Configurar o SSO no Databricks

Este artigo mostra como configurar o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando o provedor de identidade da sua organização. Para sincronizar usuários e grupos do seu provedor de identidade, consulte Sincronizar usuários e grupos do seu provedor de identidade. Para permitir que os usuários acessem log in para Databricks com e-mail ou conta externa comum, como Google ou Microsoft, consulte Fazer login com email ou conta externa.

Visão geral da configuração do SSO

O SSO é compatível com o uso de SAML 2.0 ou OpenID Connect (OIDC). Seu provedor de identidade (IdP) deve oferecer suporte a pelo menos um desses protocolos.

Depois de ativar o SSO no console account, o senhor pode ativar o login unificado. O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho, novos e existentes, e não pode ser desativado. Databricks recomenda ativar o login unificado em todos os espaços de trabalho. Para obter mais informações, consulte Habilitar login unificado.

No espaço de trabalho em que o login unificado está desativado, o senhor pode configurar o workspace-level SSO separadamente. Essa é uma configuração legada. Para obter mais informações, consulte Set up SSO for your workspace (legacy).

Quando o account-level SSO está ativado, os usuários, inclusive os administradores, devem fazer login no Databricks account e no espaço de trabalho habilitado para login unificado usando o logon único. Para evitar bloqueios, os administradores do account podem configurar o acesso de emergência para até vinte usuários. Os usuários que foram selecionados para acesso de emergência podem usar um nome de usuário e senha e um endereço de segurança key para log in. Consulte Acesso de emergência para evitar bloqueios.

O senhor pode ler as instruções genéricas sobre como configurar o SSO com OIDC ou SAML ou instruções específicas para diferentes provedores de identidade:

As demonstrações a seguir orientam o senhor na configuração do SSO com o Okta:

Habilitar o login unificado

O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Quando o SSO está ativado no seu account, o senhor pode optar por ativar o login unificado para todo o espaço de trabalho ou para o espaço de trabalho selecionado. O espaço de trabalho de login unificado usa a configuração account-level SSO e todos os usuários, incluindo os administradores account e workspace, devem fazer login em Databricks usando SSO. O senhor não pode gerenciar SSO separadamente no nível workspaceem um login unificado habilitado workspace. Databricks recomenda que o senhor configure o login unificado para todos os espaços de trabalho.

Se o seu account foi criado após 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho, novos e existentes, e não pode ser desativado.

O senhor pode ativar o login unificado usando o console account ou a página de configurações de administração workspace.

Para obter uma demonstração da configuração do login unificado, consulte Login unificado.

Habilite o login unificado usando o console da conta

SSO deve estar ativado no site account para ativar o login unificado.

  1. account Comolog in account administrador do , acesse o console e clique no ícone Settings (Configurações ) na barra lateral.

  2. Clique em Authentication (Autenticação) tab.

  3. Em Login unificado, selecione Ativar login unificado.

  4. Selecione All workspace (Todo o espaço de trabalho ) ou Selected workspace (Selecionado). Databricks recomenda que o senhor ative o login unificado para todos os espaços de trabalho.

    Para ativar o login unificado no espaço de trabalho que configura o usuário para workspace conectividade privada, o senhor deve definir configurações adicionais. Consulte a Etapa 6: (Opcional) Configurar o PrivateLink front-end com login unificado.

    Configure o login unificado.
  5. Clique em Salvar

Habilite o login unificado usando a página de configurações de administração do workspace

Se o login unificado for ativado em um espaço de trabalho selecionado por um administrador account, um administrador workspace poderá ativar o login unificado em seu workspace. Se o login unificado estiver ativado em todos os espaços de trabalho, a configuração de logon único não estará disponível no nível workspace.

Para ativar o login unificado no espaço de trabalho que configura o usuário para workspace conectividade privada, o senhor deve configurar os passos adicionais. Veja o passo 6: (Opcional) Configure o PrivateLink front-end com login unificado.

  1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.

  2. Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).

  3. Clique em Identity and access (Identidade e acesso ) tab.

  4. Ao lado de SSO settings, clique em gerenciar.

  5. Ao lado de Unified login (Login unificado ), clique em Enable (Ativar).

Atualizar para o login unificado

Se estiver ativando o login unificado em um site existente workspace com workspace-level SSO configurado, faça o seguinte:

  1. Configure o logon único em seu site account.

  2. Certifique-se de workspace que os usuários do accountseu tenham acesso ao aplicativo de nível SSO no seu provedor de identidade.

    Conceder aos usuários acesso ao aplicativo account-level SSO não concede a eles nenhum acesso adicional em Databricks. Todos os usuários do Databricks workspace são automaticamente usuários do Databricks account. Consulte Como os administradores atribuem usuários à conta?

  3. Configure o login unificado no site workspace da seguinte forma Habilite o login unificado.

  4. Teste o SSO no workspace fazendo com que um usuário do workspace faça login.

  5. Desative o aplicativo workspace-level SSO em seu provedor de identidade.