SSO para Databricks com Okta

Este artigo mostra como configurar o Okta como o provedor de identidade para single sign-on (SSO) em seu Databricks account. O Okta é compatível com o OpenID Connect (OIDC) e o SAML 2.0. Para sincronizar usuários e grupos do Okta, consulte Sincronizar usuários e grupos do seu provedor de identidade.

Aviso

Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em uma janela diferente do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Configurar o acesso de emergência.

Ativar a autenticação de login único da conta usando o OIDC

  1. Como proprietário ou administrador da conta, logs in no console da conta e clique no ícone Configurações na barra lateral.

  2. Clique na guia Login único.

  3. Na lista suspensa na parte topo desta guia, selecione OpenID Connect.

  4. Na guia Login único, anote o valor do URI de redirecionamento do Databricks.

  5. Em uma nova guia do navegador, faça login no Okta como administrador.

  6. Na página inicial, clique em Aplicativos > Aplicativos.

  7. Clique em Criar integração de aplicativos.

  8. Selecione OIDC - OpenID Connect e Web Application e clique em Avançar.

  9. Em New Web App Integration, em URIs de redirecionamento de login, insira o URI de redirecionamento do Databricks da etapa 4. Você pode optar por definir as outras configurações ou deixá-las com seus valores padrão.

  10. Clique em Salvar

  11. Na guia Geral, copie a ID do cliente e o segredo do cliente gerados pelo Okta para o aplicativo.

    • ID do cliente é o identificador exclusivo do aplicativo Databricks que você criou em seu provedor de identidade.

    • Segredo do cliente é um segredo ou senha gerado para o aplicativo Databricks que você criou. Ele é usado para conceder autorização ao Databricks com o seu provedor de identidade.

  12. Na guia login em Token de ID do OpenID Connect, copie o URL do Okta no campo do emissor.

    Se o campo do emissor disser Dynamic, clique em Editar e escolha Okta URL (url) no menu suspenso.

    Este URL é o URL no qual o documento de configuração OpenID do Okta pode ser encontrado. Esse documento de configuração do OpenID deve estar em {issuer-url}/.well-known/openid-configuration.

  13. Clique na Atribuições tab. A Databricks recomenda adicionar o grupo Okta denominado Todos ao aplicativo. Isso garante que todos os usuários da sua organização possam acessar a account do Databricks.

  14. Retorne à guia Login único do console da conta Databricks e insira os valores copiados do aplicativo do provedor de identidade nos campos ID do cliente Segredo do cliente e URL do emissor do OpenID.

    Guia de login único quando todos os valores forem inseridos

  15. Clique em Salvar.

  16. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

  17. Clique em Habilitar SSO para habilitar o login único em sua conta.

  18. Teste o login do console da conta com SSO.

Ativar a autenticação de login único da conta usando SAML

Siga estas etapas para criar uma aplicação SAML no Okta para utilizar com o console da conta do Databricks.

  1. Para obter o URL SAML do Databricks, como account proprietário ou administrador do account , log in acesse o account console em . Clique em Settings na barra lateral e clique em Single sign-on tab. No seletor, selecione SAML 2.0. Copie o valor no campo Databricks Redirect URI.

  2. Em uma nova guia do navegador, faça login no Okta como administrador.

  3. Na página inicial, clique em Aplicativos > Aplicativos.

  4. Clique em Criar integração de aplicativos.

  5. Selecione SAML 2.0 e clique em Avançar.

  6. Defina Nome do aplicativo como SSO do Databricks e clique em Avançar.

  7. Configure o aplicativo usando as seguintes configurações:

    • URL de login único: a SAML URL do Databricks para reunir informações necessárias

    • URI do público: a SAML URL do Databricks obtida nas informações necessárias

    • Formato do ID do nome: endereço de e-mail

    • Nome de usuário do aplicativo: e-mail

  8. Clique em Configurações avançadas. Verifique se Resposta está definida como Assinado (o padrão). Assinar a afirmação é opcional.

    Importante

    Não modifique outras configurações avançadas. Por exemplo, a criptografia de asserção deve ser definida como Não criptografada.

  9. Clique em Ocultar configurações avançadas.

  10. Clique em Avançar.

  11. Selecione Sou um cliente Okta e estou adicionando um aplicativo interno.

  12. Clique em Concluir. O aplicativo Databricks SAML é mostrado.

  13. Em SAML 2.0 não está configurado até que você conclua as instruções de configuração, clique em Exibir instruções de configuração.

  14. Copie os seguintes valores:

    • URL de login único do provedor de identidade

    • Emissor do provedor de identidade

    • certificado x.509

  15. Clique na Atribuições tab. A Databricks recomenda adicionar o grupo Okta denominado Todos ao aplicativo. Isso garante que todos os usuários da sua organização possam acessar a account do Databricks.

  16. Configure Databricks na página SSO do console account Databricks. Consulte Habilitar autenticação de logon único de conta usando SAML para obter detalhes sobre campos opcionais.

    1. Clique em Login único.

    2. Defina o menu suspenso SSO type (tipo de SSO) como SAML 2.0.

    3. Defina URLSingle Sign On para o campo Okta chamado URL de login.

    4. Defina ID da entidade do provedor de identidade para o campo Okta chamado Identity Provider Issuer.

    5. Defina o Certificado x.509 como o certificado x.509 do Okta, incluindo os marcadores para o início e o fim do certificado.

    6. Clique em Salvar.

    7. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

    8. Clique em Habilitar SSO para habilitar o login único em sua conta.

    9. Teste o login do console da conta com SSO.