Pular para o conteúdo principal

SSO para Databricks com Microsoft Entra ID

Este artigo mostra como configurar o Microsoft Entra ID como provedor de identidade para single sign-on (SSO) em seu Databricks account. O Microsoft Entra ID é compatível com OpenID Connect (OIDC) e SAML 2.0. Para sincronizar usuários e grupos do Microsoft Entra ID, consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.

atenção

Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em outra janela do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.

Habilitar o SSO do Microsoft Entra ID usando o OIDC

  1. account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.

  2. Clique em Authentication (Autenticação ) tab.

  3. Ao lado de Authentication (Autenticação ), clique em gerenciar .

  4. Escolha Login único com meu provedor de identidade .

  5. Clique em "Continuar" .

  6. Em Protocolo de identidade , selecione OpenID Connect .

  7. Em Authentication (Autent icação) tab , anote o valorDatabricks Redirect URL (URL de redirecionamento ).

  8. Em outro navegador tab, crie um aplicativo Entra ID Microsoft:

    1. Faça login no portal Azure como administrador.
    2. No painel Azure serviço , clique em Microsoft Entra ID , no painel esquerdo, clique em App registrations (Registros de aplicativos ).
    3. Clique em Novo registro .
    4. Digite um nome.
    5. Em Tipos de contas compatíveis , selecione: Somente contas neste diretório organizacional .
    6. Em Redirect URI , escolha web e cole o valor do URL de redirecionamento do Databricks .
    7. Clique em Registrar .

  9. Obtenha as informações necessárias no aplicativo Microsoft Entra ID:

    1. Em Fundamentos , copie o ID do aplicativo (cliente) .
    2. Clique em Endpoints .
    3. Copie o URL em Documento de metadados do OpenID Connect
    4. No painel esquerdo, clique em Certificados e segredos .
    5. Clique em + Novo segredo do cliente .
    6. Digite uma descrição e escolha uma expiração.
    7. Clique em Adicionar .
    8. Copie o valor secreto.

  10. Retorne à página Authentication Databricks account (Autenticação ) do console e insira os valores copiados do aplicativo do provedor de identidade nos campos Client ID (ID do cliente), Client secret (segredo do cliente) e OpenID issuer URL (URL do emissor do OpenID ). Remova a terminação /.well-known/openid-configuration do URL.

    Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.

  11. Opcionalmente, digite o nome de uma reivindicação na reivindicação Username (Nome de usuário ) se quiser usar uma reivindicação diferente de email como nomes de usuário do Databricks dos usuários. Para obter mais informações, consulte Personalizar uma reivindicação a ser usada para os nomes de usuário do seu account.

    Guia de login único quando todos os valores forem inseridos

  12. Clique em Salvar .

  13. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

  14. Clique em Habilitar SSO para habilitar o login único em sua conta.

  15. Teste o login do console da conta com SSO.

Configurar o login unificado e adicionar usuários ao Databricks

Depois de configurar o SSO, o Databricks recomenda que o senhor configure o login unificado e adicione usuários ao seu account usando o SCIM provisionamento.

  1. Configurar o login unificado

    O login unificado permite que o senhor use a configuração do console account SSO no seu espaço de trabalho Databricks. Se o seu account foi criado depois de 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho e não pode ser desativado. Para configurar o login unificado, consulte Habilitar login unificado.

  2. Adicionar usuários ao Databricks

    O senhor deve adicionar usuários a Databricks para que eles possam acessar log in. Databricks Recomenda-se usar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.

Habilitar o SSO do Microsoft Entra ID usando SAML

Siga estas etapas para criar um aplicativo SAML do portal do Azure que não seja da galeria para uso com o console account do Databricks.

  1. account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.

  2. Clique em Authentication (Autenticação ) tab.

  3. Ao lado de Authentication (Autenticação ), clique em gerenciar .

  4. Escolha Login único com meu provedor de identidade .

  5. Clique em "Continuar" .

  6. Em Identity protocol (Protocolo de identidade ), selecione SAML 2.0 .

  7. Em Authentication (Autent icação) tab , anote o valorDatabricks Redirect URL (URL de redirecionamento ).

    Configurar o SAML SSO.

  8. Em outro navegador tab, crie um aplicativo Entra ID Microsoft:

    1. Faça login no portal do Azure como administrador.
    2. No painel Azure serviço , clique em Microsoft Entra ID , no painel esquerdo, clique em Aplicativos empresariais . O painel Todos os aplicativos é aberto e exibe uma amostra aleatória dos aplicativos em seu Microsoft Entra ID tenant.
    3. Clique em Novo aplicativo .
    4. Clique em Criar seu próprio aplicativo .
    5. Digite um nome.
    6. Em O que você pretende fazer com seu aplicativo? , escolha Integrar qualquer outro aplicativo que você não encontre na galeria .

