Pular para o conteúdo principal

SSO para Databricks com OneLogin

Esta página demonstra como configurar o OneLogin como provedor de identidade para login único (SSO) em seu Databricks account. O OneLogin é compatível com OpenID Connect (OIDC) e SAML 2.0. Para sincronizar usuários e grupos do OneLogin, consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

atenção

Para evitar ser bloqueado do Databricks durante o teste de login único, Databricks recomenda manter o console account aberto em uma janela diferente do navegador. Também é possível configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.

Habilite o SSO do OneLogin usando OIDC

  1. Como administrador do account, acesse log in no consoleaccount e clique no ícone Configurações na barra lateral.

  2. Clique em Autenticação tab.

  3. Ao lado de Autenticação , clique em gerenciar .

  4. Escolha Login único com meu provedor de identidade .

  5. Clique em "Continuar" .

  6. Em Protocolo de identidade , selecione OpenID Connect .

  7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

    Configure o SAML SSO.

  8. Em uma nova guia do navegador, faça login no OneLogin.

  9. Clique em Administração .

  10. Clique em Aplicativos .

  11. Clique em Adicionar aplicativo .

  12. Pesquise OpenId Connect e selecione o aplicativo OpenId Connect (OIDC) .

  13. Insira um nome e clique em Salvar .

  14. Na configuração , acesse tab, Databricks Redirecionar URL da etapa 4. É possível configurar as outras opções ou mantê-las com seus valores e default es.

  15. Na guia SSO , copie os valores ID do cliente , segredo do cliente e URL do emissor .

    • ID do cliente é o identificador exclusivo do aplicativo Databricks que você criou no OneLogin.

    • Segredo do cliente é um segredo ou senha gerado para o aplicativo Databricks que você criou. Ele é usado para conceder autorização ao Databricks com o seu provedor de identidade.

    • O URL do emissor é o URL em que você pode encontrar o documento de configuração do OpenID do OneLogin. Esse documento de configuração do OpenID deve estar em {issuer-url}/.well-known/openid-configuration.

    Remova a terminação /.well-known/openid-configuration do URL. Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.

  16. Retorne para a autenticação do console do Databricks account tab e insira os valores copiados do aplicativo do provedor de identidade nos campos ID do cliente , Segredo do cliente e URL do emissor OpenID .

  17. Opcionalmente, insira uma reivindicação de nome de usuário se desejar utilizar uma reivindicação diferente de email como nome de usuário Databricks dos usuários. Consulte a documentação do seu provedor de identidade para obter informações específicas sobre valores de reivindicação.

    Guia de login único quando todos os valores forem inseridos

  18. Clique em Salvar .

  19. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

  20. Clique em Habilitar SSO para habilitar o login único em sua conta.

  21. Teste o login do console da conta com SSO.

Configurar login unificado e adicionar usuários ao Databricks

Após configurar SSO, Databricks recomenda que você configure o login unificado e adicione usuários ao seu account usando SCIM provisionamento.

  1. Configurar o login unificado

    O login unificado permite que você utilize a configuração do console account SSO em seu espaço de trabalho Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se você não configurou SSO antes de 12 de dezembro de 2024, o login unificado estará habilitado em seu account para todos os espaços de trabalho e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.

  2. Adicionar usuários ao Databricks

    1. Habilitar o provisionamento JIT

      Databricks recomenda habilitar o JIT para adicionar automaticamente os usuários a Databricks quando eles usarem log in pela primeira vez SSO. O provisionamento JIT é ativado por default para contas criadas após 1º de maio de 2025 quando SSO é configurado. Consulte Provisionamento automático de usuários (JIT).

    2. Configurar o provisionamento do SCIM

      Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Habilite o SSO do OneLogin usando SAML

Siga estas passos para criar um aplicativo OneLogin SAML para uso com o console account do Databricks.

  1. Como administrador do account, acesse log in no consoleaccount e clique no ícone Configurações na barra lateral.

  2. Clique em Autenticação tab.

  3. Ao lado de Autenticação , clique em gerenciar .

  4. Escolha Login único com meu provedor de identidade .

  5. Clique em "Continuar" .

  6. No protocolo Identidade , selecione SAML 2.0 .

  7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

  8. Em uma nova guia do navegador, faça login no OneLogin.

  9. Clique em Administração .

  10. Clique em Aplicativos .

  11. Clique em Adicionar aplicativo .

  12. Pesquise por SAML Custom Connector (Advanced) e clique no resultado por OneLogin, Inc.

  13. Defina Nome de exibição como Databricks .

  14. Clique em Salvar . A página de informações do aplicativo é carregada. tab

  15. Clique em Configuração .

  16. Em Reunir informações necessárias , defina cada um dos campos a seguir como o URL SAML do Databricks:

    • Audiência
    • Destinatário
    • Validador de URL ACS (consumidor)
    • URL do ACS (consumidor)
    • URL de logout único
    • URL de login

  17. Defina o elemento de assinatura SAML como Ambos .

  18. Clique em Parâmetros .

  19. As credenciais definidas são configuradas pelos administradores e compartilhadas por todos os usuários .

  20. Clique em E-mail . Defina o valor como email e ative Incluir na asserção SAML .

  21. Clique na guia SSO .

  22. Copie os seguintes valores:

    • certificado x.509
    • URL do emissor
    • Ponto de extremidade SAML 2.0 (HTTP)

  23. Verifique se o elemento de assinatura SAML está definido como Resposta ou Ambos .

  24. Verifique se a afirmação Criptografar está desabilitada.

  25. Configure o Databricks na página SSO do console da conta do Databricks.

    1. Defina o menu suspenso SSO type (tipo de SSO) como SAML 2.0 .
    2. Defina o URL de login único para o endpoint SAML 2.0 do OneLogin.
    3. Defina o ID da entidade do provedor de identidade para o URL do emissor do OneLogin.
    4. Defina o Certificado x.509 para o certificado X.509 do OneLogin, incluindo os marcadores para o início e o fim do certificado.
    5. Clique em Salvar .
    6. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
    7. Clique em Habilitar SSO para habilitar o login único em sua conta.
    8. Teste o login do console da conta com SSO.

Configurar login unificado e adicionar usuários ao Databricks

Após configurar SSO, Databricks recomenda que você configure o login unificado e adicione usuários ao seu account usando SCIM provisionamento.

  1. Configurar o login unificado

    O login unificado permite que você utilize a configuração do console account SSO em seu espaço de trabalho Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se você não configurou SSO antes de 12 de dezembro de 2024, o login unificado estará habilitado em seu account para todos os espaços de trabalho e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.

  2. Adicionar usuários ao Databricks

    1. Habilitar o provisionamento JIT

      Databricks recomenda habilitar o JIT para adicionar automaticamente os usuários a Databricks quando eles usarem log in pela primeira vez SSO. O provisionamento JIT é ativado por default para contas criadas após 1º de maio de 2025 quando SSO é configurado. Consulte Provisionamento automático de usuários (JIT).

    2. Configurar o provisionamento do SCIM

      Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Última atualização em