Pular para o conteúdo principal

SSO para Databricks com Okta

Esta página demonstra como configurar o Okta como provedor de identidade para login único (SSO) em seu Databricks account. A Okta é compatível com OpenID Connect (OIDC) e SAML 2.0. Para sincronizar usuários e grupos do Okta, consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

As demonstrações a seguir orientam você na configuração do SSO com o Okta:

atenção

Para evitar ser bloqueado do Databricks durante o teste de login único, Databricks recomenda manter o console account aberto em uma janela diferente do navegador. Também é possível configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.

Habilite o login único Okta usando OIDC

  1. Como administrador do account, acesse log in no consoleaccount e clique no ícone Configurações na barra lateral.

  2. Clique em Autenticação tab.

  3. Ao lado de Autenticação , clique em gerenciar .

  4. Escolha Login único com meu provedor de identidade .

  5. Clique em "Continuar" .

  6. Em Protocolo de identidade , selecione OpenID Connect .

  7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

  8. Em uma nova guia do navegador, faça login no Okta como administrador.

  9. Na página inicial, clique em Aplicativos > Aplicativos .

  10. Clique em Criar integração de aplicativos .

  11. Selecione OIDC - OpenID Connect e Web Application e clique em Avançar .

  12. Em Integração de novo aplicativo Web , em URIs de redirecionamento de login , insira a URL de redirecionamento do Databricks da etapa 4. É possível configurar as outras opções ou mantê-las nos valores e default es.

  13. Clique em Salvar

  14. Na guia Geral , copie a ID do cliente e o segredo do cliente gerados pelo Okta para o aplicativo.

    • ID do cliente é o identificador exclusivo do aplicativo Databricks que você criou em seu provedor de identidade.
    • Segredo do cliente é um segredo ou senha gerado para o aplicativo Databricks que você criou. Ele é usado para conceder autorização ao Databricks com o seu provedor de identidade.
  15. Na guia login em Token de ID do OpenID Connect , copie o URL do Okta no campo do emissor.

    Se o campo do emissor disser Dynamic , clique em Editar e escolha Okta URL (url) no menu suspenso.

    Esse URL é o URL em que você pode encontrar o Documento de Configuração do OpenID da Okta. Esse documento de configuração do OpenID deve estar em {issuer-url}/.well-known/openid-configuration.

    Remova a terminação /.well-known/openid-configuration do URL. Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.

  16. Clique em “Atribuições” ( tab). A Databricks recomenda adicionar o grupo Okta chamado Todos ao aplicativo. Isso garante que todos os usuários da sua organização possam acessar o Databricks account.

  17. Retorne para a autenticação do console do Databricks account tab e insira os valores copiados do aplicativo do provedor de identidade nos campos ID do cliente , Segredo do cliente e URL do emissor .

  18. Opcionalmente, insira uma reivindicação de nome de usuário se desejar utilizar uma reivindicação diferente de email como nome de usuário Databricks dos usuários. Consulte a documentação do seu provedor de identidade para obter informações específicas sobre valores de reivindicação.

    Guia de login único quando todos os valores forem inseridos

  19. Clique em Salvar .

  20. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

  21. Clique em Habilitar SSO para habilitar o login único em sua conta.

  22. Teste o login do console da conta com SSO.

Configurar login unificado e adicionar usuários ao Databricks

Após configurar SSO, Databricks recomenda que você configure o login unificado e adicione usuários ao seu account usando SCIM provisionamento.

  1. Configurar o login unificado

    O login unificado permite que você utilize a configuração do console account SSO em seu espaço de trabalho Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se você não configurou SSO antes de 12 de dezembro de 2024, o login unificado estará habilitado em seu account para todos os espaços de trabalho e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.

  2. Adicionar usuários ao Databricks

    1. Habilitar o provisionamento JIT

      Databricks recomenda habilitar o JIT para adicionar automaticamente os usuários a Databricks quando eles usarem log in pela primeira vez SSO. O provisionamento JIT é ativado por default para contas criadas após 1º de maio de 2025 quando SSO é configurado. Consulte Provisionamento automático de usuários (JIT).

    2. Configurar o provisionamento do SCIM

      Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Habilite o login único Okta usando SAML

Siga estas etapas para criar uma aplicação SAML no Okta para utilizar com o console da conta do Databricks.

  1. Como administrador do account, acesse log in no consoleaccount e clique no ícone Configurações na barra lateral.

  2. Clique em Autenticação tab.

  3. Ao lado de Autenticação , clique em gerenciar .

  4. Escolha Login único com meu provedor de identidade .

  5. Clique em "Continuar" .

  6. No protocolo Identidade , selecione SAML 2.0 .

  7. Na autenticação tab, anote o URL de redirecionamentoDatabricks .

    Configure o SAML SSO.

  8. Em uma nova guia do navegador, faça login no Okta como administrador.

  9. Vá para Aplicativos e clique em Procurar catálogo de aplicativos .

  10. Pesquise Databricks no Catálogo de integração de aplicativos .

  11. Clique em Adicionar integração .

  12. Selecione o botão “Sign On” (Entrar) no tab e clique em “Edit” (Editar ).

  13. Em Configurações avançadas de login , configure o aplicativo usando as seguintes configurações:

    • URL SAML do Databricks : a URL de redirecionamento do Databricks que você copiou acima.
    • Formato do nome de usuário da inscrição : e-mail
  14. Clique em Salvar . O aplicativo Databricks SAML é mostrado.

  15. Em SAML 2.0 não está configurado até que você conclua as instruções de configuração , clique em Exibir instruções de configuração .

  16. Copie os seguintes valores:

    • URL de login único do provedor de identidade
    • Emissor do provedor de identidade
    • certificado x.509
  17. Clique em “Atribuições” ( tab). A Databricks recomenda adicionar o grupo Okta chamado Todos ao aplicativo. Isso garante que todos os usuários da sua organização possam acessar o Databricks account.

  18. Configure o Databricks na página SSO do console da conta do Databricks.

    1. Defina o menu suspenso SSO type (tipo de SSO) como SAML 2.0 .
    2. Defina o URL de login único no campo Okta chamado URL de login .
    3. Defina ID da entidade do provedor de identidade para o campo Okta chamado Identity Provider Issuer .
    4. Defina o Certificado x.509 como o certificado x.509 do Okta, incluindo os marcadores para o início e o fim do certificado.
    5. Clique em Salvar .
    6. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
    7. Clique em Habilitar SSO para habilitar o login único em sua conta.
    8. Teste o login do console da conta com SSO.

Configurar login unificado e adicionar usuários ao Databricks

Após configurar SSO, Databricks recomenda que você configure o login unificado e adicione usuários ao seu account usando SCIM provisionamento.

  1. Configurar o login unificado

    O login unificado permite que você utilize a configuração do console account SSO em seu espaço de trabalho Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se você não configurou SSO antes de 12 de dezembro de 2024, o login unificado estará habilitado em seu account para todos os espaços de trabalho e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.

  2. Adicionar usuários ao Databricks

    1. Habilitar o provisionamento JIT

      Databricks recomenda habilitar o JIT para adicionar automaticamente os usuários a Databricks quando eles usarem log in pela primeira vez SSO. O provisionamento JIT é ativado por default para contas criadas após 1º de maio de 2025 quando SSO é configurado. Consulte Provisionamento automático de usuários (JIT).

    2. Configurar o provisionamento do SCIM

      Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.