メインコンテンツまでスキップ

Okta の SCIM プロビジョニングを構成する

この記事では、Okta を使用して Databricks のプロビジョニングを設定する方法について説明します。 Okta テナントは、ユーザーとグループを Databricks にプロビジョニングするために、Okta ライフサイクル管理機能を使用している必要があります。

ユーザーがOktaを使用してログインするには、OktaからDatabricksへのシングルサインオンを構成する必要があります。 「Databricks で SSO を構成する」を参照してください

Okta の SCIM プロビジョニングの概要

Databricks はOkta Integration Network(OIN)のプロビジョニングアプリとして利用でき、Oktaを使用してユーザーとグループを Databricks で自動的にプロビジョニングできます。

Databricks Okta アプリケーションを使用すると、次のことができます。

  • Databricks アカウントまたはワークスペースにユーザーを招待する
  • 招待されたユーザーまたはアクティブなユーザーをグループに追加する
  • Databricks アカウントまたはワークスペースの既存のユーザーを非アクティブ化する
  • グループ メンバーシップとグループ メンバーシップを管理する
  • プロファイルの更新と管理

必要条件

Oktaを使用してアカウントレベルの SCIM プロビジョニングを設定する

このセクションでは、Okta SCIMコネクターを構成して、ユーザーとグループをアカウントにプロビジョニングする方法について説明します。

Databricks で SCIM トークンとアカウント SCIM URL を取得する

  1. アカウント管理者として、Databricks アカウント コンソールにログインします。

    1. [ユーザー設定アイコン 設定 ] をクリックします。

    2. [User プロビジョニング ] をクリックします。

    3. [ ユーザー プロビジョニングの設定 ] をクリックします。

      SCIM トークンとアカウントの SCIM URL をコピーします。 これらを使用して、Oktaでコネクタを構成します。

注記

SCIM トークンはアカウント SCIM API /api/2.1/accounts/{account_id}/scim/v2/に制限されており、他のDatabricks REST APIsへの認証には使用できません。

Oktaで SCIM プロビジョニングを構成する

  1. Okta管理ポータルにログインします。

  2. [アプリケーション ] に移動し、[ アプリ カタログの参照] をクリックします。

  3. [Browse App Integration Catalog ] で Databricks を検索します。

  4. [ 統合を追加 ] をクリックします。

  5. [ Databricks の追加 ] で、次のように構成します。

    • [アプリケーションラベル ] に、アプリケーションの名前を入力します。
    • [ ユーザーにアプリケーションアイコンを表示しない ] を選択します。
    • [Oktaモバイルアプリにアプリケーションアイコンを表示しない ]を選択します。

  6. [ 完了 ] をクリックします。

  7. [ プロビジョニング] をクリックし、次のように入力します。

    • [プロビジョニング ベース URL ] に、Databricks からコピーした SCIM URL を入力します。
    • [プロビジョニングAPI トークン] に、 からコピーした トークンを入力します。SCIMDatabricks

  8. API 資格情報のテスト」 をクリックし、接続が成功したことを確認してから、「 保存 」をクリックします。

  9. [プロビジョニング] タブを再読み込みします。API 資格情報のテストが成功すると、追加の設定が表示されます。

  10. Oktaの変更をDatabricksにプッシュするときの動作を構成するには、[ Provisioning to App(アプリへのプロビジョニング )]をクリックします。

    • [編集 ] をクリックします。必要な機能を有効にします。 Databricks では、 ユーザーの作成ユーザー属性の更新およびユーザーの非アクティブ化 を有効にすることをお勧めします。
    • [Databricks 属性マッピング] で、Databricks 属性マッピングを確認します。これらのマッピングは、上記で有効にしたオプションによって異なります。 必要に応じてマッピングを追加および編集できます。 Oktaドキュメントの 「プロビジョニング」ページで「アプリケーション属性のマッピング 」を参照してください。

  11. Databricks の変更を Okta にプッシュするときの動作を構成するには、[ Okta へ ] をクリックします。 デフォルト設定は、 Databricks プロビジョニングに適しています。 デフォルト設定と属性マッピングを更新する場合は、Okta ドキュメントの 「プロビジョニングとプロビジョニング解除 」を参照してください。

