SSO para Databricks com Okta

Esta página demonstra como configurar o Okta como provedor de identidade para login único (SSO) em seu Databricks account. A Okta é compatível com OpenID Connect (OIDC) e SAML 2.0. Para sincronizar usuários e grupos do Okta, consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

As demonstrações a seguir orientam você na configuração do SSO com o Okta:

• Proteja seu acesso ao Databricks com OIDC SSO
• Proteja seu acesso ao Databricks com SAML SSO

atenção

Para evitar o bloqueio do seu acesso Databricks durante os testes de autenticação única (SSO), mantenha o console account aberto em uma janela diferente do navegador. Você também pode configurar o acesso de emergência com chave de segurança para evitar bloqueios. Consulte Acesso de emergência para evitar bloqueios.

Ative o login único do Okta.

Escolha seu protocolo de identidade:

OIDC

1. Como administrador account , log in no consoleaccount e clique em Segurança .

2. Clique em Autenticação tab.

3. Ao lado de Autenticação , clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. Em Protocolo de identidade , selecione OpenID Connect .

7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

8. Em uma nova guia do navegador, faça login no Okta como administrador.

9. Na página inicial, clique em Aplicativos > Aplicativos .

10. Clique em Criar integração de aplicativos .

11. Selecione OIDC - OpenID Connect e Web Application e clique em Avançar .

12. Dê um nome à sua integração de aplicativo.

13. Em URIs de redirecionamento de login , insira o URL de redirecionamentoDatabricks da etapa 7. Você pode optar por configurar as outras opções ou deixá-las com seus valores default .

14. Em Tarefas , selecione Permitir que todos na sua organização acessem . Isso garante que todos os usuários da sua organização possam acessar a account Databricks .

15. Clique em Salvar .

16. Na tab Geral , copie o ID do cliente e o segredo do cliente gerados pelo Okta para o aplicativo.

    • ID do cliente é o identificador exclusivo do aplicativo Databricks que você criou em seu provedor de identidade.
    • Segredo do cliente é um segredo ou senha gerado para o aplicativo Databricks que você criou. Ele é usado para conceder autorização ao Databricks com o seu provedor de identidade.

17. Clique na tab "Acessar" e, em "Tokens de ID do OpenID Connect", copie a URL do Okta no campo "Emissor".

    Se o campo do emissor indicar "Dinâmico" , clique em "Editar" e selecione "URL do Okta" no menu dropdown .

nota

Este URL aponta para o Documento de Configuração OpenID do Okta, que está localizado em {issuer-url}/.well-known/openid-configuration. Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo {issuer-url}?appid=123.

18. Retorne para a autenticação do console do Databricks account tab e insira os valores copiados do aplicativo do provedor de identidade nos campos ID do cliente , Segredo do cliente e URL do emissor .

19. Opcionalmente, insira uma reivindicação de nome de usuário se desejar utilizar uma reivindicação diferente de email como nome de usuário Databricks dos usuários. Consulte a documentação do seu provedor de identidade para obter informações específicas sobre valores de reivindicação.

    

20. Clique em Salvar .

21. Clique em Testar SSO para validar se a sua configuração de SSO está funcionando corretamente. O Databricks abre uma nova janela do navegador e tenta autenticar usando o Okta. Conclua o processo de login e revise os resultados do teste.

22. Clique em Habilitar SSO para habilitar o login único em sua conta.

23. Teste o login no console account com SSO. Para testar os passos, consulte Testar sua configuração SSO.

SAML 2.0

1. Como administrador account , log in no consoleaccount e clique em Segurança .

2. Clique em Autenticação tab.

3. Ao lado de Autenticação , clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. No protocolo Identidade , selecione SAML 2.0 .

7. Na tab Autenticação , anote o URL de redirecionamentoDatabricks .

   

8. Em uma nova guia do navegador, faça login no Okta como administrador.

9. Vá para Aplicativos e clique em Procurar catálogo de aplicativos .

10. Pesquise e selecione Databricks .

11. Clique em Adicionar integração .

12. Dê um nome à sua aplicação e clique em Concluído .

13. Selecione o botão “Sign On” (Entrar) no tab e clique em “Edit” (Editar ).

14. Em Configurações avançadas de login , configure o aplicativo usando as seguintes configurações:

    • URL SAML do Databricks : a URL de redirecionamento do Databricks que você copiou acima.
    • Formato do nome de usuário da inscrição : e-mail

15. Clique em Salvar . O aplicativo Databricks SAML é mostrado.

16. Em SAML 2.0 não está configurado até que você conclua as instruções de configuração , clique em Exibir instruções de configuração .

17. Copie os seguintes valores:

    • URL de login único do provedor de identidade
    • Emissor do provedor de identidade
    • certificado x.509

18. Clique na tab Tarefas . Adicione o grupo Okta chamado "Todos" ao aplicativo. Isso garante que todos os usuários da sua organização possam acessar a account Databricks .

19. Retorne à tab Autenticação do console account Databricks e insira os valores que você copiou do Okta:

    • URL de login único : URL de login único do provedor de identidade Okta
    • ID da entidade do provedor de identidade : Emissor do provedor de identidade Okta
    • Certificado x.509 : O certificado x.509 da Okta, incluindo os marcadores de início e fim do certificado.

20. Clique em Salvar .

21. Clique em Testar SSO para validar se a sua configuração de SSO está funcionando corretamente. O Databricks abre uma nova janela do navegador e tenta autenticar usando o Okta. Conclua o processo de login e revise os resultados do teste.

22. Clique em Habilitar SSO para habilitar o login único em sua conta.

23. Teste o login no console account com SSO. Para testar os passos, consulte Testar sua configuração SSO.

Adicionar usuários ao Databricks

Após configurar SSO, adicione usuários à sua account. Databricks recomenda a sincronização de usuários do seu provedor de identidade usando o gerenciamento automático de identidade, que sincroniza usuários e grupos automaticamente do seu provedor de identidade para a sua account Databricks . Consulte Configurar o Microsoft Entra ID para gerenciamento automático de identidade. Alternativamente, se o seu provedor de identidade não suportar o gerenciamento automático de identidades, você pode configurar o provisionamento SCIM. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

O provisionamento just-in-time (JIT), que adiciona automaticamente usuários ao Databricks quando eles log in pela primeira vez usando SSO, está ativado por default para contas criadas após 1º de maio de 2025. Consulte Provisionamento automático de usuários (JIT).

Ativar login unificado

Para a maioria das contas, o login unificado já está ativado, o que significa que a configuração SSO em nível accountse aplica a todos os espaços de trabalho. Se sua account foi criada antes de 21 de junho de 2023, talvez seja necessário ativá-la. Consulte Ativar login unificado.