Microsoft Entra ID (Azure Active Directory) を使用して SCIM プロビジョニングを構成する

この記事では、Microsoft Entra ID を使用して Databricks アカウントへのプロビジョニングを設定する方法について説明します。

ユーザーが Microsoft Entra ID を使用してログインするには、Microsoft Entra ID から Databricks へのシングルサインオンを構成する必要があります。「Databricks で SSO を構成する」を参照してください。

Microsoft Entra ID を使用して Databricks アカウントに ID をプロビジョニングする

SCIM プロビジョニングコネクタを使用して、アカウントレベルのユーザーとグループを Microsoft Entra ID テナントから Databricks に同期できます。

important

ID をワークスペースに直接同期する SCIM コネクタが既にある場合は、アカウントレベルの SCIM コネクタが有効になっているときに、それらの SCIM コネクタを無効にする必要があります。「ワークスペースレベルの SCIM プロビジョニングをアカウントレベルに移行する」を参照してください。

必要条件

Databricks アカウントには、Premium プラン以上が必要です。
Microsoft Entra ID のクラウドアプリケーション管理者ロールが必要です。
グループをプロビジョニングするには、Microsoft Entra ID アカウントが Premium Edition アカウントである必要があります。ユーザーのプロビジョニングは、すべての Microsoft Entra ID エディションで使用できます。
Databricksアカウント管理者である必要があります。
ユーザーが Microsoft Entra ID を使用して Databricks にログインするためのシングルサインオンを構成します。「Databricks で SSO を構成する」を参照してください。

ステップ 1: Databricks を構成する

Databricks アカウント管理者として、Databricks アカウントコンソールにログインします。
[ 設定 ] をクリックします。
[User プロビジョニング ] をクリックします。
[ ユーザープロビジョニングの設定 ] をクリックします。

SCIM トークンとアカウントの SCIM URL をコピーします。これらを使用して、Microsoft Entra ID アプリケーションを構成します。

注記

SCIM トークンはアカウント SCIM API /api/2.1/accounts/{account_id}/scim/v2/に制限されており、他のDatabricks REST APIsへの認証には使用できません。

ステップ 2: エンタープライズアプリケーションを構成する

これらの手順では、Azure portal でエンタープライズアプリケーションを作成し、そのアプリケーションをプロビジョニングに使用する方法について説明します。既存のエンタープライズアプリケーションがある場合は、 Microsoft Graph を使用して SCIM プロビジョニングを自動化するように変更できます。これにより、Azure ポータルで別のプロビジョニングアプリケーションを作成する必要がなくなります。

次の手順に従って、Microsoft Entra ID を有効にしてユーザーとグループを Databricks アカウントに同期します。この構成は、ユーザーとグループをワークスペースに同期するために作成した構成とは別のものです。

Azure ポータルで、 Microsoft Entra ID > Enterprise Applications に移動します。
アプリケーションリストの上にある [+新しいアプリケーション ]をクリックします。 [ギャラリーから追加 ] で、 [Azure Databricks SCIM プロビジョニングコネクタ ] を検索して選択します。
アプリケーションの [名前 ] を入力し、[ 追加 ] をクリックします。
[管理 ] メニューで [ プロビジョニング] をクリックします。
[プロビジョニング Mode ] を [自動] に設定します。
SCIM API エンドポイント URL を、前にコピーしたアカウント SCIM URL に設定します。
Secret トークン を、前に生成した Databricks SCIM トークンに設定します。
[ 接続のテスト ] をクリックし、資格情報がプロビジョニングを有効にする権限があることを確認するメッセージを待ちます。
[ 保存 ]をクリックします。

ステップ 3: アプリケーションへのユーザーとグループの割り当て

SCIM アプリケーションに割り当てられたユーザーとグループは、Databricks アカウントにプロビジョニングされます。既存の Databricks ワークスペースがある場合、Databricks では、それらのワークスペース内のすべての既存のユーザーとグループを SCIM アプリケーションに追加することをお勧めします。

「>プロパティの管理 」に移動します。
[割り当てが必要] を [いいえ ] に設定します。Databricks では、すべてのユーザーが Databricks アカウントにサインインできるようにするこのオプションをお勧めします。
「>プロビジョニングの管理 」に移動します。
Microsoft Entra ID ユーザーとグループから Databricks への同期を開始するには、 [プロビジョニングの状態 ] トグルを [オン ] に設定します。
[ 保存 ]をクリックします。
[ >ユーザーとグループの管理 ] に移動します。
[ ユーザー/グループの追加 ] をクリックし、ユーザーとグループを選択して [割り当て ] ボタンをクリックします。
数分待ってから、ユーザーとグループが Databricks アカウントに存在することを確認します。

追加して割り当てたユーザーとグループは、Microsoft Entra ID が次回の同期をスケジュールするときに、自動的に Databricks アカウントにプロビジョニングされます。

注記

アカウントレベルの SCIM アプリケーションからユーザーを削除すると、ID フェデレーションが有効になっているかどうかに関係なく、そのユーザーはアカウントとワークスペースから非アクティブ化されます。

