Configurar SSO no Databricks

Esta página fornece uma visão geral sobre como utilizar o login único (SSO) para autenticar-se no console account e no espaço de trabalho Databricks. Para sincronizar usuários e grupos do seu provedor de identidade, consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Para permitir que os usuários acessem log in em Databricks com e-mail ou conta externa comum, como Google ou Microsoft, consulte Acessar com email ou conta externa.

Para obter informações sobre o nível workspace-legacy SSO, consulte Configurar SSO para o seu workspace (legacy).

Visão geral da configuração do SSO

O SSO é compatível com SAML 2.0 ou OpenID Connect (OIDC). Seu provedor de identidade (IdP) deve oferecer suporte a pelo menos um desses protocolos.

Para a maioria das contas, o login unificado é habilitado por default. Isso significa que uma única configuração SSO é utilizada em todo o seu account e em todo o espaço de trabalho Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se você não configurou SSO antes de 12 de dezembro de 2024, o login unificado será ativado automaticamente para todos os espaços de trabalho e não poderá ser desativado.

As contas criadas antes de 21 de junho de 2023 que já tinham configurado SSO no nível workspacenão têm o login unificado habilitado por default. Os administradores de conta podem habilitar o login unificado para todo o espaço de trabalho ou para um espaço específico. Databricks Recomenda-se o uso de login unificado em todo o espaço de trabalho para uma experiência de autenticação simplificada e consistente. Para obter mais informações, consulte Ativar login unificado.

Quando o nível de segurança account-level SSO está ativado, todos os usuários, incluindo administradores, devem fazer login em Databricks account e no espaço de trabalho com login unificado usando o login único. Para evitar bloqueios, os administradores do account podem configurar acesso de emergência para até 20 usuários. Os usuários selecionados para acesso de emergência podem utilizar um nome de usuário e senha, além de um key de segurança, para acessar log in. Consulte Acesso de emergência para evitar bloqueios.

Após habilitar SSO, Databricks recomenda utilizar SCIM provisionamento para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

É possível configurar o provisionamento just-in-time (JIT) para criar automaticamente uma nova conta de usuário a partir do seu provedor de identidade no primeiro login. Consulte Provisionamento automático de usuários (JIT).

É possível ler as instruções gerais sobre como configurar o SSO com OIDC ou SAML ou instruções específicas para diferentes provedores de identidade:

• Configurar SSO utilizando OIDC
• Configurar SSO utilizando SAML
• SSO para Databricks com Microsoft Entra ID
• SSO para Databricks com Okta
• SSO para Databricks com OneLogin
• SSO para Databricks com AWS IAM Identity Center
• SSO para Databricks com Keycloak
• SSO para Databricks com JumpCloud

As demonstrações a seguir orientam você na configuração do SSO com o Okta:

• Proteja seu acesso ao Databricks com OIDC SSO
• Proteja seu acesso ao Databricks com SAML SSO

Para solucionar erros com o SSO, consulte:

• Solução de problemas do SSO OIDC
• Solução de problemas do SAML SSO