SSO no console da sua conta Databricks
Este artigo mostra como configurar o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando o provedor de identidade da sua organização. Para sincronizar usuários e grupos do seu provedor de identidade, consulte Sincronizar usuários e grupos do seu provedor de identidade.
Visão geral da configuração do SSO
O SSO é compatível com o uso de SAML 2.0 ou OpenID Connect (OIDC). Seu provedor de identidade (IdP) deve ser compatível com pelo menos um desses protocolos.
Depois de ativar o SSO no console account, o senhor pode optar por ativar o login unificado. O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Se o seu account foi criado depois de 21 de junho de 2023, o login unificado é ativado no seu account por default para todos os espaços de trabalho, novos e existentes, e não pode ser desativado. Para obter mais informações, consulte Habilitar login unificado.
No espaço de trabalho em que o login unificado está desativado, o workspace-level SSO precisa ser configurado separadamente. Para obter mais informações, consulte Configurar SSO para seu workspace.
Você pode ler as instruções sobre como configurar o SSO para os seguintes provedores de identidade:
O processo é semelhante para qualquer provedor de identidade compatível com OIDC ou SAML 2.0. Se o seu provedor de identidade não estiver listado acima, siga as instruções para OIDC ou SAML.
Processo de acesso à account
Quando o account-level SSO está ativado, o comportamento de login é o seguinte:
Todos os usuários, inclusive os administradores, devem fazer login no Databricks account e no espaço de trabalho habilitado para login unificado usando o logon único. Os usuários que foram selecionados para acesso de emergência podem usar um nome de usuário e senha e um hardware de segurança FIDO 2 key para log in. Se o seu account foi criado antes de 21 de junho de 2023, o proprietário do account também pode fazer login no Databricks account usando seu nome de usuário e senha.
Os administradores de accounts podem usar seu nome de usuário e senha para fazer chamadas à API REST no nível da conta.
Todos os usuários podem usar seu nome de usuário e senha para fazer chamadas workspace-level REST API . A autenticação básica é herdada e não é recomendada na produção.
Para saber mais sobre o processo de login do workspace quando o SSO está ativado, consulte o processo de login doworkspace .
Habilitar o login unificado
Visualização
O login unificado está atualmente em Public Preview para contas criadas antes de 21 de junho de 2023. O login unificado geralmente está disponível para contas criadas após 21 de junho de 2023.
O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Quando o SSO está ativado no seu account, o senhor pode optar por ativar o login unificado para todos os espaços de trabalho ou para os espaços de trabalho selecionados. O espaço de trabalho de login unificado usa a configuração account-level SSO e todos os usuários, incluindo os administradores account e workspace, devem fazer login em Databricks usando SSO. O senhor não pode gerenciar SSO separadamente no nível workspaceem um login unificado habilitado workspace. Databricks recomenda que o senhor configure o login unificado para todos os espaços de trabalho.
Se o seu account foi criado depois de 21 de junho de 2023, o login unificado é ativado no seu account por default para todos os espaços de trabalho, novos e existentes, e não pode ser desativado.
O senhor pode ativar o login unificado usando o console account ou a página de configurações de administração workspace.
Habilite o login unificado usando o console da conta
SSO deve estar ativado no site account para ativar o login unificado.
account Comolog in account administrador do , acesse o console e clique no ícone Settings (Configurações ) na barra lateral.
Clique na guia Login único.
No login unificado, clique em Get começar.
Certifique-se de que todos os usuários do espaço de trabalho tenham acesso ao provedor de identidade em sua configuração account-level SSO. Clique em Confirm (Confirmar).
Escolha aplicar o login unificado a All workspace ou Selected workspace. Databricks recomenda que o senhor ative o login unificado para todos os espaços de trabalho. São necessários passos adicionais para ativar o login unificado no espaço de trabalho que configura a conectividade privada de usuário paraworkspace. Veja o passo 5: (Opcional) Configure o PrivateLink front-end com login unificado.
Se o senhor escolher Selected workspace (Espaço de trabalho selecionado), opte por aplicar as configurações ao espaço de trabalho recém-criado e selecione o espaço de trabalho existente ao qual aplicar as configurações.
Clique em Salvar
Habilite o login unificado usando a página de configurações de administração do workspace
Se o login unificado for ativado em um espaço de trabalho selecionado por um administrador account, um administrador workspace poderá ativar o login unificado em seu workspace. Se o login unificado estiver ativado em todos os espaços de trabalho, a configuração de logon único não estará disponível no nível workspace.
Para ativar o login unificado no espaço de trabalho que configura o usuário para workspace conectividade privada, o senhor deve configurar os passos adicionais. Veja o passo 5: (Opcional) Configure o PrivateLink front-end com login unificado.
Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.
Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).
Clique em Identity and access (Identidade e acesso ) tab.
Ao lado de SSO settings, clique em gerenciar.
Ao lado de Unified login (Login unificado ), clique em Enable (Ativar).
Atualizar para o login unificado
Se estiver ativando o login unificado em um site existente workspace com workspace-level SSO configurado, faça o seguinte:
Configure o logon único em seu site account.
Certifique-se de workspace que os usuários do accountseu tenham acesso ao aplicativo de nível SSO no seu provedor de identidade.
Conceder aos usuários acesso ao aplicativo account-level SSO não concede a eles nenhum acesso adicional em Databricks. Todos os usuários do Databricks workspace são automaticamente usuários do Databricks account. Consulte Como os administradores atribuem usuários à conta?
Configure o login unificado no site workspace da seguinte forma Habilite o login unificado.
Teste o SSO no workspace fazendo com que um usuário do workspace faça login.
Desative o aplicativo workspace-level SSO em seu provedor de identidade.
Configurar o acesso de emergência
Visualização
Esse recurso está em Private Preview. Para join essa visualização, entre em contato com a equipe Databricks account .
Para evitar o bloqueio, os administradores do account podem configurar o acesso de emergência para que até dez usuários façam login no Databricks por meio de autenticação multifator usando a chave de segurança. Databricks recomenda que os usuários configurem uma senha forte e pelo menos uma segurança de hardware FIDO 2 key para fazer login usando o acesso de emergência.
Para configurar o acesso de emergência:
account Comolog in account administrador do , acesse o console e clique no ícone Settings (Configurações ) na barra lateral.
Clique na guia Login único.
Em Acesso de emergência, escolha até dez usuários que podem fazer login usando o acesso de emergência. Esses usuários devem registrar a chave de segurança.
Clique em Salvar.
Pode levar até dois minutos para que os usuários vejam a página de gerenciamento do key security.
registro de segurança key para acesso de emergência
Para registrar uma segurança key:
Como um usuário com acesso de emergência, acesse log in no consoleaccount .
Clique na seta para baixo ao lado do seu nome de usuário no canto superior direito.
Clique em Preferências do usuário.
Em Authentication (Autenticação), clique em Add key (Adicionar chave).
O senhor precisa configurar uma senha para adicionar um key. Se ainda não tiver configurado uma senha, o senhor verá uma solicitação para Reset sua senha primeiro.
Clique em Set up e siga as instruções do navegador para configurar seu key.
Depois de configurar seu key, o senhor verá uma notificação Databricks informando que a segurança key foi adicionada com sucesso.
Faça login na Databricks usando uma chave de segurança
Para fazer login usando o acesso de emergência e a segurança key:
Como um usuário com acesso de emergência, acesse o consoleaccount .
Clique em Sign in (Entrar) com as credenciais da Databricks.
Digite seu nome de usuário e senha. Clique em Continue.
Siga as instruções do navegador para usar sua segurança key.