SSO para Databricks com Microsoft Entra ID

Este artigo mostra como configurar o Microsoft Entra ID como provedor de identidade para single sign-on (SSO) em seu Databricks account. O Microsoft Entra ID é compatível com OpenID Connect (OIDC) e SAML 2.0. Para sincronizar usuários e grupos do Microsoft Entra ID, consulte Sincronizar usuários e grupos do seu provedor de identidade.

Aviso

Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em uma janela diferente do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.

Ativar o SSO do Microsoft Entra ID usando o OIDC

Como account proprietário ou administrador account dolog in , acesse o account console e clique no ícone Settings (Configurações ) na barra lateral.
Clique em Authentication (Autenticação) tab.
Ao lado de Authentication (Autenticação), clique em gerenciar.
Escolha Single sign-on com meu provedor de identidade.
Clique em "Continuar".
Em Identity protocol (Protocolo de identidade), selecione OpenID Connect.
Em Authentication (Autent icação) tab , anote o valorDatabricks Redirect URL (URL de redirecionamento ).
Em outro navegador tab, crie um aplicativo Entra ID Microsoft:
1. Faça login no portal Azure como administrador.
2. No painel Azure serviço, clique em Microsoft Entra ID, no painel esquerdo, clique em App registrations (Registros de aplicativos).
3. Clique em Novo registro.
4. Digite um nome.
5. Em Tipos de contas compatíveis, selecione: Somente contas neste diretório organizacional.
6. Em Redirect URI, escolha web e cole o valor do URL de redirecionamento do Databricks.
7. Clique em Registrar.
Obtenha as informações necessárias no aplicativo Microsoft Entra ID:
1. Em Fundamentos, copie o ID do aplicativo (cliente).
2. Clique em Endpoints.
3. Copie o URL em Documento de metadados do OpenID Connect
4. No painel esquerdo, clique em Certificados e segredos.
5. Clique em + Novo segredo do cliente.
6. Digite uma descrição e escolha uma expiração.
7. Clique em Adicionar.
8. Copie o valor secreto.
Retorne à página Authentication Databricks account (Autenticação ) do console e insira os valores copiados do aplicativo do provedor de identidade nos campos Client ID (ID do cliente), Client secret (segredo do cliente ) e OpenID issuer URL (URL do emissor do OpenID ). Remova a terminação /.well-known/openid-configuration do URL.

Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.
Opcionalmente, digite o nome de uma reivindicação na reivindicação Username (Nome de usuário ) se quiser usar uma reivindicação diferente de email como nomes de usuário do Databricks dos usuários. Para obter mais informações, consulte Personalizar uma reivindicação a ser usada para os nomes de usuário do seu account.
Clique em Salvar.
Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
Clique em Habilitar SSO para habilitar o login único em sua conta.
Teste o login do console da conta com SSO.
Configurar o login unificado

O login unificado permite que você use a configuração de SSO do console da conta em seus workspaces do Databricks. Se sua conta foi criada depois de 21 de junho de 2023, o login unificado estará habilitado em sua conta por padrão para todos os workspaces, novos e existentes, e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.

Habilitar o SSO do Microsoft Entra ID usando SAML

Siga estas etapas para criar um aplicativo SAML do portal do Azure que não seja da galeria para uso com o console account do Databricks.