  9. Configure o aplicativo Microsoft Entra ID:

    1. Clique em Propriedades .

    2. Defina Assignment required como No . O site Databricks recomenda essa opção, que permite que todos os usuários façam login no site Databricks account. Os usuários devem ter acesso a este aplicativo SAML para log em seu Databricks account usando SSO.

    3. No painel de propriedades do aplicativo, clique em Configurar login único .

    4. Clique em SAML para configurar o aplicativo para autenticação SAML. O painel de propriedades SAML é exibido.

    5. Ao lado de Configuração SAML básica , clique em Editar .

    6. Defina o ID da entidade como o URL SAML da Databricks que o senhor obteve na página de configuração do SSO da Databricks.

    7. Defina o URL de resposta como o URL SAML da Databricks que o senhor obteve na página de configuração do SSO da Databricks.

    8. Ao lado de Certificado de assinatura SAML , clique em Editar .

    9. Na lista suspensa Signing Option (Opção de assinatura), selecione Sign SAML response and assertion (Assinar resposta e afirmação SAML ) e defina Signing Algorithm (Algoritmo de assinatura ) como SHA-256 para aumentar a segurança.

    10. Em Atributos & Reivindicações , clique em Editar .

    11. Defina o campo Identificador de usuário exclusivo (ID do nome) como user.mail.

    12. Em SAML Certificates , ao lado de Certificate (Base64) , clique em download . O certificado é baixado localmente como um arquivo com a extensão .cer.

    13. Abra o arquivo .cer em um editor de texto e copie o conteúdo do arquivo. O arquivo é o certificado x.509 completo para o aplicativo Microsoft Entra ID SAML.

important

  • Não o abra usando o chaveiro do macOS, que é o aplicativo padrão para esse tipo de arquivo no macOS.

  • Os dados do certificado são confidenciais.Tenha cuidado sobre onde fazer o download deles. Exclua-os do armazenamento local assim que possível.

  1. No portal do Azure, em Configurar o kit de ferramentas SAML do Microsoft Entra ID , copie e salve a URL de login e o identificador do Microsoft Entra ID .

  2. Configure o Databricks na página SSO do console da conta do Databricks.

    1. Defina o URL de logon único para o campo Microsoft Entra ID que foi chamado de URL de login .
    2. Defina o ID da entidade do provedor de identidade como o campo Microsoft Entra ID que foi chamado de Microsoft Entra ID Identifier .
    3. Defina o Certificado x.509 como o certificado x.509 do Microsoft Entra ID, incluindo os marcadores para o início e o fim do certificado.
    4. Clique em Salvar .
    5. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
    6. Clique em Habilitar SSO para habilitar o login único em sua conta.
    7. Teste o login do console da conta com SSO.

Configurar o login unificado e adicionar usuários ao Databricks

Depois de configurar o SSO, o Databricks recomenda que o senhor configure o login unificado e adicione usuários ao seu account usando o SCIM provisionamento.

  1. Configurar o login unificado

    O login unificado permite que o senhor use a configuração do console account SSO no seu espaço de trabalho Databricks. Se o seu account foi criado depois de 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho e não pode ser desativado. Para configurar o login unificado, consulte Habilitar login unificado.

  2. Adicionar usuários ao Databricks

    O senhor deve adicionar usuários a Databricks para que eles possam acessar log in. Databricks Recomenda-se usar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.

Personalize uma reivindicação a ser usada para os nomes de usuário do seu account

Em default, os nomes de usuário em Databricks são representados como o endereço email de um usuário. Se quiser atribuir nomes de usuário usando um valor diferente, o senhor pode configurar uma nova reivindicação em seu Microsoft Entra account.

  1. Em seu Microsoft Entra account, abra a página Overview (Visão geral ) do seu aplicativo.
  2. Clique em gerenciar e, em seguida, em Manifestar .
  3. Localize o acceptMappedClaims key e altere o valor para true.
  4. Clique em Salvar e retorne à página de visão geral do aplicativo.
  5. Clique em gerenciar e depois em Authentication .
  6. Em Atributos & Reivindicações , clique em Editar .
  7. Clique em Adicionar nova reivindicação e insira um nome para a reivindicação. Esse é o nome que o senhor digitará no campo de reivindicação Username (Nome de usuário ) da sua configuração de SSO da Databricks.
  8. Em Atributo de origem , selecione o atributo de ID de entrada desejado para a declaração.
  9. Clique em Salvar .
Última atualização em