SSO para Databricks com Microsoft Entra ID

Esta página mostra como configurar um ID Entra Microsoft como provedor de identidade para logon único (SSO) em seu Databricks account. O Microsoft Entra ID é compatível com OpenID Connect (OIDC) e SAML 2.0. Para sincronizar usuários e grupos do Microsoft Entra ID, consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

atenção

Para evitar o bloqueio do seu acesso Databricks durante os testes de autenticação única (SSO), mantenha o console account aberto em uma janela diferente do navegador. Você também pode configurar o acesso de emergência com chave de segurança para evitar bloqueios. Consulte Acesso de emergência para evitar bloqueios.

Ativar o logon único do Microsoft Entra ID

Escolha seu protocolo de identidade:

OIDC

1. Como administrador account , log in no consoleaccount e clique em Segurança .

2. Clique em Autenticação tab.

3. Ao lado de Autenticação , clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. Em Protocolo de identidade , selecione OpenID Connect .

7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

8. Em outro navegador, acesse tab e crie um aplicativo Microsoft Entra ID:

   1. Faça login no portal Azure como administrador.
   2. Na navegação à esquerda, clique em Microsoft Entra ID .
   3. Clique em Registros de aplicativos > Novo registro .
   4. Digite um nome.
   5. Em Tipos de contas compatíveis , selecione: Somente contas neste diretório organizacional .
   6. Em Redirecionar URI , selecione web e cole o valor da URL de redirecionamento do Databricks .
   7. Clique em Registrar .

9. Reúna as informações necessárias no aplicativo Microsoft Entra ID:

   1. Em Fundamentos , copie o ID do aplicativo (cliente) .
   2. Clique em Endpoints .
   3. Copie o URL em Documento de metadados do OpenID Connect
   4. No painel esquerdo, clique em Certificados e segredos .
   5. Clique em + Novo segredo do cliente .
   6. Digite uma descrição e escolha uma expiração.
   7. Clique em Adicionar .
   8. Copie o valor secreto.

10. Retorne à página de autenticação do console Databricks account e insira os valores copiados do aplicativo do provedor de identidade nos campos ID do cliente , Segredo do cliente e URL do emissor OpenID . Remova a terminação /.well-known/openid-configuration do URL.

    Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.

11. Opcionalmente, insira o nome de uma reivindicação na reivindicação Nome de usuário se desejar utilizar uma reivindicação diferente de email como nomes de usuário Databricks dos usuários. Para obter mais informações, consulte Personalizar uma reivindicação a ser usada para os nomes de usuário do seu account.

    

12. Clique em Salvar .

13. Clique em Testar SSO para validar se a sua configuração de SSO está funcionando corretamente. O Databricks abre uma nova janela do navegador e tenta autenticar usando o ID Microsoft Entra. Conclua o processo de login e revise os resultados do teste.

14. Clique em Habilitar SSO para habilitar o login único em sua conta.

15. Teste o login no console account com SSO. Para testar os passos, consulte Testar sua configuração SSO.

SAML 2.0

1. Como administrador account , log in no consoleaccount e clique em Segurança .

2. Clique em Autenticação tab.

3. Ao lado de Autenticação , clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. No protocolo Identidade , selecione SAML 2.0 .

7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

   

8. Em outro navegador, acesse tab e crie um aplicativo Microsoft Entra ID:

   1. Faça login no portal do Azure como administrador.
   2. Na navegação à esquerda, clique em Microsoft Entra ID > Aplicativos empresariais . O painel Todas as aplicações é aberto e exibe uma amostra aleatória das aplicações no seu Microsoft Entra ID tenant.
   3. Clique em Novo aplicativo .
   4. Clique em Criar seu próprio aplicativo .
   5. Digite um nome.
   6. Em O que você deseja fazer com seu aplicativo? escolha Integrar qualquer outro aplicativo que você não encontre na galeria .

9. Configure o aplicativo Microsoft Entra ID:

   1. Clique em Propriedades .

   2. Defina a atribuição necessária como Não . Esta opção permite que todos os usuários façam login na account Databricks . Os usuários precisam ter acesso a este aplicativo SAML para log em sua account Databricks usando SSO.

   3. No painel de propriedades do aplicativo, clique em Configurar login único .

   4. Clique em SAML para configurar o aplicativo para autenticação SAML. O painel Propriedades SAML é exibido.

   5. Ao lado de Configuração SAML básica , clique em Editar .

   6. Defina o ID da entidade como a URL SAML do Databricks obtida na página de configuração do SSO do Databricks.

   7. Defina o URL de resposta como o URL SAML do Databricks obtido na página de configuração do SSO do Databricks.

   8. Ao lado de Certificado de assinatura SAML , clique em Editar .

   9. Na lista suspensa Opção de assinatura , selecione Assinar resposta SAML e asserção e defina o Algoritmo de assinatura como SHA-256 para aumentar a segurança.

   10. Em Atributos & Reivindicações , clique em Editar .

   11. Defina o campo Identificador de usuário exclusivo (ID do nome) como user.mail.

   12. Em Certificados deSAML , ao lado de Certificado (Base64) , clique em baixar . O certificado é baixado localmente como um arquivo com a extensão .cer.

   13. Abra o arquivo .cer em um editor de texto e copie o conteúdo do arquivo. O arquivo é o certificado x.509 completo para o aplicativo SAML do Microsoft Entra ID.

importante

• Não o abra usando o chaveiro do macOS, que é o aplicativo padrão para esse tipo de arquivo no macOS.
• Os dados do certificado são confidenciais.Tenha cuidado sobre onde fazer o download deles. Exclua-os do armazenamento local assim que possível.

