SSO para Databricks com Microsoft Entra ID (anteriormente Azure Active Directory)

Este artigo mostra como configurar o Microsoft Entra ID (anteriormente Azure Active Directory) como o provedor de identidade para logon único (SSO) em sua account do Databricks. O Azure Active Directory dá suporte ao OpenID Connect (OIDC) e ao SAML 2.0.

Aviso

Para evitar o bloqueio do Databricks durante testes de logon único, o Databricks recomenda manter o account console aberto em uma janela diferente do navegador.

Ative a autenticação de logon único da account usando o OIDC

Como proprietário ou administrador da conta, logs in no console da conta e clique no ícone Configurações na barra lateral.
Clique na guia Logon único.
Na lista suspensa na parte topo desta guia, selecione OpenID Connect.
Na guia Logon único, anote o valor de URI de redirecionamento do Databricks.
Em outra tab do navegador, crie uma aplicação Microsoft Entra ID:
1. Faça login no portal do Azure como administrador.
2. No painel de serviços do Azure , clique em Microsoft Entra ID, no plano esquerdo, clique em Registros de aplicativos.
3. Clique em Novo registro.
4. Digite um nome.
5. Em Tipos de contas compatíveis, selecione: Somente contas neste diretório organizacional.
6. Em URI de redirecionamento, escolha web e cole o valor de URI de redirecionamento do Databricks.
7. Clique em Registrar.
Reúna as informações necessárias do aplicativo Microsoft Entra ID:
1. Em Fundamentos, copie o ID do aplicativo (cliente).
2. Clique em Endpoints.
3. Copie o URL em Documento de metadados do OpenID Connect
4. No painel esquerdo, clique em Certificados e segredos.
5. Clique em + Novo segredo do cliente.
6. Digite uma descrição e escolha uma expiração.
7. Clique em Adicionar.
8. Copie o valor secreto.
Retorne à guia Logon único do Databricks account console e digite os valores copiados do aplicativo do provedor de identidade nos campos ID do cliente, Segredo do cliente e URL do emissor do OpenID.Remova a terminação /.well-known/openid-configuration do URL.
Clique em Salvar.
Clique em Testar SSO para validar se a configuração do SSO está funcionando corretamente.
Clique em Ativar SSO para ativar o logon único para sua conta.
Teste o login do account console com SSO.

Ativar a autenticação de logon único da conta usando SAML

Siga estas etapas para criar um aplicativo SAML do portal do Azure que não seja da galeria para uso com o console account do Databricks.

Para obter o URL SAML do Databricks como account proprietário ou administrador do account , log in acesse o account console em . Clique em Settings na barra lateral e clique em Single sign-on tab. No seletor, selecione SAML 2.0. Copie o valor no campo Databricks Redirect URI.
Em outra tab do navegador, crie uma aplicação Microsoft Entra ID:
1. Faça login no portal do Azure como administrador.
2. No painel de serviços do Azure , clique em Microsoft Entra ID, no plano esquerdo, clique em Aplicativos corporativos. O painel Todos os aplicativos é aberto e exibe uma amostra aleatória dos aplicativos em seu tenant Microsoft Entra ID.
3. Clique em Novo aplicativo.
4. Clique em Criar seu próprio aplicativo.
5. Digite um nome.
6. Em O que você pretende fazer com seu aplicativo?, escolha Integrar qualquer outro aplicativo que você não encontre na galeria.
Configure o aplicativo Microsoft Entra ID:
1. Clique em Propriedades.
2. Defina Atribuição necessária como Não. A Databricks recomenda esta opção, que permite que todos os usuários entrem na account do Databricks. Os usuários devem ter acesso a esse aplicativo SAML para logs na sua account do Databricks usando SSO.
3. No painel de propriedades do aplicativo, clique em Configurar logon único.
4. Clique em SAML para configurar o aplicativo para autenticação SAML. O painel de propriedades SAML é exibido.
5. Ao lado de Configuração SAML básica, clique em Editar.
6. Defina o ID da entidade para a URL SAML do Databricks que você obteve na página de configuração SSO do Databricks.
7. Defina o URL de resposta como o URL SAML do Databricks que você obteve na página de configuração SSO do Databricks.
8. Ao lado de Certificado de assinatura SAML, clique em Editar.
9. Na lista dropdown Opção de assinatura, selecione Assinar resposta e asserção SAML.
10. Em Atributos e declarações, clique em Editar.
11. Defina o campo Identificador exclusivo do usuário (ID do nome) como user.mail.
12. Em Certificados SAML, ao lado de Certificado (Base64), clique em downloads. O certificado é downloads localmente como um arquivo com a extensão .cer.
13. Abra o arquivo .cer em um editor de texto e copie o conteúdo do arquivo. O arquivo é o certificado x.509 completo do aplicativo Microsoft Entra ID SAML.
  Importante
  - Não o abra usando o chaveiro do macOS, que é o aplicativo padrão para esse tipo de arquivo no macOS.
  - Os dados do certificado são confidenciais.Tenha cuidado sobre onde fazer o download deles. Exclua-os do armazenamento local assim que possível.
14. No portal do Azure, em Configurar Microsoft Entra ID SAML Toolkit, copie e salve a URL de login e o Microsoft Entra ID Identifier.
Configure Databricks na página SSO do console account Databricks. Consulte Habilitar autenticação de logon único de conta usando SAML para obter detalhes sobre campos opcionais.
1. Clique em Logon único.
2. Defina o dropdown do tipo SSO como SAML 2,0.
3. Defina URLSingle Sign On para o campo Microsoft Entra ID chamado URL de login.
4. Defina ID da entidade do provedor de identidade para o campo Microsoft Entra ID chamado Microsoft Entra ID Identifier.
5. Defina Certificado x.509 como o certificado Microsoft Entra ID x.509, incluindo os marcadores para o início e o fim do certificado.
6. Clique em Salvar.
7. Clique em Testar SSO para validar se a configuração do SSO está funcionando corretamente.
8. Clique em Ativar SSO para ativar o logon único para sua conta.
9. Teste o login do account console com SSO.