OneLogin の SCIM プロビジョニングを構成する
この記事では、Onelogin を使用して Databricks プロビジョニングを設定する方法について説明します。
ユーザーが OneLogin を使用してログインするには、OneLogin から Databricks へのシングル サインオンを構成する必要があります。 「Databricks で SSO を構成する」を参照してください。
必要条件
-
Databricks アカウントには 、Premium プラン以上が必要です。
-
Databricks アカウント管理者である必要があります。
-
OneLogin アカウントはプロビジョニングをサポートしている必要があります。
-
OneLoginアカウントのスーパーユーザーまたはアカウントオーナーである必要があります。
-
Databricks では、OneLogin の記事「 ユーザー プロビジョニングとプロビジョニング解除とは」を読むことをお勧めします。
-
ユーザーが OneLogin を使用して Databricks にログインできるように、シングル サインオンを構成します。 「Databricks で SSO を構成する」を参照してください。
OneLoginを使用してアカウントレベルの SCIM プロビジョニングを設定する
このセクションでは、OneLogin SCIM コネクタを設定して、ユーザーとグループをアカウントにプロビジョニングする方法について説明します。
Databricks で SCIM トークンとアカウント SCIM URL を取得する
-
アカウント管理者として、Databricks アカウント コンソールにログインします。
-
[
設定 ] をクリックします。
-
[User プロビジョニング ] をクリックします。
-
[ ユーザー プロビジョニングの設定 ] をクリックします。
SCIM トークンとアカウントの SCIM URL をコピーします。 これらを使用して、OneLoginでコネクタを設定します。
-
SCIM トークンはアカウント SCIM API /api/2.1/accounts/{account_id}/scim/v2/
に制限されており、他のDatabricks REST APIsへの認証には使用できません。
OneLogin SCIM プロビジョニング アプリを構成する
-
スーパーユーザーまたはアカウントオーナーとしてOneLoginにログインし、OneLogin管理コンソールを起動します。
-
[アプリケーション ] に移動し、[ アプリの追加 ] をクリックします。
-
[ SCIM Provisioner with SAML (SCIM v2 Core)] を検索して選択します。
-
「保存 」をクリックします。新しい設定タブが左側に表示されます。
-
「 構成 」をクリックします。
-
[Databricks サブドメイン ] に、 [アカウント SCIM URL] を入力します。
-
SCIM Bearer トークン フィールドに、Databricks個人用アクセス トークンを入力します。
-
「API 接続 」で、「 有効化」 をクリックします。アプリケーションは Databricks に対して認証されます。
-
プロビジョニングを有効にして構成するには、 プロビジョニング に移動します。
-
[ワークフロー] で、[ プロビジョニングを有効にする ] を選択します。
-
ユーザーを作成、削除、または更新するために管理者の承認が必要かどうかを構成します。
-
Databricks では、セットアップとテストが完了する前にユーザーの自動プロビジョニングをトリガーしないように、最初の保護手段としてすべての操作に対して管理者の承認を有効にすることをお勧めします。 プロビジョニングが期待どおりに機能していることをテストして確認したら、管理者の承認をオーバーライドするようにこれらの設定を構成できます。
-
ユーザーが OneLogin から削除されたときの Databricks での動作を構成します。
- 何もしない で、Databricks のユーザーは変更されません。
- [中断 ] は、Databricks のユーザーを無効にします。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは元に戻せません。
- [削除 ] は、Databricks 内のユーザーを削除し、ユーザーのリソースをアーカイブします。 これは元に戻せません。
-
OneLogin でユーザーが一時停止された場合の Databricks での動作を構成します。
- 何もしない で、Databricks のユーザーは変更されません。
- [中断 ] は、Databricks のユーザーを無効にします。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは元に戻せません。
-
「エンタイトルメント」 で、「 更新 」をクリックします。OneLoginでは、グループはエンタイトルメントと呼ばれます。 これにより、Databricks から OneLogin にグループがインポートされます。 OneLogin エンタイトルメントの Databricks へのインポートはサポートされていません。
-
「保存」をクリックします。
引き続き OneLogin を使用して Databricks でユーザーとグループを管理し 、Databricks アカウントでユーザーとグループをプロビジョニングします。
OneLogin を使用して Databricks でユーザーとグループを管理する
このセクションでは、OneLogin を使用して Databricks アカウントのユーザーとグループを管理する方法について説明します。
Databricks ワークスペース ユーザーにグループを割り当てる
Databricks で Databricks グループを作成し、OneLogin フィールドと同期を維持するためのマッピングを作成する必要があります。 OneLogin を使用して Databricks にグループを追加することはできません。
- OneLogin で、 パラメーター タブに移動します。