統合をテストする

構成をテストするには、Okta を使用してユーザーを Databricks アカウントに招待します。

  1. Oktaで、[ アプリケーション ]に移動し、[ Databricks ]をクリックします。
  2. [プロビジョニング] をクリックします。
  3. 「割り当て」 をクリックし、「 ユーザーに割り当てる」 をクリックします。
  4. Oktaユーザーを検索し、[ Assign(割り当て)] をクリックします。
  5. ユーザーの詳細を確認し、[ 割り当て] をクリックして戻り 、[ 完了 ] をクリックします。
  6. アカウントコンソール にログインし、[アカウントコンソールのユーザー管理アイコンユーザー管理]をクリックして、ユーザーが追加されたことを確認します。

この簡単なテストの後、「 Okta を使用して Databricks でユーザーとグループを管理する」で説明されているように、一括操作を実行できます。

Okta を使用して Databricks でユーザーとグループを管理する

このセクションでは、Okta SCIM Databricks アカウントへのプロビジョニングを使用して実行できる一括操作について説明します。

DatabricksからOktaへのユーザーのインポート

DatabricksからOktaにユーザーをインポートするには、[ インポート ]タブに移動し、[ 今すぐインポート ]をクリックします。 Eメールアドレスで既存のOktaユーザーと自動的に一致しないユーザーの割り当てを確認して確認するように求められます。

ユーザーとグループの割り当てを Databricks アカウントに追加する

ユーザーとグループの割り当てを確認または追加するには、[ 割り当て ] タブに移動します。 Databricks では、アカウント レベルの SCIM プロビジョニング アプリケーションに Everyone という名前の Okta グループを追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントに同期されます。

グループを Databricks にプッシュする

Oktaから Databricksにグループをプッシュするには、 Push グループ タブに移動します。 Databricksにすでに存在するユーザーは、Eメールアドレスで照合されます。

アカウントからユーザーまたはグループを削除する

Oktaのアカウントレベルの Databricks アプリケーションからユーザーを削除すると、そのユーザーは Databricks アカウントから削除され、それらのワークスペースでIDフェデレーションが有効になっているかどうかに関係なく、すべてのワークスペースにアクセスできなくなります。

Okta のアカウントレベルの Databricks アプリケーションからグループを削除すると、そのグループ内のすべてのユーザーがアカウントから削除され、アクセス権を持っていたワークスペースにアクセスできなくなります (別のグループのメンバーである場合や、アカウントまたはワークスペースへのアクセス権が直接付与されている場合を除く)。 Databricks では、アカウント内のすべてのワークスペースへのアクセスを失うことを望まない限り、アカウント レベルのグループを削除しないことをお勧めします。

ユーザーを削除すると次のような影響が生じることに注意してください。

  • このユーザーによって生成されたトークンを使うアプリケーションまたはスクリプトはDatabricks APIにアクセスできなくなります。
    • ユーザーが所有するジョブは失敗になります。
    • ユーザーが所有するクラスターが停止します。
    • このユーザーによって作成された、[所有者として実行] 資格情報を使用して共有されているクエリーまたはダッシュボードは、共有が失敗しないように新しい所有者に割り当てる必要があります。

トラブルシューティングとヒント

  • Databricksプロファイルに名または姓がないユーザーは、新しいユーザーとしてOktaにインポートできません。

  • プロビジョニングのセットアップ前に Databricks に存在していたユーザー:

    • Oktaユーザーにすでに存在し、Eメールアドレス(ユーザー名)に基づいて照合される場合、Oktaユーザーに自動的にリンクされます。
    • 既存のユーザーに手動でリンクするか、自動的に一致しない場合はOktaで新しいユーザーとして作成できます。

  • 個別に割り当てられ、グループのメンバーシップを通じて複製されたユーザー権限は、ユーザーのグループメンバーシップが削除された後も残ります。

  • Databricks ではグループの名前を変更できません。Oktaで名前を変更しようとしないでください。

  • Databricksユーザー名とEメールアドレスは更新できません。

最終更新