SSO para Databricks com Microsoft Entra ID (Azure Active Directory)

Este artigo mostra como configurar o Microsoft Entra ID (anteriormente Azure Active Directory) como o provedor de identidade para single sign-on (SSO) em seu Databricks account. O Microsoft Entra ID é compatível com o OpenID Connect (OIDC) e o SAML 2.0. Para sincronizar usuários e grupos do Microsoft Entra ID, consulte Sincronizar usuários e grupos do seu provedor de identidade.

Aviso

Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em uma janela diferente do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Configurar o acesso de emergência.

Ativar a autenticação de login único da conta usando o OIDC

  1. Como account proprietário ou administrador account dolog in , acesse o account console e clique no ícone Settings (Configurações ) na barra lateral.

  2. Clique na guia Login único.

  3. Na lista suspensa na parte topo desta guia, selecione OpenID Connect.

  4. Na guia Login único, anote o valor do URI de redirecionamento do Databricks.

  5. Em outro navegador tab, crie um aplicativo Entra ID Microsoft:

    1. Faça login no portal do Azure como administrador.

    2. No painel Azure serviço, clique em Microsoft Entra ID, no plano esquerdo, clique em App registrations (Registros de aplicativos).

    3. Clique em Novo registro.

    4. Digite um nome.

    5. Em Tipos de contas compatíveis, selecione: Somente contas neste diretório organizacional.

    6. Em URI de redirecionamento, escolha web e cole o valor de URI de redirecionamento do Databricks.

    7. Clique em Registrar.

  6. Obtenha as informações necessárias no aplicativo Microsoft Entra ID:

    1. Em Fundamentos, copie o ID do aplicativo (cliente).

    2. Clique em Endpoints.

    3. Copie o URL em Documento de metadados do OpenID Connect

    4. No painel esquerdo, clique em Certificados e segredos.

    5. Clique em + Novo segredo do cliente.

    6. Digite uma descrição e escolha uma expiração.

    7. Clique em Adicionar.

    8. Copie o valor secreto.

  7. Retorne à guia Logon único do Databricks account console e digite os valores copiados do aplicativo do provedor de identidade nos campos ID do cliente, Segredo do cliente e URL do emissor do OpenID.Remova a terminação /.well-known/openid-configuration do URL.

    Guia de login único quando todos os valores forem inseridos
  8. Clique em Salvar.

  9. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

  10. Clique em Habilitar SSO para habilitar o login único em sua conta.

  11. Teste o login do console da conta com SSO.

Ativar a autenticação de logon único da conta usando SAML

Siga estas etapas para criar um aplicativo SAML do portal do Azure que não seja da galeria para uso com o console account do Databricks.

  1. Para obter o Databricks SAML URL como account proprietário ou administrador account , log in acesse o account console em . Clique em Settings na barra lateral e clique em Single sign-on tab. No seletor, selecione SAML 2.0. Copie o valor no campo Databricks Redirect URI.

  2. Em outro navegador tab, crie um aplicativo Entra ID Microsoft:

    1. Faça login no portal do Azure como administrador.

    2. No painel Azure serviço, clique em Microsoft Entra ID, no plano esquerdo, clique em Enterprise applications (Aplicativos corporativos). O painel Todos os aplicativos é aberto e exibe uma amostra aleatória dos aplicativos em seu Microsoft Entra ID tenant.

    3. Clique em Novo aplicativo.

    4. Clique em Criar seu próprio aplicativo.

    5. Digite um nome.

    6. Em O que você pretende fazer com seu aplicativo?, escolha Integrar qualquer outro aplicativo que você não encontre na galeria.

  3. Configure o aplicativo Microsoft Entra ID:

    1. Clique em Properties.

    2. Defina Assignment required como No. O site Databricks recomenda essa opção, que permite que todos os usuários façam login no site Databricks account. Os usuários devem ter acesso a este aplicativo SAML para log em seu Databricks account usando SSO.

    3. No painel de propriedades do aplicativo, clique em Configurar logon único.

    4. Clique em SAML para configurar o aplicativo para autenticação SAML. O painel de propriedades SAML é exibido.

    5. Ao lado de Configuração SAML básica, clique em Editar.

    6. Defina o ID da entidade como o URL SAML da Databricks que o senhor obteve na página de configuração do SSO da Databricks.

    7. Defina o URL de resposta como o URL SAML da Databricks que o senhor obteve na página de configuração do SSO da Databricks.

    8. Ao lado de Certificado de assinatura SAML, clique em Editar.

    9. Na lista dropdown Opção de assinatura, selecione Assinar resposta e asserção SAML.

    10. Em Attributes (Atributos) & Claims (Reivindicações), clique em Edit (Editar).

    11. Defina o campo Unique User Identifier (Name ID) como user.mail.

    12. Em SAML Certificates, ao lado de Certificate (Base64), clique em download. O certificado é baixado localmente como um arquivo com a extensão .cer.

    13. Abra o arquivo .cer em um editor de texto e copie o conteúdo do arquivo. O arquivo é o certificado x.509 completo para o aplicativo Microsoft Entra ID SAML.

      Importante

      • Não o abra usando o chaveiro do macOS, que é o aplicativo padrão para esse tipo de arquivo no macOS.

      • Os dados do certificado são confidenciais.Tenha cuidado sobre onde fazer o download deles. Exclua-os do armazenamento local assim que possível.

    14. No portal do Azure, em Configurar o kit de ferramentas SAML do Microsoft Entra ID, copie e salve a URL de login e o identificador do Microsoft Entra ID.

  4. Configure Databricks na página Databricks account console SSO. Consulte Ativar a autenticação de logon único da conta usando SAML para obter detalhes sobre os campos opcionais.

    1. Clique em Login único.

    2. Defina o menu suspenso SSO type (tipo de SSO) como SAML 2.0.

    3. Defina o URL de logon único para o campo Microsoft Entra ID que foi chamado de URL de login.

    4. Defina o ID da entidade do provedor de identidade como o campo Microsoft Entra ID que foi chamado de Microsoft Entra ID Identifier.

    5. Defina o certificado x.509 como o certificado x.509 do Microsoft Entra ID, incluindo os marcadores para o início e o fim do certificado.

    6. Clique em Salvar.

    7. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

    8. Clique em Habilitar SSO para habilitar o login único em sua conta.

    9. Teste o login do console da conta com SSO.