- [Optional パラメーター ] で [ グループ ] をクリックします。
- [プロビジョニング] タブ (上記) の [更新] をクリックしたときに、すべてのグループ名が Databricks から [値 ] フィールドに正常にインポートされたことを確認し、[ ユーザー プロビジョニングに含める] フラグを選択します。
- [ 保存 ]をクリックします。
属性マッピングを構成したら、プロビジョニング時に Databricks ユーザーにグループを割り当てることができます。 グループ値を割り当てるには、OneLogin SCIM プロビジョニングアプリのユーザーログインレコードで手動で選択します。 OneLoginSCIM プロビジョニングアプリの[ユーザー]タブで、編集するユーザーを選択します。
また、OneLogin ルール (マッピング) を使用して、OneLogin Role などの別の OneLogin 属性に基づいて、ユーザーを Databricks グループに自動的に割り当てることもできます。 たとえば、OneLoginの役割「Finance」に属するすべてのユーザーを「finance」グループDatabricks に配置するには、OneLoginSCIM プロビジョニングアプリの[ルール]タブに移動し、条件が[Roles – include Databricks– Finance]で新しいルールを作成し、アクションが[Set Group in to – finance]で新しい ルール を作成します。 このスクリーンショットのように:
これで、OneLogin の "Finance" ロールと OneLogin SCIM プロビジョニング アプリにユーザーを追加するたびに、エンタイトルメント マッピングを再適用すると、Databricks のユーザーに "finance" グループが割り当てられます。
グループの割り当てを削除または更新する
グループの割り当てを削除または更新するには、OneLoginSCIM プロビジョニングアプリの[ユーザー]タブに移動し、編集するユーザーを選択します。グループ フィールド、カスタム IAMロール フィールド、またはカスタム資格フィールドの現在の選択を削除または上書きします。
OneLogin RoleなどのOneLogin属性に基づいてユーザーにグループを割り当てるルールを設定した場合は、その属性をユーザーから削除します(たとえば、OneLoginロールからユーザーを削除します)。 また、その OneLogin ロールのユーザーにグループ、 IAMロール、または権限を割り当てるルールを変更することもできます。
同期をトリガーする
OneLogin SCIM プロビジョニング アプリに移動し、[ その他のアクション] > [同期ログイン] を選択することで、OneLogin ユーザーと Databricks ユーザーの同期を手動でトリガーできます。 ユーザーがアプリに割り当てられている場合、そのユーザーは Databricks アカウントに追加されます。 ただし、その逆は当てはまらず、Databricks アカウントで作成されたユーザーは OneLogin SCIM プロビジョニング アプリに追加されません。
DatabricksアカウントのユーザーをOneLoginに手動で同期するには、Databricksアカウントのユーザーと同じユーザー名とEメールアドレスでOneLoginにユーザーを作成し、OneLoginでアプリに割り当てます。
ユーザーの削除
OneLogin でユーザーを削除すると、OneLogin は Databricks アカウントからそのユーザーを非アクティブ化します。
OneLogin SCIM プロビジョニング アプリを設定した管理者を Databricks または admins
グループから削除しないでください。 そうしないと、SCIM 統合は Databricks に対して認証できません。
ユーザーは、次の複数の方法で非アクティブ化できます。
- OneLoginからユーザーを削除または一時停止します。
- OneLoginSCIM プロビジョニングアプリの[ユーザー]タブに移動し、ユーザーを選択して[削除]ボタンをクリックして、アプリからユーザーを手動で削除します。
- OneLogin ロールなどの OneLogin 属性に基づいてユーザーをアプリに割り当てるルールを設定している場合は、その属性をユーザーから削除します (たとえば、ユーザーを OneLogin ロールから削除します)。 また、ユーザーが割り当てられている OneLogin ロールから Databricks アプリを削除することもできます (これにより、ロール内のすべてのユーザーに対して Databricks のプロビジョニングが解除されます)。
アカウントレベルの SCIM アプリケーションからユーザーを削除すると、ID フェデレーションが有効になっているかどうかに関係なく、そのユーザーはアカウントとワークスペースから非アクティブ化されます。
OneLogin で管理されているユーザーを Databricks で直接削除しても、そのユーザーは OneLogin SCIM プロビジョニング アプリでアクティブなままになります。 OneLogin SCIM プロビジョニング アプリからユーザーを削除しようとすると、ユーザーは既に Databricks で削除されているため、試行は失敗します。
トラブルシューティングとヒント
-
プロビジョニングのセットアップ前に Databricks に存在していたユーザー:
- OneLoginにすでに存在し、Eメールアドレス(ユーザー名)に基づいて照合される場合、OneLoginユーザーに自動的にリンクされます。
- 既存のユーザーに手動でリンクするか、自動的に一致しない場合はOneLoginで新しいユーザーとして作成できます。
-
個別に割り当てられ、グループのメンバーシップを通じて複製されたユーザー権限は、ユーザーのグループメンバーシップが削除された後も残ります。
-
Databricks グループは Databricks で作成する必要があります。OneLoginを使用してグループを追加することはできません。
-
Databricksユーザー名とEメールアドレスは更新できません。