Pular para o conteúdo principal

SSO para Databricks com Microsoft Entra ID

Esta página mostra como configurar um ID Entra Microsoft como provedor de identidade para logon único (SSO) em seu Databricks account. O Microsoft Entra ID é compatível com OpenID Connect (OIDC) e SAML 2.0. Para sincronizar usuários e grupos do Microsoft Entra ID, consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

atenção

Para evitar ser bloqueado do Databricks durante o teste de login único, Databricks recomenda manter o console account aberto em uma janela diferente do navegador. Também é possível configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.

Habilite o SSO do Microsoft Entra ID usando OIDC

  1. Como administrador do account, acesse log in no consoleaccount e clique no ícone Configurações na barra lateral.

  2. Clique em Autenticação tab.

  3. Ao lado de Autenticação , clique em gerenciar .

  4. Escolha Login único com meu provedor de identidade .

  5. Clique em "Continuar" .

  6. Em Protocolo de identidade , selecione OpenID Connect .

  7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

  8. Em outro navegador, acesse tab e crie um aplicativo Microsoft Entra ID:

    1. Faça login no portal Azure como administrador.
    2. Na navegação à esquerda, clique em Microsoft Entra ID .
    3. Clique em Registros de aplicativos > Novo registro .
    4. Digite um nome.
    5. Em Tipos de contas compatíveis , selecione: Somente contas neste diretório organizacional .
    6. Em Redirecionar URI , selecione web e cole o valor da URL de redirecionamento do Databricks .
    7. Clique em Registrar .

  9. Reúna as informações necessárias no aplicativo Microsoft Entra ID:

    1. Em Fundamentos , copie o ID do aplicativo (cliente) .
    2. Clique em Endpoints .
    3. Copie o URL em Documento de metadados do OpenID Connect
    4. No painel esquerdo, clique em Certificados e segredos .
    5. Clique em + Novo segredo do cliente .
    6. Digite uma descrição e escolha uma expiração.
    7. Clique em Adicionar .
    8. Copie o valor secreto.

  10. Retorne à página de autenticação do console Databricks account e insira os valores copiados do aplicativo do provedor de identidade nos campos ID do cliente , Segredo do cliente e URL do emissor OpenID . Remova a terminação /.well-known/openid-configuration do URL.

    Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.

  11. Opcionalmente, insira o nome de uma reivindicação na reivindicação Nome de usuário se desejar utilizar uma reivindicação diferente de email como nomes de usuário Databricks dos usuários. Para obter mais informações, consulte Personalizar uma reivindicação a ser usada para os nomes de usuário do seu account.

    Guia de login único quando todos os valores forem inseridos

  12. Clique em Salvar .

  13. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

  14. Clique em Habilitar SSO para habilitar o login único em sua conta.

  15. Teste o login do console da conta com SSO.

Configurar login unificado e adicionar usuários ao Databricks

Após configurar SSO, Databricks recomenda que você configure o login unificado e adicione usuários ao seu account usando SCIM provisionamento.

  1. Configurar o login unificado

    O login unificado permite que você utilize a configuração do console account SSO em seu espaço de trabalho Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se você não configurou SSO antes de 12 de dezembro de 2024, o login unificado estará habilitado em seu account para todos os espaços de trabalho e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.

  2. Adicionar usuários ao Databricks

    1. Habilitar o provisionamento JIT

      Databricks recomenda habilitar o JIT para adicionar automaticamente os usuários a Databricks quando eles usarem log in pela primeira vez SSO. O provisionamento JIT é ativado por default para contas criadas após 1º de maio de 2025 quando SSO é configurado. Consulte Provisionamento automático de usuários (JIT).

    2. Configurar o provisionamento do SCIM

      Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Habilite o SSO do Microsoft Entra ID usando SAML

Siga estas etapas para criar um aplicativo SAML do portal do Azure que não seja da galeria para uso com o console account do Databricks.

  1. Como administrador do account, acesse log in no consoleaccount e clique no ícone Configurações na barra lateral.

  2. Clique em Autenticação tab.

  3. Ao lado de Autenticação , clique em gerenciar .

  4. Escolha Login único com meu provedor de identidade .

  5. Clique em "Continuar" .

  6. No protocolo Identidade , selecione SAML 2.0 .

  7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

    Configure o SAML SSO.

  8. Em outro navegador, acesse tab e crie um aplicativo Microsoft Entra ID:

    1. Faça login no portal do Azure como administrador.
    2. Na navegação à esquerda, clique em Microsoft Entra ID > Aplicativos empresariais . O painel Todas as aplicações é aberto e exibe uma amostra aleatória das aplicações no seu Microsoft Entra ID tenant.
    3. Clique em Novo aplicativo .
    4. Clique em Criar seu próprio aplicativo .
    5. Digite um nome.
    6. Em O que você deseja fazer com seu aplicativo? escolha Integrar qualquer outro aplicativo que você não encontre na galeria .

  9. Configure o aplicativo Microsoft Entra ID:

    1. Clique em Propriedades .

    2. Defina a atribuição necessária como Não . O Databricks recomenda esta opção, que permite que todos os usuários façam login no Databricks account. Os usuários devem ter acesso a este aplicativo SAML para acessar log em seu Databricks account utilizando SSO.

