Configurar o SSO no Databricks

Este artigo mostra como configurar o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando o provedor de identidade da sua organização. Para sincronizar usuários e grupos do seu provedor de identidade, consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM. Para permitir que os usuários acessem log in para Databricks com e-mail ou conta externa comum, como Google ou Microsoft, consulte Fazer login com email ou conta externa.

Visão geral da configuração do SSO

O SSO é compatível com o uso do SAML 2.0 ou do OpenID Connect (OIDC). Seu provedor de identidade (IdP) deve oferecer suporte a pelo menos um desses protocolos.

Depois de ativar o SSO no console account, o senhor pode ativar o login unificado . O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho, novos e existentes, e não pode ser desativado. Databricks recomenda ativar o login unificado em todos os espaços de trabalho. Para obter mais informações, consulte Habilitar login unificado.

No espaço de trabalho em que o login unificado está desativado, o senhor pode configurar o workspace-level SSO separadamente. Essa é uma configuração legada. Para obter mais informações, consulte Set up SSO for your workspace (legacy).

Quando o account-level SSO está ativado, os usuários, inclusive os administradores, devem fazer login no Databricks account e no espaço de trabalho habilitado para login unificado usando o logon único. Para evitar bloqueios, os administradores do account podem configurar o acesso de emergência para até vinte usuários. Os usuários que foram selecionados para acesso de emergência podem usar um nome de usuário e senha e um endereço de segurança key para log in. Consulte Acesso de emergência para evitar bloqueios.

Depois de ativar o SSO, o senhor deve adicionar usuários ao Databricks para que eles possam acessar o log in. Databricks Recomenda-se usar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.

O senhor pode ler as instruções genéricas sobre como configurar o SSO com OIDC ou SAML ou instruções específicas para diferentes provedores de identidade:

• Configurar o SSO usando o OIDC
• Configurar o SSO usando SAML
• SSO para Databricks com Microsoft Entra ID
• SSO para Databricks com Okta
• SSO para Databricks com OneLogin
• SSO para Databricks com o AWS IAM Identity Center
• SSO para Databricks com Keycloak
• SSO para o Databricks com o JumpCloud

As demonstrações a seguir orientam o senhor na configuração do SSO com o Okta:

• Proteja seu acesso ao Databricks com o SSO do OIDC
• Proteja seu acesso ao Databricks com SAML SSO

Habilitar login unificado

O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Quando o SSO está ativado no seu account, o senhor pode optar por ativar o login unificado para todos os espaços de trabalho ou para um espaço de trabalho selecionado. O espaço de trabalho de login unificado usa a configuração account-level SSO e todos os usuários, incluindo os administradores account e workspace, devem fazer login em Databricks usando SSO. O senhor não pode gerenciar SSO separadamente no nível workspaceem um login unificado habilitado workspace. Databricks recomenda que o senhor configure o login unificado para todos os espaços de trabalho.

Se o seu account foi criado após 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho, novos e existentes, e não pode ser desativado.

O senhor pode ativar o login unificado usando o console account ou a página de configurações de administração workspace.

Para ver uma demonstração da configuração do login unificado, consulte Login unificado.

Habilite o login unificado usando o console account

SSO deve estar ativado no site account para ativar o login unificado. Para ativar o login unificado no espaço de trabalho com conectividade privada entre os usuários e o site workspace, é necessário definir configurações adicionais. Consulte a Etapa 6: (Opcional) Configurar o PrivateLink front-end com login unificado. Databricks recomenda ativar o login unificado para todos os espaços de trabalho.

1. account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.

2. Clique em Authentication (Autenticação ) tab.

3. No login unificado , o Selected workspace é ativado por default. Defina as configurações de login unificadas usando as seguintes opções:

   • Para ativar o login unificado para um espaço de trabalho específico, selecione-o na lista de espaços de trabalho.
     • Para aplicar as configurações de login unificado ao novo espaço de trabalho, selecione Aplicar também as configurações ao espaço de trabalho recém-criado .
     • Para ativar o login unificado para todos os espaços de trabalho, novos e existentes, selecione All workspace (recomendado).

   

Habilitar o login unificado usando a página de configurações de administração do workspace

Se o login unificado for ativado em um espaço de trabalho selecionado por um administrador account, um administrador workspace poderá ativar o login unificado em seu workspace. Se o login unificado estiver ativado em todos os espaços de trabalho, a configuração de logon único não estará disponível no nível workspace.

Para ativar o login unificado no espaço de trabalho que configura o usuário para workspace conectividade privada, o senhor deve configurar etapas adicionais. Consulte a Etapa 6: (Opcional) Configurar o PrivateLink front-end com login unificado.

1. Como administrador do workspace, faça login no workspace do Databricks.
2. Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
3. Clique na guia Identidade e acesso .
4. Ao lado de SSO settings , clique em gerenciar .
5. Ao lado de Login unificado , clique em Ativar .

Atualize para o login unificado

Se estiver ativando o login unificado em um site existente workspace com workspace-level SSO configurado, faça o seguinte:

1. Configure o logon único em seu site account.

2. Certifique-se de workspace que os usuários do accountseu tenham acesso ao aplicativo de nível SSO no seu provedor de identidade.

   Conceder aos usuários acesso ao aplicativo account-level SSO não concede a eles nenhum acesso adicional em Databricks. Todos os usuários do Databricks workspace são automaticamente usuários do Databricks account. Consulte Atribuir usuários a Databricks.

3. Configure o login unificado no site workspace da seguinte forma Habilite o login unificado.

4. Teste o SSO no workspace fazendo com que um usuário do workspace faça login.

5. Desative o aplicativo workspace-level SSO em seu provedor de identidade.