プロビジョニングのヒント

プロビジョニングを有効にする前に Databricks アカウントに存在していたユーザーとグループは、同期のプロビジョニング時に次の動作を示します。
- ユーザーとグループは、Microsoft Entra ID にも存在する場合、マージされます。
- ユーザーとグループは、Microsoft Entra ID に存在しない場合、無視されます。 Microsoft Entra ID に存在しないユーザーは、Databricks にログインできません。
グループ内のメンバーシップによって重複する、個別に割り当てられたユーザー権限は、ユーザーのグループメンバーシップが削除された後でも残ります。
アカウントコンソールを使用して Databricks アカウントからユーザーを直接削除すると、次のような影響があります。
- 削除されたユーザーは、その Databricks アカウントとアカウント内のすべてのワークスペースにアクセスできなくなります。
- 削除されたユーザーは、エンタープライズアプリケーションに残っている場合でも、Microsoft Entra ID プロビジョニングを使用して再度同期されることはありません。
最初の Microsoft Entra ID 同期は、プロビジョニングを有効にした直後にトリガーされます。後続の同期は、アプリケーション内のユーザーとグループの数に応じて、20 分から 40 分ごとにトリガーされます。 Microsoft Entra ID ドキュメントのプロビジョニング概要レポートを参照してください。
DatabricksユーザーのEメールアドレスは更新できません。
ネストされたグループまたは Microsoft Entra ID サービスプリンシパルを Azure Databricks SCIM プロビジョニングコネクタ アプリケーションから同期することはできません。Databricks では、エンタープライズアプリケーションを使用してユーザーとグループを同期し、 Databricks内でネストされたグループとサービスプリンシパルを管理することをお勧めします。 DatabricksTerraformただし、DatabricksSCIMAPI プロバイダーまたは、ネストされたグループまたはMicrosoft Entra ID サービスプリンシパルを同期するためにを対象とするカスタムスクリプトを使用することもできます。
Microsoft Entra ID のグループ名の更新は、Databricks に同期されません。
userName と emails.value のパラメーターは一致する必要があります。不一致があると、Databricks が Microsoft Entra ID SCIM アプリケーションからのユーザー作成要求を拒否する可能性があります。外部ユーザーやエイリアス化された電子メールなどの場合は、エンタープライズアプリケーションのデフォルト SCIM マッピングを変更して、mail ではなく userPrincipalName を使用するようにする必要があります。

(オプション)Microsoft Graph を使用して SCIM プロビジョニングを自動化する

Microsoft Graph には、SCIM プロビジョニングコネクタアプリケーションを構成する代わりに、Databricks アカウントまたはワークスペースへのユーザーとグループのプロビジョニングを自動化するためにアプリケーションに統合できる認証および承認ライブラリが含まれています。

Microsoft Graph にアプリケーションを登録する手順に従います。アプリケーションの アプリケーション ID と テナント ID をメモします
アプリケーションの [概要] ページに移動します。そのページでは、次のように記述しています。
1. アプリケーションのクライアントシークレットを構成し、シークレットをメモします。
2. アプリケーションに次の権限を付与します。
  - Application.ReadWrite.All
  - Application.ReadWrite.OwnedBy
Microsoft Entra ID 管理者に管理者の同意を付与するように依頼します。
アプリケーションのコードを更新して、 Microsoft Graph のサポートを追加します。

トラブルシューティング

ユーザーとグループが同期されない

Azure Databricks SCIM プロビジョニングコネクタ アプリケーションを使用している場合:
- アカウントコンソールで、プロビジョニングの設定に使用された Databricks SCIM トークンがまだ有効であることを確認します。
Microsoft Entra ID の自動プロビジョニングでサポートされていないネストされたグループを同期しようとしないでください。詳細については、この FAQ を参照してください。

Microsoft Entra ID サービスプリンシパル do not sync

Azure Databricks SCIM プロビジョニング Connector アプリケーションは、サービスプリンシパルの同期をサポートしていません。

初期同期後、ユーザーとグループの同期が停止します

Azure Databricks SCIM プロビジョニングコネクタ アプリケーションを使用している場合: 初期同期後、ユーザーまたはグループの割り当てを変更した直後に Microsoft Entra ID は同期されません。アプリケーションとの同期は、ユーザーとグループの数に基づいて遅延後にスケジュールされます。即時同期を要求するには、エンタープライズアプリケーションの > プロビジョニングの管理 に移動し、 [ 現在の状態をクリアして同期を再開する ] を選択します。

Microsoft Entra ID プロビジョニングサービスの IP 範囲にアクセスできない

Microsoft Entra ID プロビジョニングサービスは、特定の IP 範囲で動作します。ネットワークアクセスを制限する必要がある場合は、Azure IP 範囲とサービスタグ – パブリッククラウドファイルで AzureActiveDirectory の IP アドレスからのトラフィックを許可する必要があります。 Microsoftのダウンロードサイトからダウンロードします。詳細については、「 IP 範囲」を参照してください。

Microsoft Entra ID を使用して Databricks アカウントに ID をプロビジョニングする​

必要条件​

ステップ 1: Databricks を構成する​

ステップ 2: エンタープライズ アプリケーションを構成する​

ステップ 3: アプリケーションへのユーザーとグループの割り当て​

プロビジョニングのヒント​

(オプション)Microsoft Graph を使用して SCIM プロビジョニングを自動化する​

トラブルシューティング​

ユーザーとグループが同期されない​

Microsoft Entra ID サービスプリンシパル do not sync​

初期同期後、ユーザーとグループの同期が停止します​

Microsoft Entra ID プロビジョニング サービスの IP 範囲にアクセスできない​