Configure o SSO no console da sua conta do Databricks

Este artigo mostra como configurar o logon único (SSO) para autenticar no console account e no workspace do Databricks usando o provedor de identidade da sua organização.

Visão geral da configuração do SSO

O SSO oferece suporte ao uso de SAML 2.0 ou OpenID Connect (OIDC). Seu provedor de identidade (IdP) deve oferecer suporte a pelo menos um desses protocolos.

Depois de ativar o SSO no console account , você poderá optar por ativar o login unificado. O login unificado permite que você gerencie uma configuração de SSO em sua account que é usada para a account e workspace do Databricks. Se sua account foi criada depois de 21 de junho de 2023, o login unificado estará habilitado em sua account por default para todos workspace, novos e existentes, e não poderá ser desabilitado. Para obter mais informações, consulte Habilitar login unificado.

No workspace onde o login unificado está desabilitado, o SSO no nível workspaceprecisa ser configurado separadamente. Para obter mais informações, consulte Configurar SSO para seu workspace.

Você pode ler as instruções sobre como configurar o SSO para os seguintes provedores de identidade:

O processo é semelhante para qualquer provedor de identidade compatível com OIDC ou SAML 2.0. Se o seu provedor de identidade não estiver listado acima, siga as instruções abaixo para OIDC ou SAML.

Ative a autenticação de logon único da account usando o OIDC

Aviso

Para evitar o bloqueio do Databricks durante testes de logon único, o Databricks recomenda manter o account console aberto em uma janela diferente do navegador.

  1. Como administrador da conta, log in no console da conta e clique no ícone Configurações na barra lateral.

  2. Clique na guia Logon único .

  3. No dropdown na parte topo desta guia, selecione OpenID Connect.

  4. Na guia Logon único, anote o valor de URI de redirecionamento do Databricks.

  5. Vá para seu provedor de identidade e crie um novo aplicativo cliente (web), inserindo o valor de URI de redirecionamento do Databricks no campo apropriado na interface de configuração do provedor de identidade.

    Seu provedor de identidade deve ter documentação para orientá-lo nesse processo.

  6. Copie o ID do cliente, o segredo do cliente e o URL do emissor do OpenID gerados pelo provedor de identidade para o aplicativo.

    • ID do cliente é o identificador exclusivo do aplicativo Databricks que você criou em seu provedor de identidade. Às vezes, ele é chamado de ID do aplicativo.

    • Segredo do cliente é um segredo ou senha gerado para o aplicativo Databricks que você criou. É usado para autorizar o Databricks junto a seu provedor de identidade.

    • O URL do emissor do OpenID é o URL no qual o documento de configuração do OpenID de seu provedor de identidade pode ser encontrado. Esse documento de configuração do OpenID deve ser encontrado em {issuer-url}/.well-known/openid-configuration.

  7. Retorne à guia Logon único do Databricks account console e digite os valores copiados do aplicativo do provedor de identidade nos campos ID do cliente, Segredo do cliente e URL do emissor do OpenID.

    Guia Logon único quando todos os valores tiverem sido digitados
  8. Clique em Salvar.

  9. Clique em Testar SSO para validar se a configuração do SSO está funcionando corretamente.

  10. Clique em Ativar SSO para ativar o logon único para sua conta.

  11. Teste o login do account console com SSO.

  12. Conceda a todos os utilizadores account acesso à aplicação Databricks no seu fornecedor de identidade. Talvez seja necessário modificar as permissões de acesso do aplicativo.

Ativar a autenticação de logon único da conta usando SAML

As instruções a seguir descrevem como usar o SAML 2.0 para autenticar usuários do console account .

Aviso

Para evitar o bloqueio do Databricks durante testes de logon único, o Databricks recomenda manter o account console aberto em uma janela diferente do navegador.

  1. Veja a página SSO do console da conta e copie o URL SAML:

    1. Como administrador da conta, log in no console da conta e clique no ícone Configurações na barra lateral.

    2. Clique na guia Logon único .

    3. No dropdown na parte topo desta guia, selecione SAML 2.0.

    4. Copie o valor no campo Databricks Redirect URI. O senhor precisará do URL SAML da Databricks para um passo posterior.

  2. Em outra janela ou guia do navegador, crie um aplicativo Databricks em seu provedor de identidade:

    1. Acesse seu provedor de identidade (IdP).

    2. Crer um novo aplicativo cliente (web):

      • Use a documentação de seu provedor de identidade conforme necessário.

      • Para o campo URL SAML (que pode ser chamado de URL de redirecionamento), use o URL SAML do Databricks que você copiou da página Databricks.

    3. Copie os seguintes objetos e campos de seu novo aplicativo Databricks:

      • O certificado x.509: um certificado digital fornecido por seu provedor de identidade para proteger as comunicações entre o Databricks e o provedor de identidade

      • O URL de logon único (SSO) do seu provedor de identidade. Esse é o URL que inicia o logon único com seu provedor de identidade. Às vezes, também é chamado de endpoint SAML.

