Configurar o SSO usando o OIDC
Este artigo mostra como configurar, de modo geral, o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando o OIDC. Para obter uma demonstração da configuração do SSO do OIDC com o Okta, consulte Proteger seu acesso ao Databricks com o SSO do OIDC.
Para obter uma visão geral do single sign-on no site account, consulte Configurar SSO em Databricks.
Habilitar o SSO usando o OIDC
Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em outra janela do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.
-
account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.
-
Clique em Authentication (Autenticação ) tab.
-
Ao lado de Authentication (Autenticação ), clique em gerenciar .
-
Escolha Login único com meu provedor de identidade .
-
Clique em "Continuar" .
-
Em Protocolo de identidade , selecione OpenID Connect .
-
Copie o valor no campo Databricks Redirect URL .
-
Acesse o provedor de identidade e crie um novo aplicativo cliente (web), inserindo o valor do URL de redirecionamento da Databricks no campo apropriado na interface de configuração do provedor de identidade.
Seu provedor de identidade deve ter documentação para orientar você nesse processo.
-
Copie o ID do cliente, o segredo do cliente e o URL do emissor do OpenID gerados pelo provedor de identidade para o aplicativo.
-
ID do cliente é o identificador exclusivo do aplicativo Databricks que você criou em seu provedor de identidade. Às vezes, ele é chamado de ID do aplicativo .
-
Segredo do cliente é um segredo ou senha gerado para o aplicativo Databricks que você criou. Ele é usado para conceder autorização ao Databricks com o seu provedor de identidade.
-
O URL do emissor é o prefixo do URL no qual o documento de configuração do OpenID do seu provedor de identidade pode ser encontrado. Esse documento de configuração do OpenID deve estar em
{issuer-url}/.well-known/openid-configuration
.Remova a terminação
/.well-known/openid-configuration
do URL. Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo,{issuer-url}?appid=123
.
-
-
Retorne ao console Databricks account Authentication tab e insira os valores copiados do aplicativo do provedor de identidade nos campos Client ID (ID do cliente), Client secret (segredo do cliente ) e OpenID issuer URL (URL do emissor do OpenID ).
-
Opcionalmente, insira uma reivindicação de nome de usuário se quiser usar uma reivindicação diferente de
email
como nomes de usuário do Databricks dos usuários. Consulte a documentação de seu provedor de identidade para obter informações específicas sobre os valores dos sinistros. -
Clique em Salvar .
-
Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
-
Clique em Habilitar SSO para habilitar o login único em sua conta.
-
Teste o login do console da conta com SSO.
-
Conceda a todos os usuários da conta acesso ao aplicativo Databricks no seu provedor de identidade. Talvez seja necessário modificar as permissões de acesso do aplicativo.
Configurar o login unificado e adicionar usuários ao Databricks
Depois de configurar o SSO, o Databricks recomenda que o senhor configure o login unificado e adicione usuários ao seu account usando o SCIM provisionamento.
-
Configurar o login unificado
O login unificado permite que o senhor use a configuração do console account SSO no seu espaço de trabalho Databricks. Se o seu account foi criado depois de 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho e não pode ser desativado. Para configurar o login unificado, consulte Habilitar login unificado.
-
Adicionar usuários ao Databricks
O senhor deve adicionar usuários a Databricks para que eles possam acessar log in. Databricks Recomenda-se usar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.