SSO para Databricks com Microsoft Entra ID (Azure Active Directory)

Este artigo mostra como configurar o Microsoft Entra ID (anteriormente Azure Active Directory) como o provedor de identidade para single sign-on (SSO) em seu Databricks account. O Microsoft Entra ID é compatível com o OpenID Connect (OIDC) e o SAML 2.0. Para sincronizar usuários e grupos do Microsoft Entra ID, consulte Sincronizar usuários e grupos do seu provedor de identidade.

Aviso

Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em outra janela do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para SSO.

Ativar a autenticação de login único da conta usando o OIDC

  1. Como account proprietário ou administrador account dolog in , acesse o account console e clique no ícone Settings (Configurações ) na barra lateral.

  2. Clique na guia Login único.

  3. Ao lado de Authentication (Autenticação), clique em gerenciar.

  4. Escolha Single sign-on com meu provedor de identidade.

  5. Clique em "Continuar".

  6. Em Identity protocol (Protocolo de identidade), selecione OpenID Connect.

  7. Na guia Login único, anote o valor do URI de redirecionamento do Databricks.

  8. Em outro navegador tab, crie um aplicativo Entra ID Microsoft:

    1. Faça login no portal do Azure como administrador.

    2. No painel Azure serviço, clique em Microsoft Entra ID, no painel esquerdo, clique em App registrations (Registros de aplicativos).

    3. Clique em Novo registro.

    4. Digite um nome.

    5. Em Tipos de contas compatíveis, selecione: Somente contas neste diretório organizacional.

    6. Em URI de redirecionamento, escolha web e cole o valor de URI de redirecionamento do Databricks.

    7. Clique em Registrar.

  9. Obtenha as informações necessárias no aplicativo Microsoft Entra ID:

    1. Em Fundamentos, copie o ID do aplicativo (cliente).

    2. Clique em Endpoints.

    3. Copie o URL em Documento de metadados do OpenID Connect

    4. No painel esquerdo, clique em Certificados e segredos.

    5. Clique em + Novo segredo do cliente.

    6. Digite uma descrição e escolha uma expiração.

    7. Clique em Adicionar.

    8. Copie o valor secreto.

  10. Volte à página Databricks account Single sign-on do console e insira os valores copiados do aplicativo do provedor de identidade nos campos Client ID (ID do cliente), Client secret (segredo do cliente ) e OpenID issuer URL (URL do emissor do OpenID ). Remova a terminação /.well-known/openid-configuration do URL.

    Guia de login único quando todos os valores forem inseridos

  11. Clique em Salvar.

  12. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

  13. Clique em Habilitar SSO para habilitar o login único em sua conta.

  14. Teste o login do console da conta com SSO.

Ativar a autenticação de logon único da conta usando SAML

Siga estas etapas para criar um aplicativo SAML do portal do Azure que não seja da galeria para uso com o console account do Databricks.

  1. Como account proprietário ou administrador account dolog in , acesse o account console e clique no ícone Settings (Configurações ) na barra lateral.

  2. Clique na guia Login único.

  3. Ao lado de Authentication (Autenticação), clique em gerenciar.

  4. Escolha Single sign-on com meu provedor de identidade.

  5. Clique em "Continuar".

  6. Em Identity protocol (Protocolo de identidade), selecione SAML 2.0.

  7. Na guia Login único, anote o valor do URI de redirecionamento do Databricks.

  8. Em outro navegador tab, crie um aplicativo Entra ID Microsoft:

    1. Faça login no portal do Azure como administrador.

    2. No painel Azure serviço, clique em Microsoft Entra ID, no painel esquerdo, clique em Aplicativos empresariais. O painel Todos os aplicativos é aberto e exibe uma amostra aleatória dos aplicativos em seu Microsoft Entra ID tenant.

    3. Clique em Novo aplicativo.

    4. Clique em Criar seu próprio aplicativo.

    5. Digite um nome.

    6. Em O que você pretende fazer com seu aplicativo?, escolha Integrar qualquer outro aplicativo que você não encontre na galeria.

  9. Configure o aplicativo Microsoft Entra ID:

    1. Clique em Properties.

    2. Defina Assignment required como No. O site Databricks recomenda essa opção, que permite que todos os usuários façam login no site Databricks account. Os usuários devem ter acesso a este aplicativo SAML para log em seu Databricks account usando SSO.

    3. No painel de propriedades do aplicativo, clique em Configurar logon único.

    4. Clique em SAML para configurar o aplicativo para autenticação SAML. O painel de propriedades SAML é exibido.

    5. Ao lado de Configuração SAML básica, clique em Editar.

    6. Defina o ID da entidade como o URL SAML da Databricks que o senhor obteve na página de configuração do SSO da Databricks.

    7. Defina o URL de resposta como o URL SAML da Databricks que o senhor obteve na página de configuração do SSO da Databricks.

    8. Ao lado de Certificado de assinatura SAML, clique em Editar.

    9. Na lista dropdown Opção de assinatura, selecione Assinar resposta e asserção SAML.

    10. Em Attributes (Atributos) & Claims (Reivindicações), clique em Edit (Editar).

    11. Defina o campo Unique User Identifier (Name ID) como user.mail.

    12. Em SAML Certificates, ao lado de Certificate (Base64), clique em download. O certificado é baixado localmente como um arquivo com a extensão .cer.

    13. Abra o arquivo .cer em um editor de texto e copie o conteúdo do arquivo. O arquivo é o certificado x.509 completo para o aplicativo Microsoft Entra ID SAML.

      Importante

      • Não o abra usando o chaveiro do macOS, que é o aplicativo padrão para esse tipo de arquivo no macOS.

      • Os dados do certificado são confidenciais.Tenha cuidado sobre onde fazer o download deles. Exclua-os do armazenamento local assim que possível.

    14. No portal do Azure, em Configurar o kit de ferramentas SAML do Microsoft Entra ID, copie e salve a URL de login e o identificador do Microsoft Entra ID.

  10. Configure o Databricks na página SSO do console da conta do Databricks.

    1. Defina o URL de logon único para o campo Microsoft Entra ID que foi chamado de URL de login.

    2. Defina o ID da entidade do provedor de identidade como o campo Microsoft Entra ID que foi chamado de Microsoft Entra ID Identifier.

    3. Defina o certificado x.509 como o certificado x.509 do Microsoft Entra ID, incluindo os marcadores para o início e o fim do certificado.

    4. Clique em Salvar.

    5. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

    6. Clique em Habilitar SSO para habilitar o login único em sua conta.

    7. Teste o login do console da conta com SSO.