メインコンテンツまでスキップ

Microsoft Entra ID を使用した Databricks への SSO

このページでは、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Microsoft Entra ID を構成する方法を示します。Microsoft Entra ID では、OpenID Connect (OIDC) と SAML 2.0 の両方がサポートされています。Microsoft Entra ID からユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

警告

シングル サインオン テスト中に Databricks からロックアウトされないように、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。また、セキュリティキーを使用して緊急アクセスを設定し、ロックアウトを防ぐこともできます。ロックアウトを防ぐための緊急アクセスを参照してください

OIDC を使用して Microsoft Entra ID SSO を有効にする

  1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの 設定 アイコンをクリックします。

  2. 認証 タブをクリックします。

  3. 認証 の横にある 管理 をクリックします。

  4. [ID プロバイダーによるシングルサインオン ] を選択します。

  5. 続行 をクリックします。

  6. [ID プロトコル] で、[ OpenID Connect] を選択します。

  7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

  8. 別のブラウザー タブで、Microsoft Entra ID アプリケーションを作成します。

    1. 管理者として Azure portal にログインします。
    2. 左側のナビゲーションで、 [ Microsoft Entra ID ] をクリックします。
    3. [アプリの登録] > [新規登録 ] をクリックします。
    4. 名前を入力してください。
    5. サポートされているアカウントタイプ 」で、「 この組織ディレクトリにあるアカウントのみ 」を選択します。
    6. [リダイレクト URI] で [ Web ] を選択し、 Databricks リダイレクト URL の値を貼り付けます。
    7. 登録 をクリックします。
  9. Microsoft Entra ID アプリケーションから必要な情報を収集します。

    1. Essentials 」で、「 アプリケーション(クライアント)ID 」をコピーします。
    2. エンドポイント 」をクリックします。
    3. OpenID Connectメタデータドキュメント 」のURLをコピーします。
    4. 左側のペインで、 「証明書とシークレット」 をクリックします。
    5. + 新しいクライアントのシークレット 」をクリックします。
    6. 説明を入力し、有効期限を選択します。
    7. [ 追加 ] をクリックします。
    8. シークレットの をコピーします。
  10. Databricks アカウント コンソールの [認証] ページに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID ]、[ クライアント シークレット]および [OpenID 発行者 URL ] フィールドに入力します。URL から /.well-known/openid-configuration の末尾を削除します。

    クエリ パラメーターを指定するには、発行者の URL に追加して指定できます (例: {issuer-url}?appid=123)。

  11. 必要に応じて、ユーザーの Databricks ユーザー名として email 以外の要求を使用する場合は、 [ユーザー名] 要求 に要求の名前を入力します。詳細については 情報 「 アカウントのユーザー名に使用するクレームをカスタマイズする」を参照してください。

    すべての値が入力されたときの [シングルサインオン] タブ

  12. 保存 をクリックします。

  13. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。

  14. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

  15. SSOを使用したアカウントコンソールログインをテストします。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してユーザーをアカウントに追加することをお勧めします。

  1. 統合ログインを構成する

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。アカウントが 2023 年 6 月 21 日以降に作成された場合、または 2024 年 12 月 12 日より前に SSO を設定していない場合、統合ログインはすべてのワークスペースのアカウントで有効になり、無効にすることはできません。統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    1. JIT プロビジョニングを有効にする

      Databricks では、SSO を使用して初めてログインしたときに、JIT を有効にしてユーザーを Databricks に自動的に追加することをお勧めします。JIT プロビジョニングは、 SSO が構成されている 2025 年 5 月 1 日以降に作成されたアカウントに対して、デフォルトによってオンになっています。 「ユーザーの自動プロビジョニング (JIT)」を参照してください。

    2. SCIM プロビジョニングを構成する

      Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。

SAML を使用して Microsoft Entra ID SSO を有効にする

以下の手順に従って、Databricksアカウントコンソールで使用するギャラリー以外のAzure ポータルSAMLアプリケーションを作成します。

  1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの 設定 アイコンをクリックします。

  2. 認証 タブをクリックします。

  3. 認証 の横にある 管理 をクリックします。

  4. [ID プロバイダーによるシングルサインオン ] を選択します。

  5. 続行 をクリックします。

  6. ID プロトコルSAML 2.0 を選択します。

  7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

    SAML SSO を設定します。

  8. 別のブラウザー タブで、Microsoft Entra ID アプリケーションを作成します。

    1. Azureポータルに管理者としてログインします。
    2. 左側のナビゲーションで、 [Microsoft Entra ID > Enterprise アプリケーション ] をクリックします。[ すべてのアプリケーション ] ウィンドウが開き、Microsoft Entra ID テナント内のアプリケーションのランダムなサンプルが表示されます。
    3. 新しいアプリケーション 」をクリックします。
    4. 独自のアプリケーションの作成 」をクリックします。
    5. 名前を入力してください。
    6. アプリケーション で何をしたいですか? 選択 する ギャラリーにない他のアプリケーションを統合 します。
  9. Microsoft Entra ID アプリケーションを構成します。

    1. [プロパティ] をクリックします。

    2. [割り当てが必要][いいえ ] に設定します。Databricks では、すべてのユーザーが Databricks アカウントにサインインできるこのオプションを推奨しています。SSO を使用して Databricks アカウントにログインするには、ユーザーがこの SAML アプリケーションにアクセスできる必要があります。

