Configurar o SSO usando o OIDC

Este artigo mostra como configurar, de modo geral, o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando o OIDC. Para obter uma demonstração da configuração do SSO do OIDC com o Okta, consulte Proteger seu acesso ao Databricks com o SSO do OIDC.

Para obter uma visão geral do single sign-on no site account, consulte Configurar SSO em Databricks.

Habilitar o SSO usando o OIDC

atenção

Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em outra janela do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.

1. account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.

2. Clique em Authentication (Autenticação ) tab.

3. Ao lado de Authentication (Autenticação ), clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. Em Protocolo de identidade , selecione OpenID Connect .

7. Copie o valor no campo Databricks Redirect URL .

   

8. Acesse o provedor de identidade e crie um novo aplicativo cliente (web), inserindo o valor do URL de redirecionamento da Databricks no campo apropriado na interface de configuração do provedor de identidade.

   Seu provedor de identidade deve ter documentação para orientar você nesse processo.

9. Copie o ID do cliente, o segredo do cliente e o URL do emissor do OpenID gerados pelo provedor de identidade para o aplicativo.

   • ID do cliente é o identificador exclusivo do aplicativo Databricks que você criou em seu provedor de identidade. Às vezes, ele é chamado de ID do aplicativo .

   • Segredo do cliente é um segredo ou senha gerado para o aplicativo Databricks que você criou. Ele é usado para conceder autorização ao Databricks com o seu provedor de identidade.

   • O URL do emissor é o prefixo do URL no qual o documento de configuração do OpenID do seu provedor de identidade pode ser encontrado. Esse documento de configuração do OpenID deve estar em {issuer-url}/.well-known/openid-configuration.

     Remova a terminação /.well-known/openid-configuration do URL. Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.

10. Retorne ao console Databricks account Authentication tab e insira os valores copiados do aplicativo do provedor de identidade nos campos Client ID (ID do cliente), Client secret (segredo do cliente ) e OpenID issuer URL (URL do emissor do OpenID ).

11. Opcionalmente, insira uma reivindicação de nome de usuário se quiser usar uma reivindicação diferente de email como nomes de usuário do Databricks dos usuários. Consulte a documentação de seu provedor de identidade para obter informações específicas sobre os valores dos sinistros.

    

12. Clique em Salvar .

13. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

14. Clique em Habilitar SSO para habilitar o login único em sua conta.

15. Teste o login do console da conta com SSO.

16. Conceda a todos os usuários da conta acesso ao aplicativo Databricks no seu provedor de identidade. Talvez seja necessário modificar as permissões de acesso do aplicativo.

Configurar o login unificado e adicionar usuários ao Databricks

Depois de configurar o SSO, o Databricks recomenda que o senhor configure o login unificado e adicione usuários ao seu account usando o SCIM provisionamento.

1. Configurar o login unificado

   O login unificado permite que o senhor use a configuração do console account SSO no seu espaço de trabalho Databricks. Se o seu account foi criado depois de 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho e não pode ser desativado. Para configurar o login unificado, consulte Habilitar login unificado.

2. Adicionar usuários ao Databricks

   O senhor deve adicionar usuários a Databricks para que eles possam acessar log in. Databricks Recomenda-se usar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.