Microsoft Entra ID を使用した Databricks への SSO
この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Microsoft Entra ID を構成する方法について説明します。 Microsoft Entra ID は、OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 Microsoft Entra ID からユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。
シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。
OIDC を使用して Microsoft Entra ID SSO を有効にする
-
アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。
-
「認証 」タブをクリックします。
-
「認証」 の横にある 「管理 」をクリックします。
-
[ ID プロバイダーによるシングル サインオン ] を選択します。
-
「 続行 」をクリックします。
-
[ID プロトコル ] で [ OpenID Connect ] を選択します。
-
[ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。
-
別のブラウザー タブで、Microsoft Entra ID アプリケーションを作成します。
- Azure portal に管理者としてログインします。
- Azure サービス ウィンドウで [ Microsoft Entra ID ] をクリックし、左側のウィンドウで [ アプリの登録] をクリックします。
- 「 新規登録 」をクリックします。
- 名前を入力してください。
- 「 サポートされているアカウントタイプ 」で、「 この組織ディレクトリにあるアカウントのみ 」を選択します。
- [リダイレクト URI] で [web ] を選択し、[ Databricks リダイレクト URL ] の値を貼り付けます。
- 登録 をクリックします。
-
Microsoft Entra ID アプリケーションから必要な情報を収集します。
- 「 Essentials 」で、「 アプリケーション(クライアント)ID 」をコピーします。
- 「 エンドポイント 」をクリックします。
- 「 OpenID Connectメタデータドキュメント 」のURLをコピーします。
- 左側のペインで、 「証明書とシークレット」 をクリックします。
- 「 + 新しいクライアントのシークレット 」をクリックします。
- 説明を入力し、有効期限を選択します。
- [ 追加 ] をクリックします。
- シークレットの 値 をコピーします。
-
Databricks アカウント コンソールの [認証 ] ページに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID ]、[ クライアント シークレット ]、および [OpenID 発行者 URL ] フィールドに入力します。 URL から末尾の
/.well-known/openid-configuration
を削除します。クエリ パラメーターを指定するには、発行者 URL に追加します (例:
{issuer-url}?appid=123
)。 -
必要に応じて、ユーザーの Databricks ユーザー名として
email
以外の要求を使用する場合は、 Username 要求 に要求の名前を入力します。詳細については、「 アカウントのユーザー名に使用する要求をカスタマイズする」を参照してください。 -
[ 保存 ]をクリックします。
-
[SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
-
[SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
-
SSOを使用したアカウントコンソールログインをテストします。
統合ログインを構成し、Databricks にユーザーを追加する
SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。
-
統合ログインの設定
統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。
-
Databricks にユーザーを追加する
ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。
SAML を使用して Microsoft Entra ID SSO を有効にする
以下の手順に従って、Databricksアカウントコンソールで使用するギャラリー以外のAzure ポータルSAMLアプリケーションを作成します。
-
アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。
-
「認証 」タブをクリックします。
-
「認証」 の横にある 「管理 」をクリックします。
-
[ ID プロバイダーによるシングル サインオン ] を選択します。
-
「 続行 」をクリックします。
-
[ID プロトコル ] で [SAML 2.0 ] を選択します。
-
[ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。
-
別のブラウザー タブで、Microsoft Entra ID アプリケーションを作成します。
- Azureポータルに管理者としてログインします。
- Azure サービス ウィンドウで [ Microsoft Entra ID ] をクリックし、左側のウィンドウで [ エンタープライズ アプリケーション ] をクリックします。[ すべてのアプリケーション ] ウィンドウが開き、Microsoft Entra ID テナント内のアプリケーションのランダムなサンプルが表示されます。
