Configurar o SSO usando o OIDC

Este artigo mostra como configurar, de modo geral, o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando o OIDC. O senhor também pode ler as instruções específicas sobre como configurar o SSO com o OIDC para os seguintes provedores de identidade:

A demonstração a seguir orienta o senhor na configuração do SSO do OIDC com o Okta:

Para obter uma visão geral do single sign-on no site account, consulte Configurar SSO em Databricks.

Habilitar o SSO usando o OIDC

Aviso

Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em uma janela diferente do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.

  1. account Comolog in account administrador do , acesse o console e clique no ícone Settings (Configurações ) na barra lateral.

  2. Clique em Authentication (Autenticação) tab.

  3. Ao lado de Authentication (Autenticação), clique em gerenciar.

  4. Escolha Single sign-on com meu provedor de identidade.

  5. Clique em "Continuar".

  6. Em Identity protocol (Protocolo de identidade), selecione OpenID Connect.

  7. Copie o valor no campo Databricks Redirect URL.

    Configure o OIDC sso.
  8. Acesse o provedor de identidade e crie um novo aplicativo cliente (web), inserindo o valor do URL de redirecionamento da Databricks no campo apropriado na interface de configuração do provedor de identidade.

    Seu provedor de identidade deve ter documentação para orientá-lo nesse processo.

  9. Copie o ID do cliente, o segredo do cliente e o URL do emissor do OpenID gerados pelo provedor de identidade para o aplicativo.

    • ID do cliente é o identificador exclusivo do aplicativo Databricks que você criou em seu provedor de identidade. Às vezes, ele é chamado de ID do aplicativo.

    • Segredo do cliente é um segredo ou senha gerado para o aplicativo Databricks que você criou. Ele é usado para conceder autorização ao Databricks com o seu provedor de identidade.

    • O URL do emissor é o prefixo do URL no qual o documento de configuração do OpenID do seu provedor de identidade pode ser encontrado. Esse documento de configuração do OpenID deve estar em {issuer-url}/.well-known/openid-configuration.

      Remova a terminação /.well-known/openid-configuration do URL. Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.

  10. Retorne ao console Databricks account Authentication tab e insira os valores copiados do aplicativo do provedor de identidade nos campos Client ID (ID do cliente), Client secret (segredo do cliente) e OpenID issuer URL (URL do emissor do OpenID ).

  11. Opcionalmente, insira uma reivindicação de nome de usuário se quiser usar uma reivindicação diferente de email como nomes de usuário do Databricks dos usuários. Consulte a documentação de seu provedor de identidade para obter informações específicas sobre os valores dos sinistros.

    Acesso único tab
  12. Clique em Salvar.

  13. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

  14. Clique em Habilitar SSO para habilitar o login único em sua conta.

  15. Teste o login do console da conta com SSO.

  16. Conceda a todos os usuários do account acesso ao aplicativo Databricks em seu provedor de identidade. Talvez o senhor precise modificar as permissões de acesso ao aplicativo.

Configurar o login unificado

Depois de ativar o SSO no console account, o Databricks recomenda ativar o login unificado. O login unificado permite que o senhor use a configuração do console account SSO no seu espaço de trabalho Databricks. Se o seu account foi criado depois de 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho e não pode ser desativado. Para configurar o login unificado, consulte Habilitar login unificado.