SSO no console da sua conta Databricks

Este artigo mostra como configurar o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando o provedor de identidade da sua organização. Para sincronizar usuários e grupos do seu provedor de identidade, consulte Sincronizar usuários e grupos do seu provedor de identidade.

Visão geral da configuração do SSO

O SSO é compatível com o uso de SAML 2.0 ou OpenID Connect (OIDC). Seu provedor de identidade (IdP) deve ser compatível com pelo menos um desses protocolos.

Depois de ativar o SSO no console account, o senhor pode optar por ativar o login unificado. O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Se o seu account foi criado depois de 21 de junho de 2023, o login unificado é ativado no seu account por default para todos os espaços de trabalho, novos e existentes, e não pode ser desativado. Para obter mais informações, consulte Habilitar login unificado.

No espaço de trabalho em que o login unificado está desativado, o workspace-level SSO precisa ser configurado separadamente. Para obter mais informações, consulte Configurar SSO para seu workspace.

Você pode ler as instruções sobre como configurar o SSO para os seguintes provedores de identidade:

O processo é semelhante para qualquer provedor de identidade compatível com OIDC ou SAML 2.0. Se o seu provedor de identidade não estiver listado acima, siga as instruções para OIDC ou SAML.

Processo de acesso à account

Quando o account-level SSO está ativado, o comportamento de login é o seguinte:

  • Todos os usuários, inclusive os administradores, devem fazer login no Databricks account e no espaço de trabalho habilitado para login unificado usando o logon único. Os usuários que foram selecionados para acesso de emergência podem usar um nome de usuário e senha e um hardware de segurança FIDO 2 key para log in. Se o seu account foi criado antes de 21 de junho de 2023, o proprietário do account também pode fazer login no Databricks account usando seu nome de usuário e senha.

  • Os administradores de accounts podem usar seu nome de usuário e senha para fazer chamadas à API REST no nível da conta.

  • Todos os usuários podem usar seu nome de usuário e senha para fazer chamadas workspace-level REST API . A autenticação básica é herdada e não é recomendada na produção.

Para saber mais sobre o processo de login do workspace quando o SSO está ativado, consulte o processo de login doworkspace .

Habilitar o login unificado

Visualização

O login unificado está atualmente em Public Preview para contas criadas antes de 21 de junho de 2023. O login unificado geralmente está disponível para contas criadas após 21 de junho de 2023.

O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Quando o SSO está ativado no seu account, o senhor pode optar por ativar o login unificado para todos os espaços de trabalho ou para os espaços de trabalho selecionados. O espaço de trabalho de login unificado usa a configuração account-level SSO e todos os usuários, incluindo os administradores account e workspace, devem fazer login em Databricks usando SSO. O senhor não pode gerenciar SSO separadamente no nível workspaceem um login unificado habilitado workspace. Databricks recomenda que o senhor configure o login unificado para todos os espaços de trabalho.

Se o seu account foi criado depois de 21 de junho de 2023, o login unificado é ativado no seu account por default para todos os espaços de trabalho, novos e existentes, e não pode ser desativado.

O senhor pode ativar o login unificado usando o console account ou a página de configurações de administração workspace.

Habilite o login unificado usando o console da conta

SSO deve estar ativado no site account para ativar o login unificado.

  1. account Comolog in account administrador do , acesse o console e clique no ícone Settings (Configurações ) na barra lateral.

  2. Clique na guia Login único.

  3. No login unificado, clique em Get começar.

  4. Certifique-se de que todos os usuários do espaço de trabalho tenham acesso ao provedor de identidade em sua configuração account-level SSO. Clique em Confirm (Confirmar).

  5. Escolha aplicar o login unificado a All workspace ou Selected workspace. Databricks recomenda que o senhor ative o login unificado para todos os espaços de trabalho. São necessários passos adicionais para ativar o login unificado no espaço de trabalho que configura a conectividade privada de usuário paraworkspace. Veja o passo 5: (Opcional) Configure o PrivateLink front-end com login unificado.