14. No portal do Azure, em Configurar o Kit de Ferramentas SAML do Microsoft Entra ID , copie e salve o URL de login e o identificador do Microsoft Entra ID .

15. Retorne à tab Autenticação do console account Databricks e insira os valores que você copiou do ID Microsoft Entra:

    • URL de login único : URL de login Microsoft Entra ID
    • ID da Entidade do Provedor de Identidade : O ID do Microsoft Entra. Identificador do ID do Microsoft Entra.
    • Certificado x.509 : O certificado Microsoft Entra ID x.509, incluindo os marcadores de início e fim do certificado.

16. Clique em Salvar .

17. Clique em Testar SSO para validar se a sua configuração de SSO está funcionando corretamente. O Databricks abre uma nova janela do navegador e tenta autenticar usando o ID Microsoft Entra. Conclua o processo de login e revise os resultados do teste.

18. Clique em Habilitar SSO para habilitar o login único em sua conta.

19. Teste o login no console account com SSO. Para testar os passos, consulte Testar sua configuração SSO.

Configurar login unificado e adicionar usuários ao Databricks

Após configurar SSO, Databricks recomenda que você configure o login unificado e adicione usuários ao seu account usando SCIM provisionamento.

1. Configurar o login unificado

   O login unificado permite que você utilize a configuração do console account SSO em seu espaço de trabalho Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se você não configurou SSO antes de 12 de dezembro de 2024, o login unificado estará habilitado em seu account para todos os espaços de trabalho e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.

2. Adicionar usuários ao Databricks

   1. Habilitar o provisionamento JIT

      Databricks recomenda habilitar o JIT para adicionar automaticamente os usuários a Databricks quando eles usarem log in pela primeira vez SSO. O provisionamento JIT é ativado por default para contas criadas após 1º de maio de 2025 quando SSO é configurado. Consulte Provisionamento automático de usuários (JIT).

   2. Configurar o provisionamento do SCIM

      Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Personalize uma reivindicação para utilizar nos nomes de usuário do seu account.

Por default, os nomes de usuário no Databricks são representados pelo endereço email do usuário. Para atribuir nomes de usuário usando um valor diferente, configure uma declaração personalizada em sua account Microsoft Entra ID.

Escolha seu protocolo de identidade:

OIDC

Para aplicações OIDC, configure as declarações opcionais usando a página de configuração de tokens no seu registro de aplicativo Microsoft Entra ID.

1. Faça login no centro de administraçãoMicrosoft Entra com privilégios de, no mínimo, administrador de aplicativos na nuvem.

2. Acesse Identidade > Aplicativos > Registros de aplicativos e selecione o aplicativo que você criou para o SSO do Databricks.

3. Na barra lateral, em Gerenciar , clique em Configuração de tokens .

4. Clique em Adicionar reivindicação opcional .

5. Para o tipo de token , selecione ID .

6. Selecione a declaração que deseja incluir nos tokens (por exemplo, email, preferred_username ou outra declaração disponível) e clique em Adicionar .

nota

A lista de reivindicações disponíveis depende da versão dos seus tokens. Se você precisar de declarações que não estejam na lista predefinida, use atributos de extensão de diretório ou um provedor de declarações personalizado. Consulte a seção "Configurar declarações opcionais" na documentação do Microsoft Entra.

7. Se for solicitado que você ative a permissão email gráfico Microsoft , selecione a caixa de seleção e clique em Adicionar .

8. No console account Databricks , insira o nome da declaração da etapa 6 no campo Declaração de nome de usuário e clique em Salvar .

9. Clique em Testar SSO para validar sua configuração e, em seguida, clique em Ativar SSO .

atenção

Algumas declarações opcionais, como upn, podem não estar incluídas nos tokens emitidos por determinados endpoints de tokens Microsoft Entra ID (por exemplo, o endpoint v2.0). Se o SSO falhar após a configuração de uma declaração de nome de usuário personalizada:

• Verifique se a declaração está presente nos tokens de ID inspecionando-os com jwt.ms.
• Consulte a referência de declarações opcionais para saber quais declarações são suportadas para cada versão de token.

SAML 2.0

Para aplicações SAML, configure declarações personalizadas usando as configurações de Atributos e Declarações em seu aplicativo Microsoft Entra ID Enterprise.

1. Faça login no centro de administraçãoMicrosoft Entra com privilégios de, no mínimo, administrador de aplicativos na nuvem.

2. Acesse Identidade > Aplicativos > Aplicativos corporativos e selecione o aplicativo que você criou para o SSO do Databricks.

3. Na barra lateral, clique em Login único .

4. Em Atributos & Reivindicações , clique em Editar .

5. Clique em Adicionar nova reivindicação .

   • Insira um nome para a reclamação. Este é o nome que você deve inserir no campo "Nome de usuário" da sua configuração de SSO do Databricks.
   • Em Origem , selecione Atributo .
   • Para o atributo Origem , selecione o atributo Microsoft Entra ID desejado para esta reivindicação.

6. Clique em Salvar .

7. No console account Databricks , insira o nome da declaração da etapa 5 no campo Declaração de nome de usuário e clique em Salvar .

8. Clique em Testar SSO para validar sua configuração e, em seguida, clique em Ativar SSO .