Databricks で SSO を構成する

このページでは、シングル サインオン (SSO) を使用してアカウント コンソールと Databricks ワークスペースに対して認証する方法の概要について説明します。ID プロバイダーからユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

ユーザーが Eメール または一般的な外部アカウント(Google や Microsoftなど)を使用して Databricks にログインできるようにするには、「Eメールまたは外部アカウントでログインする」を参照してください。

レガシー ワークスペース レベルの SSOに関する情報については、「 ワークスペース (レガシー) の SSO を設定する」を参照してください。

SSO 設定の概要

SSO は、SAML 2.0 または OpenID Connect (OIDC) の使用をサポートします。ID プロバイダー (IdP) は、これらのプロトコルの少なくとも 1 つをサポートする必要があります。

ほとんどのアカウントでは、 統合ログイン はデフォルトで有効になっています。つまり、アカウントとすべての Databricks ワークスペースで 1 つの SSO 構成が使用されます。アカウントが 2023 年 6 月 21 日以降に作成された場合、または 2024 年 12 月 12 日より前に SSO を設定していない場合、統合ログインはすべてのワークスペースで自動的に有効になり、無効にすることはできません。

2023 年 6 月 21 日より前に作成されたアカウントで、以前にワークスペース レベルで SSO を構成していたアカウントは、デフォルトによって統合ログインが有効になっていません。 アカウント管理者は、すべてのワークスペースまたは特定のワークスペースに対して統合ログインを有効にすることができます。Databricks では、合理化された一貫性のある認証エクスペリエンスを実現するために、すべてのワークスペースで統合ログインを使用することをお勧めします。詳細については、 情報 統合ログインを有効にするを参照してください。

アカウント レベルの SSO が有効になっている場合、管理者を含むすべてのユーザーは、シングル サインオンを使用して Databricks アカウントと統合ログイン対応ワークスペースにサインインする必要があります。ロックアウトを防ぐために、アカウント管理者は最大 20 人のユーザーに緊急アクセスを設定できます。緊急アクセス対象として選択されたユーザーは、ユーザー名とパスワード、およびセキュリティキーを使用してログインできます。ロックアウトを防ぐための緊急アクセスを参照してください。

SSO を有効にした後、Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

ジャストインタイム(JIT)プロビジョニングを設定して、最初のログイン時にIDプロバイダーから新しいユーザーアカウントを自動的に作成できます。「ユーザーの自動プロビジョニング (JIT)」を参照してください。

OIDC または SAML を使用して SSO を構成する方法に関する一般的な手順、またはさまざまな ID プロバイダーに関する特定の手順を読むことができます。

• OIDC を使用した SSO の構成
• SAML を使用した SSO の構成
• Microsoft Entra ID を使用した Databricks への SSO
• Oktaを使用したDatabricksへのSSO
• OneLoginを使用したDatabricksへのSSO
• AWS IAM Identity Center を使用した Databricks への SSO
• Keycloak を使用した Databricks への SSO
• JumpCloud を使用した Databricks への SSO

次のデモでは、OktaでSSOを構成する手順を説明します。

• OIDC SSO で Databricks アクセスをセキュリティで保護する
• SAML SSO で Databricks アクセスを保護する

SSO のエラーのトラブルシューティングについては、以下を参照してください。

• OIDC SSO のトラブルシューティング
• SAML SSO のトラブルシューティング