Databricks で SSO を構成する

この記事では、シングル サインオン (SSO) を使用してアカウント コンソールと Databricks ワークスペースへの認証を行う方法の概要について説明します。ID プロバイダーからユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。DatabricksユーザーがEメールまたはGoogleや などの一般的な外部アカウントでMicrosoft にログインできるようにするには、Eメールまたは外部アカウントでサインイン するを参照してください。

従来のワークスペース レベルの SSOに関する情報については、「 ワークスペースの SSO を設定する (従来型)」を参照してください。

SSO設定の概要

SSO は、SAML 2.0 または OpenID Connect (OIDC) の使用をサポートします。 ID プロバイダー (IdP) は、これらのプロトコルの少なくとも 1 つをサポートしている必要があります。

ほとんどのアカウントでは、 統合ログイン はデフォルトで有効になっています。これは、アカウントとすべての Databricks ワークスペースで 1 つの SSO 構成が使用されることを意味します。アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、統合ログインはすべてのワークスペースで自動的に有効になり、無効にすることはできません。

2023 年 6 月 21 日より前に作成され、以前にワークスペースレベルで SSO を設定していたアカウントでは、デフォルトでは統合ログインが有効になっていません。アカウント管理者は、すべてのワークスペースまたは特定のワークスペースで統合ログインを有効にすることができます。Databricks では、合理化された一貫性のある認証エクスペリエンスのために、すべてのワークスペースで統合ログインを使用することをお勧めします。詳細については、「 統合ログインを有効にする」を参照してください。

アカウント レベルの SSO が有効になっている場合、管理者を含むすべてのユーザーは、シングル サインオンを使用して Databricks アカウントと統合ログインが有効なワークスペースにサインインする必要があります。ロックアウトを防ぐために、アカウント管理者は最大 20 人のユーザーの緊急アクセスを設定できます。緊急アクセス用に選択されたユーザーは、ユーザー名とパスワード、およびセキュリティキーを使用してログインできます。ロックアウトを防ぐための緊急アクセスを参照してください。

SSO を有効にした後、ユーザーがログインできるように Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。

ジャストインタイム (JIT) プロビジョニングを構成して、最初のログイン時に ID プロバイダーから新しいユーザー アカウントを自動的に作成できます。「ユーザーの自動プロビジョニング (JIT)」を参照してください。

OIDC または SAML を使用して SSO を設定する方法に関する一般的な手順、またはさまざまな ID プロバイダーの特定の手順を読むことができます。

• OIDC を使用した SSO の構成
• SAMLを使用したSSOの構成
• Microsoft Entra ID を使用した Databricks への SSO
• Oktaを使用したDatabricksへのSSO
• OneLoginを使用したDatabricksへのSSO
• AWS IAM Identity Center を使用した Databricks への SSO
• Keycloakを使用したDatabricksへのSSO
• JumpCloudを使用したDatabricksへのSSO

次のデモでは、OktaでSSOを構成する手順を説明します。

• OIDC SSO で Databricks アクセスを保護
• SAML SSO で Databricks のアクセスを保護

SSO のエラーのトラブルシューティングについては、以下を参照してください。

• OIDC SSO のトラブルシューティング
• SAML SSO のトラブルシューティング