メインコンテンツまでスキップ

SAMLを使用したSSOの構成

この記事では、SAML を使用してアカウント コンソールと Databricks ワークスペースに対して認証するようにシングル サインオン (SSO) を構成する方法について説明します。Okta で SAML SSO を構成するデモについては、「 SAML SSO を使用して Databricks アクセスを保護する」を参照してください。

アカウントでのシングル サインオンの概要については、「 Databricks で SSO を構成する」を参照してください。

SAMLを使用したSSOの有効化

以下の手順は、SAML 2.0を使用してアカウントコンソールユーザーを認証する方法になります。

警告

シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

  1. アカウントコンソールのSSOページを表示し、SAML URLをコピーします。

    1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。
      1. 「認証 」タブをクリックします。
      2. 「認証」 の横にある 「管理 」をクリックします。
      3. [ ID プロバイダーによるシングル サインオン ] を選択します。
      4. 続行 」をクリックします。
      5. [ID プロトコル ] で [SAML 2.0 ] を選択します。
      6. [Databricks リダイレクト URL ] フィールドの値をコピーします。Databricks SAML URL は、後の手順で必要になります。

    SAML SSO を設定します。

  2. 別のブラウザウィンドウまたはタブを開き、IDプロバイダーでDatabricksアプリケーションを作成します。

    1. IDプロバイダー(IdP)に移動します。

    2. 新しいクライアントアプリケーション(Web)を作成します。

      • 必要に応じて、IDプロバイダーのドキュメントを使用してください。
      • SAML URLフィールド(リダイレクトURLと呼ばれる場合もあります)には、DatabricksページからコピーしたDatabricks SAML URLを使用します。
    3. 新しいDatabricksアプリケーションから以下のオブジェクトとフィールドをコピーします。

      • x.509証明書 :DatabricksとIDプロバイダー間の通信を保護するためにIDプロバイダーから提供されるデジタル証明書
      • ID プロバイダのシングルサインオン (SSO) URL 。 これは、ID プロバイダーで SSO を開始する URL です。 SAML エンドポイントと呼ばれることもあります。
      • IDプロバイダー発行者 :これはSAML IDプロバイダーの一意の識別子です。エンティティIDまたは発行者URLと呼ばれることもあります。
  3. IDプロバイダーを使用するようにDatabricksアカウントを設定します。

    1. ブラウザーのタブまたはウィンドウに戻り、Databricks アカウント コンソールの SSO ページを表示します。
    2. IDプロバイダーのDatabricksアプリケーションから、シングルサインオンURL、IDプロバイダーのエンティティID、x.509証明書のフィールドを入力または貼り付けます。
    3. [ 保存 ]をクリックします。
    4. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
    5. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
    6. SSOを使用したアカウントコンソールログインをテストします。
  4. すべてのアカウントユーザーに、IDプロバイダー内のDatabricksアプリケーションへのアクセス権を付与します。アプリケーションへのアクセス権を変更する必要がある場合があります。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。

  1. 統合ログインの設定

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。