Configurar o SSO no Databricks

Este artigo mostra como configurar o logon único (SSO) para autenticar o console account e o espaço de trabalho Databricks usando o provedor de identidade da sua organização. Para sincronizar usuários e grupos do seu provedor de identidade, consulte Sincronizar usuários e grupos do seu provedor de identidade. Para permitir que os usuários acessem log in para Databricks com e-mail ou conta externa comum, como Google ou Microsoft, consulte Fazer login com email ou conta externa.

Visão geral da configuração do SSO

O SSO é compatível com o uso de SAML 2.0 ou OpenID Connect (OIDC). Seu provedor de identidade (IdP) deve ser compatível com pelo menos um desses protocolos.

Depois de ativar o SSO no console account, o senhor pode ativar o login unificado. O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Se o seu account foi criado depois de 21 de junho de 2023, o login unificado é ativado no seu account por default para todos os espaços de trabalho, novos e existentes, e não pode ser desativado. Databricks recomenda ativar o login unificado em todos os espaços de trabalho. Para obter mais informações, consulte Ativar login unificado.

No espaço de trabalho em que o login unificado está desativado, o senhor pode ativar workspace-level SSO precisa ser configurado separadamente. Essa é uma configuração herdada. Para obter mais informações, consulte Set up SSO for your workspace (legacy).

Quando o account-level SSO está ativado, todos os usuários, inclusive os administradores, devem fazer login no Databricks account e no espaço de trabalho habilitado para login unificado usando o logon único. Os usuários que foram selecionados para acesso de emergência podem usar um nome de usuário e senha e um endereço de segurança key para log in.

Para evitar bloqueios, os administradores do account podem configurar o acesso de emergência para até dez usuários. Consulte Acesso de emergência para SSO.

Você pode ler as instruções sobre como configurar o SSO para os seguintes provedores de identidade:

• Microsoft Entra ID (antigo Azure Active Directory)

• Okta

• Um login

As demonstrações a seguir orientam o senhor na configuração do SSO com o Okta:

• Proteja seu acesso ao Databricks com o SSO do OIDC

• Proteja seu acesso ao Databricks com SAML SSO

O processo é semelhante para qualquer provedor de identidade compatível com OIDC ou SAML 2.0. Se o seu provedor de identidade não estiver listado acima, siga as instruções para OIDC ou SAML.

Habilitar o login unificado

O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Quando o SSO está ativado no seu account, o senhor pode optar por ativar o login unificado para todo o espaço de trabalho ou para o espaço de trabalho selecionado. O espaço de trabalho de login unificado usa a configuração account-level SSO e todos os usuários, incluindo os administradores account e workspace, devem fazer login em Databricks usando SSO. O senhor não pode gerenciar SSO separadamente no nível workspaceem um login unificado habilitado workspace. Databricks recomenda que o senhor configure o login unificado para todos os espaços de trabalho.

Se o seu account foi criado depois de 21 de junho de 2023, o login unificado é ativado no seu account por default para todos os espaços de trabalho, novos e existentes, e não pode ser desativado.

O senhor pode ativar o login unificado usando o console account ou a página de configurações de administração workspace.

Para obter uma demonstração da configuração do login unificado, consulte Login unificado.

Habilite o login unificado usando o console da conta

SSO deve estar ativado no site account para ativar o login unificado.

1. account Comolog in account administrador do , acesse o console e clique no ícone Settings (Configurações ) na barra lateral.

2. Clique na guia Login único.

3. No login unificado, clique em Get começar.

4. Certifique-se de que todos os usuários do espaço de trabalho tenham acesso ao provedor de identidade em sua configuração account-level SSO. Clique em Confirm (Confirmar).

5. Escolha aplicar o login unificado a All workspace ou Selected workspace. Databricks recomenda que o senhor ative o login unificado para todos os espaços de trabalho. São necessários passos adicionais para ativar o login unificado no espaço de trabalho que configura a conectividade privada de usuário paraworkspace. Veja o passo 6: (Opcional) Configure o PrivateLink front-end com login unificado.

   Se o senhor escolher Selected workspace (Espaço de trabalho selecionado), opte por aplicar as configurações ao espaço de trabalho recém-criado e selecione o espaço de trabalho existente ao qual aplicar as configurações. Para ativar o login unificado no espaço de trabalho que configura o usuário para workspace conectividade privada, o senhor deve definir configurações adicionais. Veja o passo 6: (Opcional) Configure o PrivateLink front-end com login unificado.

6. Clique em Salvar

Habilite o login unificado usando a página de configurações de administração do workspace

Se o login unificado for ativado em um espaço de trabalho selecionado por um administrador account, um administrador workspace poderá ativar o login unificado em seu workspace. Se o login unificado estiver ativado em todos os espaços de trabalho, a configuração de logon único não estará disponível no nível workspace.

Para ativar o login unificado no espaço de trabalho que configura o usuário para workspace conectividade privada, o senhor deve configurar os passos adicionais. Veja o passo 6: (Opcional) Configure o PrivateLink front-end com login unificado.

1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.

2. Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).

3. Clique em Identity and access (Identidade e acesso ) tab.

4. Ao lado de SSO settings, clique em gerenciar.

5. Ao lado de Unified login (Login unificado ), clique em Enable (Ativar).

Atualizar para o login unificado

Se estiver ativando o login unificado em um site existente workspace com workspace-level SSO configurado, faça o seguinte:

1. Configure o logon único em seu site account.

2. Certifique-se de workspace que os usuários do accountseu tenham acesso ao aplicativo de nível SSO no seu provedor de identidade.

   Conceder aos usuários acesso ao aplicativo account-level SSO não concede a eles nenhum acesso adicional em Databricks. Todos os usuários do Databricks workspace são automaticamente usuários do Databricks account. Consulte Como os administradores atribuem usuários à conta?

3. Configure o login unificado no site workspace da seguinte forma Habilite o login unificado.

4. Teste o SSO no workspace fazendo com que um usuário do workspace faça login.

5. Desative o aplicativo workspace-level SSO em seu provedor de identidade.