SSO para Databricks com Keycloak
Este artigo mostra como configurar o Keycloak como o provedor de identidade para logon único (SSO) em seu Databricks account. O Keycloak é compatível com o OpenID Connect (OIDC) e o SAML 2.0. O Keycloak não é compatível com o SCIM para sincronizar usuários e grupos com o Databricks.
Aviso
Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em uma janela diferente do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.
Ativar o SSO do Keycloak usando o OIDC
account Como proprietário ou administrador do account, log in acesse o consoleaccount e clique no ícone Settings (Configurações ) na barra lateral.
Clique em Authentication (Autenticação ) tab.
Ao lado de Authentication (Autenticação), clique em gerenciar.
Escolha Login único com meu provedor de identidade.
Clique em "Continuar".
Em Protocolo de identidade, selecione OpenID Connect.
Em Authentication (Autent icação) tab , anote o valorDatabricks Redirect URL (URL de redirecionamento ).
Em um novo navegador tab, log in para o console de administração do Keycloak.
Selecione o reino para a integração com o Databricks ou crie um novo.
Crie um novo cliente:
Clique em Clientes e clique em Criar cliente.
Em Tipo de cliente, selecione OpenID Connect.
Insira um ID e um nome do cliente.
Clique em Avançar e em Salvar.
Configurar o cliente Databricks:
Em Access Settings (Configurações de acesso), defina Home URL (URL inicial ) como seu URL Databricks account . (Por exemplo,
https://accounts.cloud.databricks.com/
).Defina URIs de redirecionamento válidos para o URL de redirecionamento da Databricks que o senhor copiou acima.
Na configuração de capacidade, defina a autenticação do cliente como Ativada para acesso confidencial.
Configure o mapeamento de membros do grupo:
Clique em Escopos do cliente e selecione o escopo dedicado para seu cliente.
Em Mappers (Mapeadores ) tab, clique em Configure a new mapper (Configurar um novo mapeador).
Em Tipo de mapeador, selecione Participação em grupo.
Defina Name e tokens Claim Name como grupos.
Alterne o caminho completo do grupo para Ativado ou Desativado com base em sua preferência.
Volte ao console Databricks account Authentication tab e insira os valores que copiou do Keycloak:
ID do cliente: O ID do cliente do Keycloak.
Segredo do cliente: encontrado em Credentials tab do seu cliente Keycloak.
URL do emissor do OpenID: Seu URL do Keycloak com domínio (por exemplo,
https://keycloak.example.com/auth/realms/your-realm
).
Clique em Salvar.
Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
Clique em Habilitar SSO para habilitar o login único em sua conta.
Teste o login do console da conta com SSO.
Configurar o login unificado
O login unificado permite que você use a configuração de SSO do console da conta em seus workspaces do Databricks. Se sua conta foi criada depois de 21 de junho de 2023, o login unificado estará habilitado em sua conta por padrão para todos os workspaces, novos e existentes, e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.
Habilitar o SSO do Keycloak usando SAML
account Como proprietário ou administrador do account, log in acesse o consoleaccount e clique no ícone Settings (Configurações ) na barra lateral.
Clique em Authentication (Autenticação ) tab.
Ao lado de Authentication (Autenticação), clique em gerenciar.
Escolha Login único com meu provedor de identidade.
Clique em "Continuar".
Em Protocolo de identidade, selecione OpenID Connect.
Em Authentication (Autent icação) tab , anote o valorDatabricks Redirect URL (URL de redirecionamento ).
Em um novo navegador tab, log in para o console de administração do Keycloak.
Selecione o reino para a integração com o Databricks ou crie um novo.
Crie um novo cliente:
Clique em Clientes e clique em Criar cliente.
Em Client type (Tipo de cliente), selecione SAML.
Insira um ID e um nome do cliente.
Clique em Avançar e em Salvar.
Nas configurações de login, defina URIs de redirecionamento válidos para o URL de redirecionamento da Databricks que o senhor copiou acima.
Configure o cliente:
Em Settin gs (Configurações) tab , emSAML capabilities (Recursos de), defina Name ID format (Formato de ID de nome) como email.
Ative o formato Forçar ID do nome.
Clique em Salvar.
Configurar o mapeamento de atributos SAML:
Clique em Escopos do cliente e selecione o escopo dedicado para seu cliente.
No site Mappers tab, clique em Add predefined mapper (Adicionar mapeador predefinido).
Selecione X500 email, X500 givenName e X500 surname e clique em Add.
Recuperar metadados SAML:
Clique em Configurações do reino e em Geral.
Clique em SAML 2.0 Identity Provider Metadata (Metadados do provedor de identidade SAML 2.0).
Nos metadados, salve os seguintes valores:
O atributo
Location
no elementoSingleSignOnService
(por exemplo,https://my-idp.example.com/realms/DatabricksRealm/protocol/saml
). Este é o URL de logon único em DatabricksO atributo
entityID
no elementoEntityDescriptor
(por exemplo,https://my-idp.example.com/realms/DatabricksRealm
).A tag
X509Certificate
.
Volte ao console Databricks account Authentication tab e insira os valores que copiou do Keycloak:
URL de logon único: O atributo
Location
no elementoSingleSignOnService
que o senhor copiou acima.ID da entidade: O atributo
entityID
no elementoEntityDescriptor
que o senhor copiou acima.X509Certificate: A tag
X509Certificate
que o senhor copiou acima.
Clique em Salvar.
Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
Clique em Habilitar SSO para habilitar o login único em sua conta.
Teste o login do console da conta com SSO.
Configurar o login unificado
O login unificado permite que você use a configuração de SSO do console da conta em seus workspaces do Databricks. Se sua conta foi criada depois de 21 de junho de 2023, o login unificado estará habilitado em sua conta por padrão para todos os workspaces, novos e existentes, e não poderá ser desabilitado. Para configurar o login unificado, consulte Habilitar login unificado.