Pular para o conteúdo principal

SSO para Databricks com Microsoft Entra ID

Este artigo mostra como configurar o Microsoft Entra ID como provedor de identidade para single sign-on (SSO) em seu Databricks account. O Microsoft Entra ID é compatível com OpenID Connect (OIDC) e SAML 2.0. Para sincronizar usuários e grupos do Microsoft Entra ID, consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.

atenção

Para evitar o bloqueio do Databricks durante o teste de logon único, o Databricks recomenda manter o console do account aberto em outra janela do navegador. O senhor também pode configurar o acesso de emergência com chave de segurança para evitar o bloqueio. Consulte Acesso de emergência para evitar bloqueios.

Habilitar o SSO do Microsoft Entra ID usando o OIDC

  1. account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.

  2. Clique em Authentication (Autenticação ) tab.

  3. Ao lado de Authentication (Autenticação ), clique em gerenciar .

  4. Escolha Login único com meu provedor de identidade .

  5. Clique em "Continuar" .

  6. Em Protocolo de identidade , selecione OpenID Connect .

  7. Em Authentication (Autent icação) tab , anote o valorDatabricks Redirect URL (URL de redirecionamento ).

  8. Em outro navegador tab, crie um aplicativo Entra ID Microsoft:

    1. Faça login no portal Azure como administrador.
    2. Na navegação à esquerda, clique em Microsoft Entra ID .
    3. Clique em Registros de aplicativos > Novo registro .
    4. Digite um nome.
    5. Em Tipos de contas compatíveis , selecione: Somente contas neste diretório organizacional .
    6. Em Redirect URI , escolha web e cole o valor do URL de redirecionamento do Databricks .
    7. Clique em Registrar .
  9. Obtenha as informações necessárias no aplicativo Microsoft Entra ID:

    1. Em Fundamentos , copie o ID do aplicativo (cliente) .
    2. Clique em Endpoints .
    3. Copie o URL em Documento de metadados do OpenID Connect
    4. No painel esquerdo, clique em Certificados e segredos .
    5. Clique em + Novo segredo do cliente .
    6. Digite uma descrição e escolha uma expiração.
    7. Clique em Adicionar .
    8. Copie o valor secreto.
  10. Retorne à página Authentication Databricks account (Autenticação ) do console e insira os valores copiados do aplicativo do provedor de identidade nos campos Client ID (ID do cliente), Client secret (segredo do cliente) e OpenID issuer URL (URL do emissor do OpenID ). Remova a terminação /.well-known/openid-configuration do URL.

    Você pode especificar parâmetros de consulta anexando-os ao URL do emissor, por exemplo, {issuer-url}?appid=123.

  11. Opcionalmente, insira o nome de uma reivindicação na reivindicação Username (Nome de usuário ) se quiser usar uma reivindicação diferente de email como nomes de usuário do Databricks dos usuários. Para obter mais informações, consulte Personalizar uma reivindicação a ser usada para os nomes de usuário do seu account.

    Guia de login único quando todos os valores forem inseridos

  12. Clique em Salvar .

  13. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.

  14. Clique em Habilitar SSO para habilitar o login único em sua conta.

  15. Teste o login do console da conta com SSO.

Configurar o login unificado e adicionar usuários ao Databricks

Depois de configurar o SSO, o Databricks recomenda que o senhor configure o login unificado e adicione usuários ao seu account usando o SCIM provisionamento.

  1. Configurar o login unificado

    O login unificado permite que o senhor use a configuração do console account SSO no seu espaço de trabalho Databricks. Se o seu account foi criado depois de 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho e não pode ser desativado. Para configurar o login unificado, consulte Habilitar login unificado.

  2. Adicionar usuários ao Databricks

    O senhor deve adicionar usuários a Databricks para que eles possam acessar log in. Databricks Recomenda-se usar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.

Habilitar o SSO do Microsoft Entra ID usando SAML

Siga estas etapas para criar um aplicativo SAML do portal do Azure que não seja da galeria para uso com o console account do Databricks.

  1. account Comolog in account administrador do, acesse o console e clique no ícone Settings (Configurações ) na barra lateral.

  2. Clique em Authentication (Autenticação ) tab.

  3. Ao lado de Authentication (Autenticação ), clique em gerenciar .

  4. Escolha Login único com meu provedor de identidade .

  5. Clique em "Continuar" .

  6. Em Identity protocol (Protocolo de identidade ), selecione SAML 2.0 .

  7. Em Authentication (Autent icação) tab , anote o valorDatabricks Redirect URL (URL de redirecionamento ).

    Configurar o SAML SSO.

  8. Em outro navegador tab, crie um aplicativo Entra ID Microsoft:

    1. Faça login no portal do Azure como administrador.
    2. Na navegação à esquerda, clique em aplicativos Microsoft Entra ID > Enterprise . O painel Todos os aplicativos abre e exibe uma amostra aleatória dos aplicativos em seu Microsoft Entra ID tenant.
    3. Clique em Novo aplicativo .
    4. Clique em Criar seu próprio aplicativo .
    5. Digite um nome.
    6. Em O que você deseja fazer com seu aplicativo? escolha Integrar qualquer outro aplicativo que você não encontre na galeria .
  9. Configure o aplicativo Microsoft Entra ID:

    1. Clique em Propriedades .

    2. Defina Assignment required como No . O site Databricks recomenda essa opção, que permite que todos os usuários façam login no site Databricks account. Os usuários devem ter acesso a este aplicativo SAML para log em seu Databricks account usando SSO.