- 「 新しいアプリケーション 」をクリックします。
- 「 独自のアプリケーションの作成 」をクリックします。
- 名前を入力してください。
- 「 アプリケーションでどのような操作を行いたいですか? 」で「 ギャラリーに見つからないその他のアプリケーションを統合します 」を選択します。
-
Microsoft Entra ID アプリケーションを構成します。
-
[プロパティ ] をクリックします。
-
[割り当てが必要] を [いいえ ] に設定します。Databricks では、すべてのユーザーが Databricks アカウントにサインインできるようにするこのオプションをお勧めします。SSO を使用して Databricks アカウントにログインするには、ユーザーがこの SAML アプリケーションにアクセスできる必要があります。
-
アプリケーションのプロパティ ウィンドウで、[ シングル サインオンの設定 ] をクリックします。
-
「 SAML 」をクリックして、アプリケーションを SAML 認証用に設定します。 [SAML プロパティ] ウィンドウが表示されます。
-
「 基本的なSAML構成 」の横にある「 編集 」をクリックします。
-
[エンティティ ID ] を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。
-
[応答 URL ] を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。
-
「 SAML署名証明書 」の横にある「 編集 」をクリックします。
-
[ 署名オプション ] ドロップダウンリストで、[ SAML 応答とアサーションに署名 ] を選択し、[ 署名アルゴリズム ] を [SHA-256 ] に設定してセキュリティを強化します。
-
「属性とクレーム 」で、「 編集 」をクリックします。
-
[一意のユーザー識別子(名前 ID)] フィールドを
user.mail
に設定します。 -
[SAML 証明書] で、[ 証明書 (Base64)] の横にある [ダウンロード ] をクリックします。証明書は、拡張子が
.cer
のファイルとしてローカルにダウンロードされます。 -
テキストエディタで
.cer
ファイルを開き、ファイルの内容をコピーします。 このファイルは、Microsoft Entra ID SAML アプリケーションの x.509 証明書全体です。
-
-
macOSのキーチェーンを使用してファイルを開かないでください。macOSでは、このファイルタイプのデフォルトアプリケーションがmacOSのキーチェーンになっています。
-
証明書は機密データです。ダウンロードする場所には注意してください。できるだけ早くローカルストレージから削除するようにしてください。
-
Azure portal の [ Microsoft Entra ID SAML Toolkit の設定 ] で、 [ログイン URL ] と [Microsoft Entra ID 識別子 ] をコピーして保存します。
-
DatabricksアカウントコンソールのSSOページでDatabricksを設定します。
- 「シングルサインオン URL Microsoft」を「 ログイン URL 」という Entra ID フィールドに設定します。
- [ID プロバイダー エンティティ ID ] を [Microsoft Entra ID 識別子 ] と呼ばれていた [Microsoft Entra ID] フィールドに設定します。
- [x.509 証明書 ] を Microsoft Entra ID x.509 証明書 (証明書の開始と終了のマーカーを含む) に設定します。
- [ 保存 ]をクリックします。
- [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
- [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
- SSOを使用したアカウントコンソールログインをテストします。
統合ログインを構成し、Databricks にユーザーを追加する
SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。
-
統合ログインの設定
統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。
-
Databricks にユーザーを追加する
ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。
アカウントのユーザー名に使用する要求をカスタマイズする
デフォルトでは、 Databricks 内のユーザー名はユーザーのEメールアドレスとして表されます。 別の値を使用してユーザー名を割り当てる場合は、Microsoft Entra アカウントで新しい要求を構成できます。
- Microsoft Entra アカウントで、アプリケーションの [概要 ] ページを開きます。
- 「管理」 をクリックし、「 マニフェスト」 をクリックします。
acceptMappedClaims
キーを見つけて、値をtrue
に変更します。- 「 保存 」をクリックし、アプリケーション の概要 ページに戻ります。
- 「 管理 」をクリックし、「 認証」をクリックします 。
- 「属性とクレーム」 で、「 編集 」をクリックします。
- [ 新しい要求を追加 ] をクリックし、要求 の [名前 ] を入力します。 これは、Databricks SSO 構成の [ユーザー名要求 ] フィールドに入力する名前です。
- [ ソース属性 ] で、要求に必要な Entra ID 属性を選択します。
- [ 保存 ]をクリックします。