Pular para o conteúdo principal
Última atualização em

Configurar SSO no Databricks

Esta página fornece uma visão geral sobre como utilizar o login único (SSO) para autenticar-se no console account e no espaço de trabalho Databricks. Para sincronizar usuários e grupos do seu provedor de identidade, consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Para permitir que os usuários acessem log in em Databricks com e-mail ou conta externa comum, como Google ou Microsoft, consulte Acessar com email ou conta externa.

Para obter informações sobre o nível workspace-legacy SSO, consulte Configurar SSO para o seu workspace (legacy).

Visão geral da configuração do SSO

O SSO é compatível com SAML 2.0 ou OpenID Connect (OIDC). Seu provedor de identidade (IdP) deve oferecer suporte a pelo menos um desses protocolos.

Para a maioria das contas, o login unificado é habilitado por default. Isso significa que uma única configuração SSO é utilizada em todo o seu account e em todo o espaço de trabalho Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se você não configurou SSO antes de 12 de dezembro de 2024, o login unificado será ativado automaticamente para todos os espaços de trabalho e não poderá ser desativado.

As contas criadas antes de 21 de junho de 2023 que já tinham configurado SSO no nível workspacenão têm o login unificado habilitado por default. Os administradores de conta podem habilitar o login unificado para todo o espaço de trabalho ou para um espaço específico. Databricks Recomenda-se o uso de login unificado em todo o espaço de trabalho para uma experiência de autenticação simplificada e consistente. Para obter mais informações, consulte Ativar login unificado.

Quando o nível de segurança account-level SSO está ativado, todos os usuários, incluindo administradores, devem fazer login em Databricks account e no espaço de trabalho com login unificado usando o login único. Para evitar bloqueios, os administradores do account podem configurar acesso de emergência para até 20 usuários. Os usuários selecionados para acesso de emergência podem utilizar um nome de usuário e senha, além de um key de segurança, para acessar log in. Consulte Acesso de emergência para evitar bloqueios.

Após habilitar SSO, Databricks recomenda utilizar SCIM provisionamento para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

É possível configurar o provisionamento just-in-time (JIT) para criar automaticamente uma nova conta de usuário a partir do seu provedor de identidade no primeiro login. Consulte Provisionamento automático de usuários (JIT).

É possível ler as instruções gerais sobre como configurar o SSO com OIDC ou SAML ou instruções específicas para diferentes provedores de identidade:

As demonstrações a seguir orientam você na configuração do SSO com o Okta:

Teste sua configuração de SSO

Após concluir a configuração do SSO, teste-a para garantir que os usuários consigam fazer login.

Teste SSO a partir do console account

Durante a configuração SSO , use o teste integrado para verificar sua configuração antes de habilitar SSO:

  1. Após inserir as configurações do seu provedor de identidade no console account Databricks , clique em Salvar .
  2. Clique em Testar SSO . O Databricks abre uma nova janela do navegador e tenta autenticar usando seu provedor de identidade.
  3. Conclua o processo de login no seu provedor de identidade.
  4. Analise os resultados dos testes:

Login no console account de teste

Após ativar SSO, verifique se os usuários conseguem entrar no console account :

  1. Abra uma nova janela do navegador ou uma sessão privada/anônima.
  2. Acesse o console da conta.
  3. Insira o endereço email de um usuário de teste. Seu navegador redireciona para a página de login do seu provedor de identidade.
  4. Conclua o processo de login. Após a autenticação, Databricks redireciona você para o console account .
  5. Verifique a identidade do usuário clicando no nome de usuário na barra superior para confirmar se o usuário correto está conectado.

Login no workspace de teste

Se você tiver o login unificado ativado, verifique se SSO funciona para acesso workspace :

  1. Abra uma nova janela do navegador ou uma sessão privada/anônima.
  2. Acesse o URL workspace . Seu navegador redireciona para a página de login do seu provedor de identidade.
  3. Insira o endereço email de um usuário de teste e conclua o processo de login.
  4. Após a autenticação, Databricks redireciona você para o workspace.
  5. Verifique a identidade do usuário clicando no nome de usuário na barra superior da workspace.

Para obter informações sobre a configuração de login unificado, consulte Ativar login unificado.

Solucionar problemas de falhas em testes

Se o teste de SSO falhar, tente o seguinte:

  • Configurações do seu provedor de identidade : Verifique se o URL de redirecionamento, o ID do cliente, o segredo do cliente (para OIDC) ou o certificado x.509 (para SAML) estão corretos.

  • Verificar acesso do usuário : Certifique-se de que o usuário de teste esteja atribuído ao aplicativo Databricks em seu provedor de identidade.

  • Analise as mensagens de erro : consulte a seção Solução de problemas de SSO OIDC ou Solução de problemas de SSO SAML para obter os códigos de erro específicos.

  • Para evitar bloqueios : Antes de ativar o SSO, configure o acesso de emergência para pelo menos um usuário administrador. Consulte Acesso de emergência para evitar bloqueios.

  • Use uma janela de navegador privada : Faça o teste em uma sessão anônima ou privada para evitar que as credenciais armazenadas em cache interfiram no teste.

  • Analise logsdo console do navegador : Abra as ferramentas de desenvolvedor do seu navegador para procurar erros de redirecionamento ou de rede durante o processo de login.

Para solucionar erros com o SSO, consulte:

Nesta página