SSO para Databricks com OneLogin

Esta página demonstra como configurar o OneLogin como provedor de identidade para login único (SSO) em seu Databricks account. O OneLogin é compatível com OpenID Connect (OIDC) e SAML 2.0. Para sincronizar usuários e grupos do OneLogin, consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

atenção

Para evitar o bloqueio do seu acesso Databricks durante os testes de autenticação única (SSO), mantenha o console account aberto em uma janela diferente do navegador. Você também pode configurar o acesso de emergência com chave de segurança para evitar bloqueios. Consulte Acesso de emergência para evitar bloqueios.

Ative o login único do OneLogin.

Escolha seu protocolo de identidade:

OIDC

1. Como administrador account , log in no consoleaccount e clique em Segurança .

2. Clique em Autenticação tab.

3. Ao lado de Autenticação , clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. Em Protocolo de identidade , selecione OpenID Connect .

7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

   

8. Em uma nova guia do navegador, faça login no OneLogin.

9. Clique em Administração .

10. Clique em Aplicativos .

11. Clique em Adicionar aplicativo .

12. Pesquise OpenId Connect e selecione o aplicativo OpenId Connect (OIDC) .

13. Insira um nome e clique em Salvar .

14. Na configuração , acesse tab, Databricks Redirecionar URL da etapa 4. É possível configurar as outras opções ou mantê-las com seus valores e default es.

15. Na guia SSO , copie os valores ID do cliente , segredo do cliente e URL do emissor .

    • ID do cliente é o identificador exclusivo do aplicativo Databricks que você criou no OneLogin.

    • Segredo do cliente é um segredo ou senha gerado para o aplicativo Databricks que você criou. Ele é usado para conceder autorização ao Databricks com o seu provedor de identidade.

    • O URL do emissor é o URL em que você pode encontrar o documento de configuração do OpenID do OneLogin. Esse documento de configuração do OpenID deve estar em {issuer-url}/.well-known/openid-configuration.

    Remova a terminação /.well-known/openid-configuration do URL. Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.

16. Retorne para a autenticação do console do Databricks account tab e insira os valores copiados do aplicativo do provedor de identidade nos campos ID do cliente , Segredo do cliente e URL do emissor OpenID .

17. Opcionalmente, insira uma reivindicação de nome de usuário se desejar utilizar uma reivindicação diferente de email como nome de usuário Databricks dos usuários. Consulte a documentação do seu provedor de identidade para obter informações específicas sobre valores de reivindicação.

    

18. Clique em Salvar .

19. Clique em Testar SSO para validar se a sua configuração de SSO está funcionando corretamente. O Databricks abre uma nova janela do navegador e tenta autenticar usando o OneLogin. Conclua o processo de login e revise os resultados do teste.

20. Clique em Habilitar SSO para habilitar o login único em sua conta.

21. Teste o login no console account com SSO. Para testar os passos, consulte Testar sua configuração SSO.

SAML 2.0

1. Como administrador account , log in no consoleaccount e clique em Segurança .

2. Clique em Autenticação tab.

3. Ao lado de Autenticação , clique em gerenciar .

4. Escolha Login único com meu provedor de identidade .

5. Clique em "Continuar" .

6. No protocolo Identidade , selecione SAML 2.0 .

7. Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .

8. Em uma nova guia do navegador, faça login no OneLogin.

9. Clique em Administração .

10. Clique em Aplicativos .

11. Clique em Adicionar aplicativo .

12. Pesquise por SAML Custom Connector (Advanced) e clique no resultado por OneLogin, Inc.

13. Defina Nome de exibição como Databricks .

14. Clique em Salvar . A página de informações do aplicativo é carregada. tab

15. Clique em Configuração .

16. Em Reunir informações necessárias , defina cada um dos campos a seguir como o URL SAML do Databricks:

    • Audiência
    • Destinatário
    • Validador de URL ACS (consumidor)
    • URL do ACS (consumidor)
    • URL de logout único
    • URL de login

17. Defina o elemento de assinatura SAML como Ambos .

18. Clique em Parâmetros .

19. As credenciais definidas são configuradas pelos administradores e compartilhadas por todos os usuários .

20. Clique em E-mail . Defina o valor como email e ative Incluir na asserção SAML .

21. Clique na guia SSO .

22. Copie os seguintes valores:

    • certificado x.509
    • URL do emissor
    • Ponto de extremidade SAML 2.0 (HTTP)

23. Verifique se o elemento de assinatura SAML está definido como Resposta ou Ambos .

24. Verifique se a afirmação Criptografar está desabilitada.

25. Retorne à tab Autenticação do console account Databricks e insira os valores que você copiou do OneLogin:

    • URL de autenticação única (SSO ): o endpoint SAML 2.0 do OneLogin (HTTP)
    • ID da entidade do provedor de identidade : URL do emissor do OneLogin
    • Certificado x.509 : O certificado x.509 do OneLogin, incluindo os marcadores de início e fim do certificado.

26. Clique em Salvar .

27. Clique em Testar SSO para validar se a sua configuração de SSO está funcionando corretamente. O Databricks abre uma nova janela do navegador e tenta autenticar usando o OneLogin. Conclua o processo de login e revise os resultados do teste.

28. Clique em Habilitar SSO para habilitar o login único em sua conta.

29. Teste o login no console account com SSO. Para testar os passos, consulte Testar sua configuração SSO.

Adicionar usuários ao Databricks

Após configurar SSO, adicione usuários à sua account. Databricks recomenda a sincronização de usuários do seu provedor de identidade usando o gerenciamento automático de identidade, que sincroniza usuários e grupos automaticamente do seu provedor de identidade para a sua account Databricks . Consulte Configurar o Microsoft Entra ID para gerenciamento automático de identidade. Alternativamente, se o seu provedor de identidade não suportar o gerenciamento automático de identidades, você pode configurar o provisionamento SCIM. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

O provisionamento just-in-time (JIT), que adiciona automaticamente usuários ao Databricks quando eles log in pela primeira vez usando SSO, está ativado por default para contas criadas após 1º de maio de 2025. Consulte Provisionamento automático de usuários (JIT).

Ativar login unificado

Para a maioria das contas, o login unificado já está ativado, o que significa que a configuração SSO em nível accountse aplica a todos os espaços de trabalho. Se sua account foi criada antes de 21 de junho de 2023, talvez seja necessário ativá-la. Consulte Ativar login unificado.