メインコンテンツまでスキップ

Databricks で SSO を構成する

この記事では、シングル サインオン (SSO) を使用してアカウント コンソールと Databricks ワークスペースへの認証を行う方法の概要について説明します。ID プロバイダーからユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。DatabricksユーザーがEメールまたはGoogleや などの一般的な外部アカウントでMicrosoft にログインできるようにするには、Eメールまたは外部アカウントでサインイン するを参照してください。

従来のワークスペース レベルの SSOに関する情報については、「 ワークスペースの SSO を設定する (従来型)」を参照してください。

SSO設定の概要

SSO は、SAML 2.0 または OpenID Connect (OIDC) の使用をサポートします。 ID プロバイダー (IdP) は、これらのプロトコルの少なくとも 1 つをサポートしている必要があります。

ほとんどのアカウントでは、 統合ログイン はデフォルトで有効になっています。これは、アカウントとすべての Databricks ワークスペースで 1 つの SSO 構成が使用されることを意味します。アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、統合ログインはすべてのワークスペースで自動的に有効になり、無効にすることはできません。

2023 年 6 月 21 日より前に作成され、以前にワークスペースレベルで SSO を設定していたアカウントでは、デフォルトでは統合ログインが有効になっていません。アカウント管理者は、すべてのワークスペースまたは特定のワークスペースで統合ログインを有効にすることができます。Databricks では、合理化された一貫性のある認証エクスペリエンスのために、すべてのワークスペースで統合ログインを使用することをお勧めします。詳細については、「 統合ログインを有効にする」を参照してください。

アカウント レベルの SSO が有効になっている場合、管理者を含むすべてのユーザーは、シングル サインオンを使用して Databricks アカウントと統合ログインが有効なワークスペースにサインインする必要があります。ロックアウトを防ぐために、アカウント管理者は最大 20 人のユーザーの緊急アクセスを設定できます。緊急アクセス用に選択されたユーザーは、ユーザー名とパスワード、およびセキュリティキーを使用してログインできます。ロックアウトを防ぐための緊急アクセスを参照してください。

SSO を有効にした後、ユーザーがログインできるように Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。

ジャストインタイム (JIT) プロビジョニングを構成して、最初のログイン時に ID プロバイダーから新しいユーザー アカウントを自動的に作成できます。「ユーザーの自動プロビジョニング (JIT)」を参照してください。

OIDC または SAML を使用して SSO を設定する方法に関する一般的な手順、またはさまざまな ID プロバイダーの特定の手順を読むことができます。

次のデモでは、OktaでSSOを構成する手順を説明します。

SSO のエラーのトラブルシューティングについては、以下を参照してください。