    3. No painel de propriedades do aplicativo, clique em Configurar login único .

    4. Clique em SAML para configurar o aplicativo para autenticação SAML. O painel Propriedades SAML é exibido.

    5. Ao lado de Configuração SAML básica , clique em Editar .

    6. Defina o ID da entidade como a URL SAML do Databricks obtida na página de configuração do SSO do Databricks.

    7. Defina o URL de resposta como o URL SAML do Databricks obtido na página de configuração do SSO do Databricks.

    8. Ao lado de Certificado de assinatura SAML , clique em Editar .

    9. Na lista suspensa Opção de assinatura , selecione Assinar resposta SAML e asserção e defina o Algoritmo de assinatura como SHA-256 para aumentar a segurança.

    10. Em Atributos & Reivindicações , clique em Editar .

    11. Defina o campo Identificador de usuário exclusivo (ID do nome) como user.mail.

    12. Em Certificados deSAML , ao lado de Certificado (Base64) , clique em baixar . O certificado é baixado localmente como um arquivo com a extensão .cer.

    13. Abra o arquivo .cer em um editor de texto e copie o conteúdo do arquivo. O arquivo é o certificado x.509 completo para o aplicativo SAML do Microsoft Entra ID.

important

  • Não o abra usando o chaveiro do macOS, que é o aplicativo padrão para esse tipo de arquivo no macOS.

  • Os dados do certificado são confidenciais.Tenha cuidado sobre onde fazer o download deles. Exclua-os do armazenamento local assim que possível.

  1. No portal do Azure, em Configurar o Kit de Ferramentas SAML do Microsoft Entra ID , copie e salve o URL de login e o identificador do Microsoft Entra ID .

  2. Configure o Databricks na página SSO do console da conta do Databricks.

    1. Defina o URL de login único no campo Entra ID Microsoft, anteriormente denominado URL de login .
    2. Defina a ID da entidade do provedor de identidade no campo Microsoft Entra ID, anteriormente denominado Identificador Microsoft Entra ID .
    3. Defina o Certificado x.509 como o certificado x.509 do Microsoft Entra ID, incluindo os marcadores para o início e o fim do certificado.
    4. Clique em Salvar .
    5. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
    6. Clique em Habilitar SSO para habilitar o login único em sua conta.
    7. Teste o login do console da conta com SSO.

Configurar login unificado e adicionar usuários ao Databricks

Após configurar SSO, Databricks recomenda que você configure o login unificado e adicione usuários ao seu account usando SCIM provisionamento.

  1. Configurar o login unificado

    O login unificado permite que você utilize a configuração do console account SSO em seu espaço de trabalho Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se você não configurou SSO antes de 12 de dezembro de 2024, o login unificado estará habilitado em seu account para todos os espaços de trabalho e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.

  2. Adicionar usuários ao Databricks

    1. Habilitar o provisionamento JIT

      Databricks recomenda habilitar o JIT para adicionar automaticamente os usuários a Databricks quando eles usarem log in pela primeira vez SSO. O provisionamento JIT é ativado por default para contas criadas após 1º de maio de 2025 quando SSO é configurado. Consulte Provisionamento automático de usuários (JIT).

    2. Configurar o provisionamento do SCIM

      Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Personalize uma reivindicação para utilizar nos nomes de usuário do seu account.

Por default, os nomes de usuário em Databricks são representados como o endereço email do usuário. Caso deseje atribuir nomes de usuário utilizando um valor diferente, é possível configurar uma nova reivindicação em Microsoft Entra ID account.

  1. Faça login no portal do Azure como administrador.

  2. Na navegação à esquerda, clique em Microsoft Entra ID .

  3. Clique em + Adicionar aplicativo corporativo > .

  4. Em “Procurar na Galeria do Microsoft Entra ”, clique em “Criar seu próprio aplicativo ”.

  5. Insira um nome para seu aplicativo.

  6. account Em Tipos de contas de e-mail suportados , selecione conta somente neste diretório organizacional ( tenant e único).

  7. Em URI de redirecionamento (opcional) , selecione Web e digite https://accounts.cloud.databricks.com/oidc/consume.

  8. Clique em Registrar .

  9. Vá para a página de visão geral do aplicativo criado e anote o ID do aplicativo (cliente) .

  10. No ponto final tab, anote a URL do documento de metadados do OpenID Connect .

  11. Na barra lateral, em gerenciar , clique em Certificados e segredos do & .

  12. Clique em + Novo segredo do cliente .

  13. Insira um nome e uma data de validade para o segredo.

  14. Clique em Adicionar e anote o valor do segredo.

  15. Na barra lateral, em gerenciar , clique em Manifesto .

  16. Edite o manifesto para definir "acceptMappedClaims": true.

  17. Clique em Salvar .

  18. Retorne à página de visão geral do aplicativo.

  19. Na barra lateral, em gerenciar , clique em Login único .

  20. Em Atributos & Reivindicações , clique em Editar .

  21. Clique em Adicionar nova reivindicação .

    • Insira um nome para a reivindicação. Este é o nome que você irá inserir no campo “Username claim” da sua configuração de SSO do Databricks.
    • Para o atributo Origem , selecione o atributo Microsoft Entra ID desejado para esta reivindicação.

  22. Clique em Salvar .

Ao configurar SSO no console Databricks account , insira:

  • O ID do cliente da etapa 9.
  • O segredo do cliente da etapa 14.
  • O URL do emissor do OpenID da etapa 10 (insira somente até /v2.0 e exclua /.well-known/openid-configuration).
  • O nome de reivindicação de nome de usuário da etapa 21.

Clique em Salvar e testar SSO para validar sua configuração e, em seguida, clique em Ativar SSO .

Última atualização em