks帮助@com(适用于现有客户)或销售@com(针对新客户)。

需求

  • 安装和配置以下Windows服务:

    • Windows域服务器

    • Windows DNS服务

    • Microsoft IIS

    • Windows的广告

    • Windows AD FS

    配置这些业务的详细信息请参见Microsoft KB c66c7f4b-6b8f-4e44-8331-63fa85f858c2

  • 为您的AD FS登录页面安装签名SSL证书,并为该证书安装指纹。

  • 验证AD中的所有用户对象都具有电子邮件地址属性。这是将AD用户映射到Databricks用户所必需的。

  • 在Databricks中,记录SAML URL。

    1. 作为管理员,进入管理控制台。

    2. 单点登录

    3. 复制Databricks SAML URL

配置AD FS

配置AD FS Federation服务

  1. 进入AD FS管理控制台。

    ActiveDirectory联合服务管理控制台

  2. 点击编辑联邦服务属性在右侧的操作栏。

  3. 验证联合服务名称和标识符是否与环境的DNS条目匹配。下面的例子不使用自定义DNS条目:

    编辑联邦服务属性

  4. Databricks使用SAML 2.0作为标准身份验证机制。要验证您的AD FS服务支持SAML 2.0,请转到AD FS >服务>端点并确认URL路径adfs / ls的存在。

    确认/adls/fs URL路径

  5. 第一次配置AD FS对企业内部网以外的客户端进行身份验证时,必须启用内部网表单身份验证。

    1. AD FS管理应用> AD FS >认证策略>编辑全局认证策略

    2. 选择Intranet Forms身份验证。

    内网表单认证

  6. 若要查看组织的SSO页面,请转到https:// < your-sso-domain > .com/adfs/ls/idpinitiatedsignon

配置信任关系

添加Databricks作为依赖方信任:

  1. AD FS >信任关系>依赖方信任

  2. 按照说明操作创建一个AD FS依赖方信任

  3. 显示名称

  4. 如果需要,在其中输入信息笔记

  5. 点击下一个

  6. 点击AD FS配置文件

    选择AD FS配置文件

  7. 配置AD FS与Databricks之间的加密证书。

    配置证书

    1. 配置URL,点击启用对SAML 2.0 WebSSO协议的支持

    2. 输入您复制的Databricks SAML URL需求

      配置URL

    3. 配置标识符,再次输入Databricks SAML URL。

      配置标识符

    4. 点击添加添加另一个标识符。输入Databricks工作区URL,例如https:// < databricks-instance > .cloud.www.neidfyre.com

  8. 旁边配置多因素认证…中,选择我不想配置....

    配置多因素认证

  9. 选择发行授权规则中,选择允许所有用户访问此依赖方.测试结束后,您可以更新此设置,有选择地允许Active Directory组或成员访问“数据库”。

    选择发行授权规则

    点击下一个

  10. 检查配置。

    检查配置

  11. 离开打开编辑索赔规则…选中,然后单击关闭完成添加中继方信任。

    完成添加依赖方信任

    保持对话,并继续添加转换声明规则

添加转换声明规则

AD FS中的声明规则将Windows AD中的用户对象映射到Databricks中的用户。使用实例创建基于用户邮箱地址的claim规则。

  1. 如有需要,请按传递一方信任并点击

  2. 在右侧操作栏中,单击编辑索赔规则,然后按添加规则

  3. 点击将LDAP属性作为声明发送

    将LDAP属性作为声明发送

    1. 将索赔规则名称设置为外向数据LDAP电子邮件

    2. 将属性存储设置为活动目录

    3. 选择您的公司用于电子邮件地址的LDAP属性。默认为电子邮件地址.将其映射到名字标识而且电子邮件地址

    配置索赔规则名称

  4. 点击完成

  5. 点击添加规则添加另一条规则。

  6. 索赔规则模板转换传入索赔

    添加规则

    1. 索赔规则名称Incoming Databricks LDAP邮箱

    2. 传入索赔类型电子邮件地址

    3. 入站名称ID格式未指明的

    4. 传出索赔类型名字标识

    5. 外出姓名ID格式电子邮件

  7. 点击传递所有索赔值

    传递所有索赔值

  8. 点击完成

  9. 点击然后应用Ok返回主屏幕。

修改签名为SHA-256

  1. 在“AD FS依赖方信任”界面,选择

  2. 点击属性在操作栏上。

    配置Databricks属性

  3. 先进的选项卡。

  4. 安全哈希算法sha - 256

    设置安全哈希算法

拷贝AD FS服务证书

  1. 从AD FS管理控制台转到AD FS > Service >证书

  2. 找到令牌签名证书。点击查看证书在操作侧栏中。查看证书

    1. 单击细节选项卡。

    2. 点击复制至文件

    3. 选择Base-64编码X.509 (.CER)当提示。

    4. 用记事本或其他文本编辑器打开文件。

    5. 复制之间的文本——开始证书——而且——结束证书——

(必选)配置SAML响应的签名

要配置SAML响应的签名和SAML断言,请使用以下PowerShell命令。如果您的依赖方信托没有命名,设置-TargetName相应的行动。

Set-ADFSRelyingPartyTrust -TargetName Databricks - samlresponsesignsignature " MessageAndAssertion "

有关此需求的详细信息,请参见验证SAML响应是否已签名

配置数据砖

作为Databricks管理员:

  1. 管理控制台

  2. 单点登录选项卡。

    SSO选项卡

  3. 单点登录URLhttps:// < your-sso-domain > .com/adfs/ls/

  4. 身份提供者实体IDhttps:// < your-sso-domain > .com/adfs/services/trust

  5. 将证书粘贴到拷贝AD FS服务证书证书字段。

  6. 点击启用SSO

  7. 可选,点击允许自动创建用户

测试配置

  1. 在隐身浏览器窗口中,转到Databricks工作区。

  2. 点击单点登录.您将被重定向到AD FS。

  3. 输入您的AD FS凭据。如果正确配置单点登录,则会被重定向到“数据库”。

如果测试失败,请检查故障排除