Configurar o SSO no Databricks
Este artigo mostra como configurar o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando o provedor de identidade da sua organização. Para sincronizar usuários e grupos do seu provedor de identidade, consulte Sincronizar usuários e grupos do seu provedor de identidade. Para permitir que os usuários acessem log in para Databricks com e-mail ou conta externa comum, como Google ou Microsoft, consulte Fazer login com email ou conta externa.
Visão geral da configuração do SSO
O SSO é compatível com o uso de SAML 2.0 ou OpenID Connect (OIDC). Seu provedor de identidade (IdP) deve oferecer suporte a pelo menos um desses protocolos.
Depois de ativar o SSO no console account, o senhor pode ativar o login unificado. O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Se o seu account foi criado após 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho, novos e existentes, e não pode ser desativado. Databricks recomenda ativar o login unificado em todos os espaços de trabalho. Para obter mais informações, consulte Habilitar login unificado.
No espaço de trabalho em que o login unificado está desativado, o senhor pode configurar o workspace-level SSO separadamente. Essa é uma configuração legada. Para obter mais informações, consulte Set up SSO for your workspace (legacy).
Quando o account-level SSO está ativado, os usuários, inclusive os administradores, devem fazer login no Databricks account e no espaço de trabalho habilitado para login unificado usando o logon único. Para evitar bloqueios, os administradores do account podem configurar o acesso de emergência para até vinte usuários. Os usuários que foram selecionados para acesso de emergência podem usar um nome de usuário e senha e um endereço de segurança key para log in. Consulte Acesso de emergência para evitar bloqueios.
O senhor pode ler as instruções genéricas sobre como configurar o SSO com OIDC ou SAML ou instruções específicas para diferentes provedores de identidade:
As demonstrações a seguir orientam o senhor na configuração do SSO com o Okta:
Habilitar o login unificado
O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Quando o SSO está ativado no seu account, o senhor pode optar por ativar o login unificado para todo o espaço de trabalho ou para o espaço de trabalho selecionado. O espaço de trabalho de login unificado usa a configuração account-level SSO e todos os usuários, incluindo os administradores account e workspace, devem fazer login em Databricks usando SSO. O senhor não pode gerenciar SSO separadamente no nível workspaceem um login unificado habilitado workspace. Databricks recomenda que o senhor configure o login unificado para todos os espaços de trabalho.
Se o seu account foi criado após 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho, novos e existentes, e não pode ser desativado.
O senhor pode ativar o login unificado usando o console account ou a página de configurações de administração workspace.
Para obter uma demonstração da configuração do login unificado, consulte Login unificado.
Habilite o login unificado usando o console da conta
SSO deve estar ativado no site account para ativar o login unificado.
account Comolog in account administrador do , acesse o console e clique no ícone Settings (Configurações ) na barra lateral.
Clique em Authentication (Autenticação) tab.
Em Login unificado, selecione Ativar login unificado.
Selecione All workspace (Todo o espaço de trabalho ) ou Selected workspace (Selecionado). Databricks recomenda que o senhor ative o login unificado para todos os espaços de trabalho.
Para ativar o login unificado no espaço de trabalho que configura o usuário para workspace conectividade privada, o senhor deve definir configurações adicionais. Consulte a Etapa 6: (Opcional) Configurar o PrivateLink front-end com login unificado.
Clique em Salvar
Habilite o login unificado usando a página de configurações de administração do workspace
Se o login unificado for ativado em um espaço de trabalho selecionado por um administrador account, um administrador workspace poderá ativar o login unificado em seu workspace. Se o login unificado estiver ativado em todos os espaços de trabalho, a configuração de logon único não estará disponível no nível workspace.
Para ativar o login unificado no espaço de trabalho que configura o usuário para workspace conectividade privada, o senhor deve configurar os passos adicionais. Veja o passo 6: (Opcional) Configure o PrivateLink front-end com login unificado.
Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.
Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).
Clique em Identity and access (Identidade e acesso ) tab.
Ao lado de SSO settings, clique em gerenciar.
Ao lado de Unified login (Login unificado ), clique em Enable (Ativar).
Atualizar para o login unificado
Se estiver ativando o login unificado em um site existente workspace com workspace-level SSO configurado, faça o seguinte:
Configure o logon único em seu site account.
Certifique-se de workspace que os usuários do accountseu tenham acesso ao aplicativo de nível SSO no seu provedor de identidade.
Conceder aos usuários acesso ao aplicativo account-level SSO não concede a eles nenhum acesso adicional em Databricks. Todos os usuários do Databricks workspace são automaticamente usuários do Databricks account. Consulte Como os administradores atribuem usuários à conta?
Configure o login unificado no site workspace da seguinte forma Habilite o login unificado.
Teste o SSO no workspace fazendo com que um usuário do workspace faça login.
Desative o aplicativo workspace-level SSO em seu provedor de identidade.