      • O emissor do provedor de identidade: é o identificador exclusivo de seu provedor de identidade SAML. Às vezes, é chamado de ID da entidade ou URL do emissor.

  3. Configure sua Databricks account para usar seu provedor de identidade:

    1. Retorne à guia ou janela do navegador com a página SSO do Databricks account console.

    2. Digite ou cole os seguintes campos do aplicativo Databricks de seu provedor de identidade: o URL de logon único, o ID da entidade do provedor de identidade e o certificado x.509.

      SSO SAML
    3. Clique em Salvar.

    4. Clique em Testar SSO para validar se a configuração do SSO está funcionando corretamente.

    5. Clique em Ativar SSO para ativar o logon único para sua conta.

    6. Teste o login do account console com SSO.

  4. Conceda a todos os utilizadores account acesso à aplicação Databricks no seu fornecedor de identidade. Talvez seja necessário modificar as permissões de acesso do aplicativo.

Habilitar login unificado

Visualização

O login unificado está atualmente em visualização pública para account criadas antes de 21 de junho de 2023. O login unificado está geralmente disponível para account criadas após 21 de junho de 2023.

O login unificado permite que você gerencie uma configuração de SSO em sua account que é usada para a account e workspace do Databricks. Quando o SSO estiver ativado em sua account, você poderá optar por ativar o login unificado para todos workspace ou para os workspace selecionados. workspace de login unificado usa a configuração de SSO no nível account , e todos os usuários, incluindo administradores account e workspace , devem entrar no Databricks usando SSO. Você não pode gerenciar o SSO separadamente no nível workspaceem um workspace habilitado para login unificado. A Databricks recomenda que você configure o login unificado para todos workspace.

Se sua account foi criada depois de 21 de junho de 2023, o login unificado estará habilitado em sua account por default para todos workspace, novos e existentes, e não poderá ser desabilitado.

Você pode ativar o login unificado usando o console account ou a página de configurações de administração workspace .

Habilite o login unificado usando o console da conta

O SSO deve estar habilitado na account para habilitar o login unificado.

  1. Como administrador da conta, log in no console da conta e clique no ícone Configurações na barra lateral.

  2. Clique na guia Logon único .

  3. Em Login unificado, clique em Obter começar.

  4. Certifique-se de que todos os usuários dos workspaces tenham acesso ao provedor de identidade na configuração de SSO no nível da account . Clique em Confirmar.

  5. Escolha aplicar login unificado a All workspace ou Selected workspace. A Databricks recomenda que você habilite o login unificado para todos workspace.

    1. Se você escolher workspaceselecionado, opte por aplicar as configurações ao workspace recém-criado e selecione o workspace existente ao qual aplicar as configurações.

  6. Clique em Salvar

Habilite o login unificado usando a página de configurações do administrador do workspace

Se o login unificado for habilitado em workspaces selecionados por um administrador account , um administrador de workspace poderá habilitar o login unificado em seu workspace. Se o login unificado estiver ativado em todos workspace, a configuração de logon único não estará disponível no nível do workspace .

  1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.

  2. Clique em seu nome de usuário na barra superior do espaço de trabalho Databricks e selecione Configurações de administrador.

  3. Clique na Identidade e acesso tab.

  4. Ao lado de Configurações de SSO, clique em gerenciar.

  5. Ao lado de Login unificado, clique em Habilitar.

Atualizar para login unificado

Se você estiver habilitando o login unificado em um workspace existente com SSO no nível do workspace configurado, faça o seguinte:

  1. Configure o login único em sua account.

  2. Certifique-se de que os usuários no seu workspace tenham acesso ao aplicativo SSO no nível accountno seu provedor de identidade.

    Conceder aos utilizadores acesso à aplicação SSO ao nível accountnão lhes concede qualquer acesso adicional em Databricks. Todos os usuários workspace do Databricks são automaticamente usuários na account do Databricks. Consulte Como os administradores atribuem usuários à conta?.

  3. Configure o login unificado no workspace seguindo Enable unified login.

  4. Teste o SSO no workspace fazendo com que um usuário do workspace faça login.

  5. Desative o aplicativo SSO no nível do workspace em seu provedor de identidade.

Processo de acesso à account

Quando o SSO no nível accountestá ativado, o comportamento de login é o seguinte:

  • Todos os usuários, incluindo administradores, devem entrar na account do Databricks e no workspace habilitado para login unificado usando logon único. Eles não podem fazer login usando seu nome de usuário e senha.

Observação

Se sua account foi criada antes de 21 de junho de 2023, o proprietário account poderá fazer login na account do Databricks usando seu nome de usuário e senha.

  • Os administradores de accounts podem usar seu nome de usuário e senha para fazer chamadas à API REST no nível da conta.

  • Todos os usuários podem usar seu nome de usuário e senha para fazer chamadas de API REST no nível workspace . A Databricks recomenda o uso access token pessoal.

Para saber mais sobre o processo de login no workspace quando o SSO está habilitado, consulte Processo de login no workspace.