SSO para Databricks com Keycloak

Esta página demonstra como configurar o Keycloak como provedor de identidade para login único (SSO) em seu Databricks account. O Keycloak é compatível com OpenID Connect (OIDC) e SAML 2.0. O Keycloak não oferece suporte ao SCIM para sincronizar usuários e grupos com o Databricks.

atenção

Para evitar o bloqueio do seu acesso Databricks durante os testes de autenticação única (SSO), mantenha o console account aberto em uma janela diferente do navegador. Você também pode configurar o acesso de emergência com chave de segurança para evitar bloqueios. Consulte Acesso de emergência para evitar bloqueios.

Ative o login único do Keycloak

Escolha seu protocolo de identidade:

OIDC

1. Como administrador account , log in no consoleaccount e clique em Segurança .

2. Clique em Autenticação tab.

3. Ao lado de Autenticação , clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. Em Protocolo de identidade , selecione OpenID Connect .

7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

8. Em um novo navegador, acesse tab, log in para acessar o console de administração do Keycloak.

9. Selecione o domínio para integração com o Databricks ou crie um novo.

10. Crie um novo cliente:

    1. Clique em Clientes e clique em Criar cliente .

    2. Em Tipo de cliente , selecione OpenID Connect .

    3. Insira um ID e um nome do cliente.

    4. Clique em Avançar e em Salvar .

    

11. Configure o cliente Databricks:

    1. Em Configurações de acesso , defina o URL inicial como o URL do seu site Databricks account .
    2. Defina URIs de redirecionamento válidos para o URL de redirecionamento do Databricks que você copiou acima.
    3. Na configuração de capacidade , defina a autenticação do cliente como Ativada para acesso confidencial.

    

12. Configure o mapeamento de membros do grupo:

    1. Clique em Escopos do cliente e selecione o escopo dedicado para seu cliente.
    2. Nos Mapeadores ( tab), clique em Configurar um novo mapeador .
    3. Em Tipo de mapeador , selecione Participação em grupo .
    4. Defina Nome e Nome da reivindicação de tokens como grupos .
    5. Alterne o caminho completo do grupo para Ativado ou Desativado com base em sua preferência.

    

13. Retorne para a autenticação do console do Databricks account tab e insira os valores copiados do Keycloak:

    1. ID do cliente : O ID do cliente do Keycloak.
    2. Segredo do cliente : Encontrado em Credenciais tab do seu cliente Keycloak.
    3. URL do emissor do OpenID: Seu URL do Keycloak com domínio (por exemplo, https://keycloak.example.com/realms/your-realm).

14. Clique em Salvar .

15. Clique em Testar SSO para validar se a sua configuração de SSO está funcionando corretamente. O Databricks abre uma nova janela do navegador e tenta autenticar usando o Keycloak. Conclua o processo de login e revise os resultados do teste.

16. Clique em Habilitar SSO para habilitar o login único em sua conta.

17. Teste o login no console account com SSO. Para testar os passos, consulte Testar sua configuração SSO.

SAML 2.0

1. Como administrador account , log in no consoleaccount e clique em Segurança .

2. Clique em Autenticação tab.

3. Ao lado de Autenticação , clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. No protocolo Identidade , selecione SAML 2.0 .

7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

   

8. Em um novo navegador, acesse tab, log in para acessar o console de administração do Keycloak.

9. Selecione o domínio para integração com o Databricks ou crie um novo.

10. Crie um novo cliente:

    1. Clique em Clientes e clique em Criar cliente .
    2. Em Tipo de cliente , selecione SAML .
    3. Insira um ID e um nome do cliente.
    4. Clique em Avançar e em Salvar .
    5. Nas configurações de login, defina URIs de redirecionamento válidos para o URL de redirecionamento do Databricks que você copiou acima.

    

11. Configure o cliente:

    1. Em Configurações , acesse tab, em Recursos de SAML, defina o formato do ID de nome comoemail.
    2. Ative o formato Forçar ID do nome .
    3. Clique em Salvar .

    

12. Configure o mapeamento de atributos SAML:

    1. Clique em Escopos do cliente e selecione o escopo dedicado para seu cliente.
    2. Em Mappers (Mapeadores) tab, clique em Add predefined mapper (Adicionar mapeador predefinido).
    3. Selecione X500 email , X500 nome e X500 sobrenome e clique em Adicionar .

    

13. Recuperar metadados SAML:

    1. Clique em Configurações do reino e em Geral .
    2. Clique em Metadados do provedor de identidade SAML 2.0 .
    3. Nos metadados, salve os seguintes valores:
    • O atributo Location no elemento SingleSignOnService (por exemplo, https://my-idp.example.com/realms/DatabricksRealm/protocol/saml). Este é o URL de login único em Databricks
    • O atributo entityID no elemento EntityDescriptor (por exemplo, https://my-idp.example.com/realms/DatabricksRealm).
    • A tag X509Certificate.

14. Retorne para a autenticação do console do Databricks account tab e insira os valores copiados do Keycloak:

    • URL de autenticação única : O atributo Location no elemento SingleSignOnService
    • ID da entidade do provedor de identidade : O atributo entityID no elemento EntityDescriptor
    • Certificado x.509 : A tag X509Certificate

15. Clique em Salvar .

16. Clique em Testar SSO para validar se a sua configuração de SSO está funcionando corretamente. O Databricks abre uma nova janela do navegador e tenta autenticar usando o Keycloak. Conclua o processo de login e revise os resultados do teste.

17. Clique em Habilitar SSO para habilitar o login único em sua conta.

18. Teste o login no console account com SSO. Para testar os passos, consulte Testar sua configuração SSO.

Adicionar usuários ao Databricks

Após configurar SSO, adicione usuários à sua account. Databricks recomenda a sincronização de usuários do seu provedor de identidade usando o gerenciamento automático de identidade, que sincroniza usuários e grupos automaticamente do seu provedor de identidade para a sua account Databricks . Consulte Configurar o Microsoft Entra ID para gerenciamento automático de identidade. Alternativamente, se o seu provedor de identidade não suportar o gerenciamento automático de identidades, você pode configurar o provisionamento SCIM. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

O provisionamento just-in-time (JIT), que adiciona automaticamente usuários ao Databricks quando eles log in pela primeira vez usando SSO, está ativado por default para contas criadas após 1º de maio de 2025. Consulte Provisionamento automático de usuários (JIT).

Ativar login unificado

Para a maioria das contas, o login unificado já está ativado, o que significa que a configuração SSO em nível accountse aplica a todos os espaços de trabalho. Se sua account foi criada antes de 21 de junho de 2023, talvez seja necessário ativá-la. Consulte Ativar login unificado.