Configure o Okta para gerenciamento automático de identidades.
Visualização
Este recurso está em versão prévia privada. Para solicitar acesso, entre em contato com sua equipe account .
Esta página descreve como configurar o Okta para provisionar usuários, grupos e entidades de serviço para sua account Databricks usando o gerenciamento automático de identidades.
Antes de começar
- Você precisa ser um administrador account no Databricks.
- Você precisa ter acesso de administrador do Okta.
- Você precisa ter o Okta SSO configurado para sua account Databricks .
Passo 1: Configurar um aplicativo Okta
-
No console de administração do Okta, crie uma nova integração de aplicativo e selecione o serviçoAPI .
-
Selecione Chave pública / Chave privada como método de autenticação do cliente.
-
Conceda os seguintes escopos de API ao aplicativo:
okta.groups.readokta.users.read
-
Conceda a função de Administrador somente leitura ao aplicativo.
-
Desative o cabeçalho DPoP (Demonstrating Proof of Possession) nas solicitações.
-
Gere uma key privada para o aplicativo e salve-a em local seguro.
o passo 2: Configurar Okta no Databricks
-
Como administrador da conta, faça login no console da conta.
-
Na barra lateral, clique em Segurança .
-
Na tab Provisionamento de usuários , ao lado de Gerenciamento automático de identidade , clique em Configurar .
-
Insira os seguintes valores:
- URL da organização Okta : O URL da sua organização Okta (por exemplo,
https://your-org.okta.com) - ID do cliente : O ID do cliente do aplicativo Okta que você criou.
- keyprivada do cliente : A key privada que você gerou.
- URL da organização Okta : O URL da sua organização Okta (por exemplo,
-
Clique em Testar conexão para verificar se a integração foi bem-sucedida.
-
Quando a conexão for bem-sucedida, clique em Ativar AIM .
Problemas e limitações conhecidos
Identidades duplicadas após ativar o gerenciamento automático de identidades.
O Databricks identifica as pessoas comparando o ID de usuário ou o ID de grupo do Okta com o campo externalId dos usuários e grupos existentes no Databricks. Se uma identidade existente não tiver um ID Okta definido como seu externalId, o gerenciamento automático de identidade cria uma nova entrada, resultando em identidades duplicadas. Ambas as entradas permanecem utilizáveis com suas permissões existentes.
Se você sincronizou identidades anteriormente usando o aplicativo Okta Databricks OIN, os valores de usuário externalId normalmente são preenchidos, mas os valores de grupo externalId não são. Para resolver duplicados, use a API de contas Users, contas entidade de serviço ou contas Groups para definir o externalId em objetos existentes para o ID de usuário ou ID de grupo Okta correspondente.
Login unificado
Databricks recomenda enfaticamente a ativação do login unificado para que SSO seja consistente em toda a account e em todos os espaços de trabalho. Sem um login unificado, o gerenciamento automático de identidade pode funcionar se SSO em nível accounte em nível workspaceusarem o mesmo provedor de identidade e mapearem o mesmo campo para o nome de usuário Databricks . Se o SSO account mapear o nome de usuário do provedor de identidade, enquanto SSO workspace mapear email, e o nome de usuário e email de um usuário forem diferentes, o login criará um segundo usuário Databricks em vez de corresponder ao usuário existente.
Databricks também recomenda configurar as declarações de grupo no seu aplicativo Okta SSO para que as associações de grupo sejam incluídas nos tokens OIDC.
Alterações de e-mail ou nome de usuário no Okta
Quando o gerenciamento automático de identidade está ativado, ele provisiona um novo usuário Databricks com base na declaração de nome de usuário SSO no momento do login. Se essa declaração for alterada (por exemplo, porque email de um usuário mudou no Okta ou um administrador atualizou o mapeamento do campo de declaração de nome de usuário SSO ), o gerenciamento automático de identidade cria um novo usuário Databricks em vez de atualizar o existente. Entre em contato com o suporte da Databricks para realizar a migração do nome de usuário e alinhar o nome de usuário da Databricks com a declaração de nome de usuário atualizada do Okta SSO.
Verifique se o nome de usuário do Databricks é exclusivo antes do cadastro.
Databricks usa o nome de usuário para associar as identidades Databricks às identidades do Okta, comparando-as com o campo de login do Okta e email. A Okta garante a exclusividade apenas no campo de login, não no email. Se vários usuários do Okta compartilharem o mesmo email, ou se email de um usuário corresponder ao campo de login de outro usuário, o gerenciamento automático de identidade não poderá identificar o usuário correto de forma confiável.
Antes de ativar o gerenciamento automático de identidades, verifique se cada nome de usuário do Databricks está mapeado exclusivamente para um único usuário do Okta em todo o seu tenant do Okta.