ワークスペースの Microsoft Entra ID を使用した SSO

警告

ワークスペース レベルの SSO は従来の構成です。 統合ログインが無効になっている場合にのみ設定できます。 統合ログインが有効になっている場合、ワークスペースはアカウントと同じSSO設定を使用します。

アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、新規および既存のすべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。

Databricks では、すべてのワークスペースで統合ログインを有効にすることをお勧めします。 「 統合ログインを有効にする」を参照してください。

このドキュメントは廃止されており、更新されない可能性があります。

この記事では、Databricks を使用し、ユーザーとグループが Microsoft Entra ID で管理されている場合に、シングル サインオン (SSO) を構成する方法について説明します。 Microsoft Entra ID は Azure テナントで実行され、SAML 2.0 をサポートします。

この記事では、Microsoft Entra ID を Databricks ワークスペースの ID プロバイダーとして構成する方法について説明します。 Databricks アカウントで SSO を構成するには、「 Databricks で SSO を構成する」を参照してください。

必要な情報の収集

1. ワークスペース管理者として、Databrickワークスペースにログインします。
2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [SSO 設定 ] の横にある [管理] をクリックします。
5. Databricks SAML URL をコピーします。

このブラウザタブを閉じないでください。

Microsoft Entra ID を構成する

このセクションの内容：

• Azure portal アプリケーションを作成する
• Azure portal アプリケーションを構成する

Azure portal アプリケーションを作成する

次の手順に従って、ギャラリー以外の Azure portal SAML アプリケーションを作成します。

1. Azure portal のメニューで、[ すべてのサービス ] をクリックします。 「ID 」セクションで、「 エンタープライズ・アプリケーション 」をクリックします。
2. [新しいアプリケーション ] をクリックし、[ 独自のアプリケーションを作成 ] をクリックします。
3. アプリケーションの名前を入力します。 アプリケーションで何を実行しようとしていますか? と尋ねられたら、 ギャラリーにない他のアプリケーションを統合する を選択します。
4. 作成 をクリックします。

Azure portal アプリケーションを構成する

1. Azure portal のメニューで、[ ユーザーとグループ ] をクリックします。

2. [ ユーザー/グループの追加 ] をクリックし、ユーザーまたはグループを選択して、この SAML アプリケーションへのアクセス権を付与します。 SSO を使用して Databricks ワークスペースにログインするには、ユーザーがこの SAML アプリケーションにアクセスできる必要があります。

3. Azure portal のメニューで、[ 認証] をクリックします。

4. [SAML ] タイルをクリックして、SAML 認証用にアプリケーションを構成します。

5. 「 基本的なSAML構成 」の横にある「 編集 」をクリックします。

   • 「 必要な情報の収集 」から[エンティティ ID] を Databricks SAML URL に設定します。
   • 「 必要な情報の収集 」の「 応答 URL 」を「Databricks SAML URL」に設定します。

6. 「 SAML署名証明書 」の横にある「 編集 」をクリックします。

7. 「 署名オプション 」ドロップダウンリストで、「 SAML応答とアサーションに署名 」を選択します。

8. 「属性とクレーム 」で、「 編集 」をクリックします。

9. [一意のユーザー識別子(名前 ID)] フィールドを user.mailに設定します。

10. [SAML 証明書] で、[ 証明書 (Base64)] の横にある [ダウンロード ] をクリックします。証明書は、拡張子が .cer のファイルとしてローカルにダウンロードされます。

11. テキストエディタで .cer ファイルを開きます。 macOSのデフォルトであるmacOSキーチェーンを使用して開かないでください。 このファイルは、Microsoft Entra ID SAML アプリケーションの x.509 証明書全体で構成されています。

important

証明書は機密データです。 ダウンロードする場所に注意し、できるだけ早くローカルストレージから削除してください。

12. ファイルの内容をコピーします。

13. [ Microsoft Entra ID SAML Toolkit の設定 ] で、[ログイン URL] と [Microsoft Entra ID 識別子] をコピーします。

Databricks を構成する

1. ワークスペース管理者として、Databrickワークスペースにログインします。
2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [SSO 設定 ] の横にある [管理] をクリックします。
5. 「シングルサインオン URL 」を「Azure ポータルアプリケーションの構成」の「ログイン URL」に設定します。
6. 「Azure portal アプリケーションの構成 」から、[ID プロバイダー エンティティ ID] を [Microsoft Entra ID 識別子] に設定します。
7. 「Azure portal アプリケーションの構成」の証明書を [X.509 証明書 ] フィールドに貼り付けます。
8. 「 SSOを有効にする 」をクリックします。
9. 必要に応じて、「 ユーザーの自動作成を許可する」 をクリックします。

構成をテストする

1. シークレットブラウザウィンドウで、Databricksワークスペースに移動します。
2. [シングルサインオン ]をクリックします。Microsoft Entra ID にリダイレクトされます。
3. Microsoft Entra ID の資格情報を入力します。 SSO が正しく構成されている場合は、Databricks にリダイレクトされます。

テストが失敗した場合は、 トラブルシューティングを確認してください。