SSO para Databricks com Keycloak

info

Visualização

Esse recurso está em Public Preview.

Esta página demonstra como configurar o Keycloak como provedor de identidade para login único (SSO) em seu Databricks account. O Keycloak é compatível com OpenID Connect (OIDC) e SAML 2.0. O Keycloak não oferece suporte ao SCIM para sincronizar usuários e grupos com o Databricks.

Habilite o SSO do Keycloak usando OIDC

Como administrador account , log in no consoleaccount e clique em Segurança .
Clique em Autenticação tab.
Ao lado de Autenticação , clique em gerenciar .
Escolha Login único com meu provedor de identidade .
Clique em "Continuar" .
Em Protocolo de identidade , selecione OpenID Connect .
Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .
Em um novo navegador, acesse tab, log in para acessar o console de administração do Keycloak.
Selecione o domínio para integração com o Databricks ou crie um novo.
Crie um novo cliente:
1. Clique em Clientes e clique em Criar cliente .
2. Em Tipo de cliente , selecione OpenID Connect .
3. Insira um ID e um nome do cliente.
4. Clique em Avançar e em Salvar .
Configure o cliente Databricks:
1. Em Configurações de acesso , defina o URL inicial como o URL do seu site Databricks account .
2. Defina URIs de redirecionamento válidos para o URL de redirecionamento do Databricks que você copiou acima.
3. Na configuração de capacidade , defina a autenticação do cliente como Ativada para acesso confidencial.
Configure o mapeamento de membros do grupo:
1. Clique em Escopos do cliente e selecione o escopo dedicado para seu cliente.
2. Nos Mapeadores ( tab), clique em Configurar um novo mapeador .
3. Em Tipo de mapeador , selecione Participação em grupo .
4. Defina Nome e Nome da reivindicação de tokens como grupos .
5. Alterne o caminho completo do grupo para Ativado ou Desativado com base em sua preferência.
Retorne para a autenticação do console do Databricks account tab e insira os valores copiados do Keycloak:
1. ID do cliente : O ID do cliente do Keycloak.
2. Segredo do cliente : Encontrado em Credenciais tab do seu cliente Keycloak.
3. URL do emissor do OpenID: Seu URL do Keycloak com domínio (por exemplo, https://keycloak.example.com/realms/your-realm).
Clique em Salvar .
Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
Clique em Habilitar SSO para habilitar o login único em sua conta.
Teste o login do console da conta com SSO.
Adicionar usuários ao Databricks

É necessário adicionar usuários a Databricks para que eles possam acessar log in. Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Habilite o SSO do Keycloak usando SAML

Como administrador account , log in no consoleaccount e clique em Segurança .
Clique em Autenticação tab.
Ao lado de Autenticação , clique em gerenciar .
Escolha Login único com meu provedor de identidade .
Clique em "Continuar" .
No protocolo Identidade , selecione SAML 2.0 .
Na autenticação tab, anote o valor do URL de redirecionamentoDatabricks .
Em um novo navegador, acesse tab, log in para acessar o console de administração do Keycloak.
Selecione o domínio para integração com o Databricks ou crie um novo.
Crie um novo cliente:
1. Clique em Clientes e clique em Criar cliente .
2. Em Tipo de cliente , selecione SAML .
3. Insira um ID e um nome do cliente.
4. Clique em Avançar e em Salvar .
5. Nas configurações de login, defina URIs de redirecionamento válidos para o URL de redirecionamento do Databricks que você copiou acima.
Configure o cliente:
1. Em Configurações , acesse tab, em Recursos de SAML, defina o formato do ID de nome comoemail.
2. Ative o formato Forçar ID do nome .
3. Clique em Salvar .
Configure o mapeamento de atributos SAML:
1. Clique em Escopos do cliente e selecione o escopo dedicado para seu cliente.
2. Em Mappers (Mapeadores) tab, clique em Add predefined mapper (Adicionar mapeador predefinido).
3. Selecione X500 email , X500 nome e X500 sobrenome e clique em Adicionar .
Recuperar metadados SAML:
1. Clique em Configurações do reino e em Geral .
2. Clique em Metadados do provedor de identidade SAML 2.0 .
3. Nos metadados, salve os seguintes valores:
- O atributo Location no elemento SingleSignOnService (por exemplo, https://my-idp.example.com/realms/DatabricksRealm/protocol/saml). Este é o URL de login único em Databricks
- O atributo entityID no elemento EntityDescriptor (por exemplo, https://my-idp.example.com/realms/DatabricksRealm).
- A tag X509Certificate.
Retorne para a autenticação do console do Databricks account tab e insira os valores copiados do Keycloak:
1. URL de login único : O atributo Location no elemento SingleSignOnService que você copiou acima.
2. ID da entidade : O atributo “ entityID ” no elemento “ EntityDescriptor ” que você copiou acima.
3. X509Certificate : A tag X509Certificate que você copiou acima.
Clique em Salvar .
Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
Clique em Habilitar SSO para habilitar o login único em sua conta.
Teste o login do console da conta com SSO.
Adicionar usuários ao Databricks

É necessário adicionar usuários a Databricks para que eles possam acessar log in. Databricks Recomenda-se utilizar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e conceder a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.