    Se o senhor escolher Selected workspace (Espaço de trabalho selecionado), opte por aplicar as configurações ao espaço de trabalho recém-criado e selecione o espaço de trabalho existente ao qual aplicar as configurações.

  6. Clique em Salvar

Habilite o login unificado usando a página de configurações de administração do workspace

Se o login unificado for ativado em um espaço de trabalho selecionado por um administrador account, um administrador workspace poderá ativar o login unificado em seu workspace. Se o login unificado estiver ativado em todos os espaços de trabalho, a configuração de logon único não estará disponível no nível workspace.

Para ativar o login unificado no espaço de trabalho que configura o usuário para workspace conectividade privada, o senhor deve configurar os passos adicionais. Veja o passo 5: (Opcional) Configure o PrivateLink front-end com login unificado.

  1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.

  2. Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).

  3. Clique em Identity and access (Identidade e acesso ) tab.

  4. Ao lado de SSO settings, clique em gerenciar.

  5. Ao lado de Unified login (Login unificado ), clique em Enable (Ativar).

Atualizar para o login unificado

Se estiver ativando o login unificado em um site existente workspace com workspace-level SSO configurado, faça o seguinte:

  1. Configure o logon único em seu site account.

  2. Certifique-se de workspace que os usuários do accountseu tenham acesso ao aplicativo de nível SSO no seu provedor de identidade.

    Conceder aos usuários acesso ao aplicativo account-level SSO não concede a eles nenhum acesso adicional em Databricks. Todos os usuários do Databricks workspace são automaticamente usuários do Databricks account. Consulte Como os administradores atribuem usuários à conta?

  3. Configure o login unificado no site workspace da seguinte forma Habilite o login unificado.

  4. Teste o SSO no workspace fazendo com que um usuário do workspace faça login.

  5. Desative o aplicativo workspace-level SSO em seu provedor de identidade.

Configurar o acesso de emergência

Visualização

Esse recurso está em Private Preview. Para join essa visualização, entre em contato com a equipe Databricks account .

Para evitar o bloqueio, os administradores do account podem configurar o acesso de emergência para que até dez usuários façam login no Databricks por meio de autenticação multifator usando a chave de segurança. Databricks recomenda que os usuários configurem uma senha forte e pelo menos uma segurança de hardware FIDO 2 key para fazer login usando o acesso de emergência.

Para configurar o acesso de emergência:

  1. account Comolog in account administrador do , acesse o console e clique no ícone Settings (Configurações ) na barra lateral.

  2. Clique na guia Login único.

  3. Em Acesso de emergência, escolha até dez usuários que podem fazer login usando o acesso de emergência. Esses usuários devem registrar a chave de segurança.

  4. Clique em Salvar.

    Pode levar até dois minutos para que os usuários vejam a página de gerenciamento do key security.

registro de segurança key para acesso de emergência

Para registrar uma segurança key:

  1. Como um usuário com acesso de emergência, acesse log in no consoleaccount .

  2. Clique na seta para baixo ao lado do seu nome de usuário no canto superior direito.

  3. Clique em Preferências do usuário.

  4. Em Authentication (Autenticação), clique em Add key (Adicionar chave).

    O senhor precisa configurar uma senha para adicionar um key. Se ainda não tiver configurado uma senha, o senhor verá uma solicitação para Reset sua senha primeiro.

  5. Clique em Set up e siga as instruções do navegador para configurar seu key.

Depois de configurar seu key, o senhor verá uma notificação Databricks informando que a segurança key foi adicionada com sucesso.

Faça login na Databricks usando uma chave de segurança

Para fazer login usando o acesso de emergência e a segurança key:

  1. Como um usuário com acesso de emergência, acesse o consoleaccount .

  2. Clique em Sign in (Entrar) com as credenciais da Databricks.

  3. Digite seu nome de usuário e senha. Clique em Continue.

  4. Siga as instruções do navegador para usar sua segurança key.