SSO para Databricks com OneLogin

Esta página demonstra como configurar o OneLogin como provedor de identidade para login único (SSO) em seu Databricks account. O OneLogin é compatível com OpenID Connect (OIDC) e SAML 2.0. Para sincronizar usuários e grupos do OneLogin, consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

atenção

Para evitar o bloqueio do seu acesso Databricks durante os testes de autenticação única (SSO), mantenha o console account aberto em uma janela diferente do navegador. Você também pode configurar o acesso de emergência com chave de segurança para evitar bloqueios. Consulte Acesso de emergência para evitar bloqueios.

Ative o login único do OneLogin.

Escolha seu protocolo de identidade:

OIDC

1. Como administrador account , log in no consoleaccount e clique em Segurança .

2. Clique em Autenticação tab.

3. Ao lado de Autenticação , clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. Em Protocolo de identidade , selecione OpenID Connect .

7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

   

8. Em uma nova guia do navegador, faça login no OneLogin.

9. Clique em Administração .

10. Clique em Aplicativos .

11. Clique em Adicionar aplicativo .

12. Pesquise OpenId Connect e selecione o aplicativo OpenId Connect (OIDC) .

13. Insira um nome e clique em Salvar .

14. Na configuração , acesse tab, Databricks Redirecionar URL da etapa 4. É possível configurar as outras opções ou mantê-las com seus valores e default es.

15. Na guia SSO , copie os valores ID do cliente , segredo do cliente e URL do emissor .

    • ID do cliente é o identificador exclusivo do aplicativo Databricks que você criou no OneLogin.

    • Segredo do cliente é um segredo ou senha gerado para o aplicativo Databricks que você criou. Ele é usado para conceder autorização ao Databricks com o seu provedor de identidade.

    • O URL do emissor é o URL em que você pode encontrar o documento de configuração do OpenID do OneLogin. Esse documento de configuração do OpenID deve estar em {issuer-url}/.well-known/openid-configuration.

    Remova a terminação /.well-known/openid-configuration do URL. Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.

16. Retorne para a autenticação do console do Databricks account tab e insira os valores copiados do aplicativo do provedor de identidade nos campos ID do cliente , Segredo do cliente e URL do emissor OpenID .

17. Opcionalmente, insira uma reivindicação de nome de usuário se desejar utilizar uma reivindicação diferente de email como nome de usuário Databricks dos usuários. Consulte a documentação do seu provedor de identidade para obter informações específicas sobre valores de reivindicação.

    

18. Clique em Salvar .

19. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

20. Clique em Habilitar SSO para habilitar o login único em sua conta.

21. Teste o login do console da conta com SSO.

SAML 2.0

1. Como administrador account , log in no consoleaccount e clique em Segurança .

2. Clique em Autenticação tab.

3. Ao lado de Autenticação , clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. No protocolo Identidade , selecione SAML 2.0 .

7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

8. Em uma nova guia do navegador, faça login no OneLogin.

9. Clique em Administração .

10. Clique em Aplicativos .

11. Clique em Adicionar aplicativo .

12. Pesquise por SAML Custom Connector (Advanced) e clique no resultado por OneLogin, Inc.

13. Defina Nome de exibição como Databricks .

14. Clique em Salvar . A página de informações do aplicativo é carregada. tab

15. Clique em Configuração .

16. Em Reunir informações necessárias , defina cada um dos campos a seguir como o URL SAML do Databricks:

    • Audiência
    • Destinatário
    • Validador de URL ACS (consumidor)
    • URL do ACS (consumidor)
    • URL de logout único
    • URL de login

17. Defina o elemento de assinatura SAML como Ambos .

18. Clique em Parâmetros .

19. As credenciais definidas são configuradas pelos administradores e compartilhadas por todos os usuários .

20. Clique em E-mail . Defina o valor como email e ative Incluir na asserção SAML .

21. Clique na guia SSO .

22. Copie os seguintes valores:

    • certificado x.509
    • URL do emissor
    • Ponto de extremidade SAML 2.0 (HTTP)

23. Verifique se o elemento de assinatura SAML está definido como Resposta ou Ambos .

24. Verifique se a afirmação Criptografar está desabilitada.

25. Retorne à tab Autenticação do console account Databricks e insira os valores que você copiou do OneLogin:

    • URL de autenticação única (SSO ): o endpoint SAML 2.0 do OneLogin (HTTP)
    • ID da entidade do provedor de identidade : URL do emissor do OneLogin
    • Certificado x.509 : O certificado x.509 do OneLogin, incluindo os marcadores de início e fim do certificado.

26. Clique em Salvar .

27. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

28. Clique em Habilitar SSO para habilitar o login único em sua conta.

29. Teste o login do console da conta com SSO.

Configurar login unificado e adicionar usuários ao Databricks

Após configurar SSO, Databricks recomenda que você configure o login unificado e adicione usuários ao seu account usando SCIM provisionamento.

1. Configurar o login unificado

   O login unificado permite que você utilize a configuração do console account SSO em seu espaço de trabalho Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se você não configurou SSO antes de 12 de dezembro de 2024, o login unificado estará habilitado em seu account para todos os espaços de trabalho e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.

2. Adicionar usuários ao Databricks

   1. Habilitar o provisionamento JIT

      Databricks recomenda habilitar o JIT para adicionar automaticamente os usuários a Databricks quando eles usarem log in pela primeira vez SSO. O provisionamento JIT é ativado por default para contas criadas após 1º de maio de 2025 quando SSO é configurado. Consulte Provisionamento automático de usuários (JIT).

   2. Configurar o provisionamento do SCIM

      Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.