    3. No painel de propriedades do aplicativo, clique em Configurar login único .

    4. Clique em SAML para configurar o aplicativo para autenticação SAML. O painel de propriedades SAML é exibido.

    5. Ao lado de Configuração SAML básica , clique em Editar .

    6. Defina o ID da entidade como o URL SAML da Databricks que o senhor obteve na página de configuração do SSO da Databricks.

    7. Defina o URL de resposta como o URL SAML da Databricks que o senhor obteve na página de configuração do SSO da Databricks.

    8. Ao lado de Certificado de assinatura SAML , clique em Editar .

    9. Na lista suspensa Signing Option (Opção de assinatura), selecione Sign SAML response and assertion (Assinar resposta e afirmação SAML ) e defina Signing Algorithm (Algoritmo de assinatura ) como SHA-256 para aumentar a segurança.

    10. Em Atributos & Reivindicações , clique em Editar .

    11. Defina o campo Identificador de usuário exclusivo (ID do nome) como user.mail.

    12. Em SAML Certificates , ao lado de Certificate (Base64) , clique em download . O certificado é baixado localmente como um arquivo com a extensão .cer.

    13. Abra o arquivo .cer em um editor de texto e copie o conteúdo do arquivo. O arquivo é o certificado x.509 completo para o aplicativo Microsoft Entra ID SAML.

important
  • Não o abra usando o chaveiro do macOS, que é o aplicativo padrão para esse tipo de arquivo no macOS.

  • Os dados do certificado são confidenciais.Tenha cuidado sobre onde fazer o download deles. Exclua-os do armazenamento local assim que possível.

  1. No portal do Azure, em Configurar o kit de ferramentas SAML do Microsoft Entra ID , copie e salve a URL de login e o identificador do Microsoft Entra ID .

  2. Configure o Databricks na página SSO do console da conta do Databricks.

    1. Defina o URL de logon único para o campo Microsoft Entra ID que foi chamado de URL de login .
    2. Defina o ID da entidade do provedor de identidade como o campo Microsoft Entra ID que foi chamado de Microsoft Entra ID Identifier .
    3. Defina o Certificado x.509 como o certificado x.509 do Microsoft Entra ID, incluindo os marcadores para o início e o fim do certificado.
    4. Clique em Salvar .
    5. Clique em Testar SSO para validar se sua configuração de SSO está funcionando corretamente.
    6. Clique em Habilitar SSO para habilitar o login único em sua conta.
    7. Teste o login do console da conta com SSO.

Configurar o login unificado e adicionar usuários ao Databricks

Depois de configurar o SSO, o Databricks recomenda que o senhor configure o login unificado e adicione usuários ao seu account usando o SCIM provisionamento.

  1. Configurar o login unificado

    O login unificado permite que o senhor use a configuração do console account SSO no seu espaço de trabalho Databricks. Se o seu account foi criado depois de 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho e não pode ser desativado. Para configurar o login unificado, consulte Habilitar login unificado.

  2. Adicionar usuários ao Databricks

    O senhor deve adicionar usuários a Databricks para que eles possam acessar log in. Databricks Recomenda-se usar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.

Personalize uma reivindicação a ser usada para os nomes de usuário do seu account

Em default, os nomes de usuário em Databricks são representados como o endereço email de um usuário. Se o senhor quiser atribuir nomes de usuário usando um valor diferente, poderá configurar uma nova reivindicação em seu Microsoft Entra ID account.

  1. Faça login no portal do Azure como administrador.

  2. Na navegação à esquerda, clique em Microsoft Entra ID .

  3. Clique em + Adicionar aplicativo corporativo > .

  4. Em Browse Microsoft Entra Gallery , clique em Create your own application (Criar seu próprio aplicativo ).

  5. Insira um nome para seu aplicativo.

  6. Em Tipos de account suportados , selecione a conta somente neste diretório organizacional (Single tenant ).

  7. Em URI de redirecionamento (opcional) , selecione Web e digite https://accounts.cloud.databricks.com/oidc/consume.

  8. Clique em Registrar .

  9. Vá para a página de visão geral do aplicativo criado e anote o ID do aplicativo (cliente) .

  10. No endpoint tab, observe o URL do documento de metadados do OpenID Connect .

  11. Na barra lateral, em gerenciar , clique em Certificados & secrets .

  12. Clique em + Novo segredo do cliente .

  13. Insira um nome e uma data de validade para o segredo.

  14. Clique em Adicionar e anote o valor do segredo.

  15. Na barra lateral, em gerenciar , clique em Manifesto .

  16. Edite o manifesto para definir "acceptMappedClaims": true.

  17. Clique em Salvar .

  18. Retorne à página de visão geral do aplicativo.

  19. Na barra lateral, em gerenciar , clique em Single sign-on .

  20. Em Atributos & Reivindicações , clique em Editar .

  21. Clique em Adicionar nova reivindicação .

    • Insira um nome para a reivindicação. Esse é o nome que o senhor digitará no campo de reivindicação Username (Nome de usuário ) da sua configuração de SSO da Databricks.
    • Para Atributo de origem , selecione o atributo Microsoft Entra ID desejado para essa solicitação.
  22. Clique em Salvar .

Ao configurar o SSO no console Databricks account , digite:

  • O ID do cliente da etapa 9.
  • O segredo do cliente da etapa 14.
  • O URL do emissor do OpenID da etapa 10 (insira somente até /v2.0 e exclua /.well-known/openid-configuration).
  • O nome de reivindicação de nome de usuário da etapa 21.

Clique em Save and Test SSO para validar sua configuração e, em seguida, clique em Enable SSO .