Configurar o SSO no Databricks
Este artigo mostra como configurar o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando o provedor de identidade da sua organização. Para sincronizar usuários e grupos do seu provedor de identidade, consulte Sincronizar usuários e grupos do seu provedor de identidade. Para permitir que os usuários acessem log in para Databricks com e-mail ou conta externa comum, como Google ou Microsoft, consulte Fazer login com email ou conta externa.
Visão geral da configuração do SSO
O SSO é compatível com o uso de SAML 2.0 ou OpenID Connect (OIDC). Seu provedor de identidade (IdP) deve ser compatível com pelo menos um desses protocolos.
Depois de ativar o SSO no console account, o senhor pode ativar o login unificado. O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Se o seu account foi criado depois de 21 de junho de 2023, o login unificado é ativado no seu account por default para todos os espaços de trabalho, novos e existentes, e não pode ser desativado. Databricks recomenda ativar o login unificado em todos os espaços de trabalho. Para obter mais informações, consulte Ativar login unificado.
No espaço de trabalho em que o login unificado está desativado, o senhor pode ativar workspace-level SSO precisa ser configurado separadamente. Essa é uma configuração herdada. Para obter mais informações, consulte Set up SSO for your workspace (legacy).
Quando o account-level SSO está ativado, os usuários, inclusive os administradores, devem fazer login no Databricks account e no espaço de trabalho habilitado para login unificado usando o logon único. Para evitar bloqueios, os administradores do account podem configurar o acesso de emergência para até vinte usuários. Os usuários que foram selecionados para acesso de emergência podem usar um nome de usuário e senha e um endereço de segurança key para log in. Consulte Acesso de emergência para evitar bloqueios.
Você pode ler as instruções sobre como configurar o SSO para os seguintes provedores de identidade:
As demonstrações a seguir orientam o senhor na configuração do SSO com o Okta:
O processo é semelhante para qualquer provedor de identidade compatível com OIDC ou SAML 2.0. Se o seu provedor de identidade não estiver listado acima, siga as instruções para OIDC ou SAML.
Habilitar o login unificado
O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Quando o SSO está ativado no seu account, o senhor pode optar por ativar o login unificado para todo o espaço de trabalho ou para o espaço de trabalho selecionado. O espaço de trabalho de login unificado usa a configuração account-level SSO e todos os usuários, incluindo os administradores account e workspace, devem fazer login em Databricks usando SSO. O senhor não pode gerenciar SSO separadamente no nível workspaceem um login unificado habilitado workspace. Databricks recomenda que o senhor configure o login unificado para todos os espaços de trabalho.
Se o seu account foi criado depois de 21 de junho de 2023, o login unificado é ativado no seu account por default para todos os espaços de trabalho, novos e existentes, e não pode ser desativado.
O senhor pode ativar o login unificado usando o console account ou a página de configurações de administração workspace.
Para obter uma demonstração da configuração do login unificado, consulte Login unificado.
Habilite o login unificado usando o console da conta
SSO deve estar ativado no site account para ativar o login unificado.
account Comolog in account administrador do , acesse o console e clique no ícone Settings (Configurações ) na barra lateral.
Clique em Authentication (Autenticação) tab.
No login unificado, clique em Get começar.
Certifique-se de que todos os usuários do espaço de trabalho tenham acesso ao provedor de identidade em sua configuração account-level SSO. Clique em Confirm (Confirmar).
Escolha aplicar o login unificado a All workspace ou Selected workspace. Databricks recomenda que o senhor ative o login unificado para todos os espaços de trabalho. São necessários passos adicionais para ativar o login unificado no espaço de trabalho que configura a conectividade privada de usuário paraworkspace. Veja o passo 6: (Opcional) Configure o PrivateLink front-end com login unificado.
Se o senhor escolher Selected workspace (Espaço de trabalho selecionado), opte por aplicar as configurações ao espaço de trabalho recém-criado e selecione o espaço de trabalho existente ao qual aplicar as configurações. Para ativar o login unificado no espaço de trabalho que configura o usuário para workspace conectividade privada, o senhor deve definir configurações adicionais. Veja o passo 6: (Opcional) Configure o PrivateLink front-end com login unificado.
Clique em Salvar
Habilite o login unificado usando a página de configurações de administração do workspace
Se o login unificado for ativado em um espaço de trabalho selecionado por um administrador account, um administrador workspace poderá ativar o login unificado em seu workspace. Se o login unificado estiver ativado em todos os espaços de trabalho, a configuração de logon único não estará disponível no nível workspace.
Para ativar o login unificado no espaço de trabalho que configura o usuário para workspace conectividade privada, o senhor deve configurar os passos adicionais. Veja o passo 6: (Opcional) Configure o PrivateLink front-end com login unificado.
Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.
Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).
Clique em Identity and access (Identidade e acesso ) tab.
Ao lado de SSO settings, clique em gerenciar.
Ao lado de Unified login (Login unificado ), clique em Enable (Ativar).
Atualizar para o login unificado
Se estiver ativando o login unificado em um site existente workspace com workspace-level SSO configurado, faça o seguinte:
Configure o logon único em seu site account.
Certifique-se de workspace que os usuários do accountseu tenham acesso ao aplicativo de nível SSO no seu provedor de identidade.
Conceder aos usuários acesso ao aplicativo account-level SSO não concede a eles nenhum acesso adicional em Databricks. Todos os usuários do Databricks workspace são automaticamente usuários do Databricks account. Consulte Como os administradores atribuem usuários à conta?
Configure o login unificado no site workspace da seguinte forma Habilite o login unificado.
Teste o SSO no workspace fazendo com que um usuário do workspace faça login.
Desative o aplicativo workspace-level SSO em seu provedor de identidade.