Como account proprietário ou administrador account dolog in , acesse o account console e clique no ícone Settings (Configurações ) na barra lateral.
Clique em Authentication (Autenticação) tab.
Ao lado de Authentication (Autenticação), clique em gerenciar.
Escolha Single sign-on com meu provedor de identidade.
Clique em "Continuar".
Em Identity protocol (Protocolo de identidade), selecione SAML 2.0.
Em Authentication (Autent icação) tab , anote o valorDatabricks Redirect URL (URL de redirecionamento ).
Em outro navegador tab, crie um aplicativo Entra ID Microsoft:
1. Faça login no portal do Azure como administrador.
2. No painel Azure serviço, clique em Microsoft Entra ID, no painel esquerdo, clique em Aplicativos empresariais. O painel Todos os aplicativos é aberto e exibe uma amostra aleatória dos aplicativos em seu Microsoft Entra ID tenant.
3. Clique em Novo aplicativo.
4. Clique em Criar seu próprio aplicativo.
5. Digite um nome.
6. Em O que você pretende fazer com seu aplicativo?, escolha Integrar qualquer outro aplicativo que você não encontre na galeria.
Configure o aplicativo Microsoft Entra ID:
1. Clique em Properties.
2. Defina Assignment required como No. O site Databricks recomenda essa opção, que permite que todos os usuários façam login no site Databricks account. Os usuários devem ter acesso a este aplicativo SAML para log em seu Databricks account usando SSO.
3. No painel de propriedades do aplicativo, clique em Configurar logon único.
4. Clique em SAML para configurar o aplicativo para autenticação SAML. O painel de propriedades SAML é exibido.
5. Ao lado de Configuração SAML básica, clique em Editar.
6. Defina o ID da entidade como o URL SAML da Databricks que o senhor obteve na página de configuração do SSO da Databricks.
7. Defina o URL de resposta como o URL SAML da Databricks que o senhor obteve na página de configuração do SSO da Databricks.
8. Ao lado de Certificado de assinatura SAML, clique em Editar.
9. Na lista dropdown Opção de assinatura, selecione Assinar resposta e asserção SAML.
10. Em Attributes (Atributos) & Claims (Reivindicações), clique em Edit (Editar).
11. Defina o campo Unique User Identifier (Name ID) como user.mail.
12. Em SAML Certificates, ao lado de Certificate (Base64), clique em download. O certificado é baixado localmente como um arquivo com a extensão .cer.
13. Abra o arquivo .cer em um editor de texto e copie o conteúdo do arquivo. O arquivo é o certificado x.509 completo para o aplicativo Microsoft Entra ID SAML.
  Importante
  - Não o abra usando o chaveiro do macOS, que é o aplicativo padrão para esse tipo de arquivo no macOS.
  - Os dados do certificado são confidenciais.Tenha cuidado sobre onde fazer o download deles. Exclua-os do armazenamento local assim que possível.
14. No portal do Azure, em Configurar o kit de ferramentas SAML do Microsoft Entra ID, copie e salve a URL de login e o identificador do Microsoft Entra ID.
Configure o Databricks na página SSO do console da conta do Databricks.
1. Defina o URL de logon único para o campo Microsoft Entra ID que foi chamado de URL de login.
2. Defina o ID da entidade do provedor de identidade como o campo Microsoft Entra ID que foi chamado de Microsoft Entra ID Identifier.
3. Defina o Certificado x.509 como o certificado x.509 do Microsoft Entra ID, incluindo os marcadores para o início e o fim do certificado.
4. Clique em Salvar.
5. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
6. Clique em Habilitar SSO para habilitar o login único em sua conta.
7. Teste o login do console da conta com SSO.
Configurar o login unificado

O login unificado permite que você use a configuração de SSO do console da conta em seus workspaces do Databricks. Se sua conta foi criada depois de 21 de junho de 2023, o login unificado estará habilitado em sua conta por padrão para todos os workspaces, novos e existentes, e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.

Personalize uma reivindicação a ser usada para os nomes de usuário do seu account

Em default, os nomes de usuário em Databricks são representados como o endereço email de um usuário. Se quiser atribuir nomes de usuário usando um valor diferente, o senhor pode configurar uma nova reivindicação em seu Microsoft Entra account.

Em seu Microsoft Entra account, abra a página Overview (Visão geral ) do seu aplicativo.
Clique em gerenciar e, em seguida, em Manifestar.
Localize o acceptMappedClaims key e altere o valor para true.
Clique em Salvar e retorne à página de visão geral do aplicativo.
Clique em gerenciar e depois em Authentication.
Em Atributos & Reivindicações, clique em Editar.
Clique em Adicionar nova reivindicação e insira um nome para a reivindicação. Esse é o nome que o senhor digitará no campo de reivindicação Username (Nome de usuário ) da sua configuração de SSO da Databricks.
Em Atributo de origem, selecione o atributo de ID de entrada desejado para a declaração.
Clique em Salvar.