    3. アプリケーションのプロパティ ペインで、[ シングル サインオンの設定 ] をクリックします。

    4. [ SAML] をクリックして、SAML 認証用にアプリケーションを設定します。SAML プロパティペインが表示されます。

    5. 基本的なSAML構成 」の横にある「 編集 」をクリックします。

    6. [エンティティ ID] を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。

    7. [ 応答 URL] を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。

    8. SAML署名証明書 」の横にある「 編集 」をクリックします。

    9. [ 署名オプション ] ドロップダウン リストで、[ SAML 応答とアサーションに署名 ] を選択し、セキュリティを強化するために [ 署名アルゴリズム ] を SHA-256 に設定します。

    10. [属性と要求] で、[ 編集] をクリックします。

    11. [ 一意のユーザー識別子(名前 ID)] フィールドを user.mailに設定します。

    12. [ SAML 証明書][証明書 (Base64)] の横にある [ダウンロード] をクリックします。証明書は、拡張子が .cer のファイルとしてローカルにダウンロードされます。

    13. テキスト エディタで .cer ファイルを開き、ファイルの内容をコピーします。このファイルは、Microsoft Entra ID SAML アプリケーションの x.509 証明書全体です。

important
  • macOSのキーチェーンを使用してファイルを開かないでください。macOSでは、このファイルタイプのデフォルトアプリケーションがmacOSのキーチェーンになっています。

  • 証明書は機密データです。ダウンロードする場所には注意してください。できるだけ早くローカルストレージから削除するようにしてください。

  1. Azure portal の [ Microsoft Entra ID SAML Toolkit の設定 ] で、 ログイン URLMicrosoft Entra ID 識別子 をコピーして保存します。

  2. DatabricksアカウントコンソールのSSOページでDatabricksを設定します。

    1. シングルサインオン URL[ログイン URL ] という [Microsoft Entra ID] フィールドに設定します。
    2. [ ID プロバイダー エンティティ ID ] を、 Microsoft Entra ID 識別子 と呼ばれる [Microsoft Entra ID] フィールドに設定します。
    3. [ x.509 証明書 ] を Microsoft Entra ID x.509 証明書 (証明書の先頭と末尾のマーカーを含む) に設定します。
    4. 保存 をクリックします。
    5. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
    6. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
    7. SSOを使用したアカウントコンソールログインをテストします。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してユーザーをアカウントに追加することをお勧めします。

  1. 統合ログインを構成する

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。アカウントが 2023 年 6 月 21 日以降に作成された場合、または 2024 年 12 月 12 日より前に SSO を設定していない場合、統合ログインはすべてのワークスペースのアカウントで有効になり、無効にすることはできません。統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    1. JIT プロビジョニングを有効にする

      Databricks では、SSO を使用して初めてログインしたときに、JIT を有効にしてユーザーを Databricks に自動的に追加することをお勧めします。JIT プロビジョニングは、 SSO が構成されている 2025 年 5 月 1 日以降に作成されたアカウントに対して、デフォルトによってオンになっています。 「ユーザーの自動プロビジョニング (JIT)」を参照してください。

    2. SCIM プロビジョニングを構成する

      Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。

アカウントのユーザー名に使用する申し立てをカスタマイズする

デフォルトでは、 Databricks のユーザー名はユーザーの電子メールアドレスとして表されます。 別の値を使用してユーザー名を割り当てる場合は、Microsoft Entra ID アカウントで新しい要求を構成できます。

  1. Azureポータルに管理者としてログインします。

  2. 左側のナビゲーションで、 [ Microsoft Entra ID ] をクリックします。

  3. [ + エンタープライズ アプリケーション>追加 ] をクリックします。

  4. [ Microsoft Entra ギャラリーを参照] で、 [ 独自のアプリケーションの作成 ] をクリックします。

  5. アプリケーションの名前を入力します。

  6. [サポートされているアカウントの種類] で、[ アカウント in this organizational directory only (Single テナント)] を選択します。

  7. [ リダイレクト URI (オプション)] で [ Web ] を選択し、「 https://accounts.cloud.databricks.com/oidc/consume」と入力します。

  8. 登録 をクリックします。

  9. 作成したアプリケーションの [ 概要 ] ページに移動し、 アプリケーション (クライアント) ID をメモします。

  10. エンドポイント」 タブで、 OpenID Connect メタデータ・ドキュメントの URL をメモします。

  11. サイドバーの [管理] で、[ 証明書とシークレット] をクリックします。

  12. + 新しいクライアントのシークレット 」をクリックします。

  13. シークレットの名前と有効期限を入力します。

  14. [ 追加 ] をクリックし、シークレットの値をメモします。

  15. サイドバーの [管理] で、[ マニフェスト] をクリックします。

  16. マニフェストを編集して、 "acceptMappedClaims": trueを設定します。

  17. 保存 をクリックします。

  18. アプリケーションの [ 概要 ] ページに戻ります。

  19. サイドバーの [管理] で、[ シングル サインオン] をクリックします。

  20. [属性と要求] で、[ 編集] をクリックします。

  21. [ 新しい申請を追加 ] をクリックします。

    • 要求の [名前 ] を入力します。これは、Databricks SSO 構成の [ ユーザー名要求] フィールドに入力する名前です。
    • [ ソース属性 ] で、この要求に必要な Microsoft Entra ID 属性を選択します。
  22. 保存 をクリックします。

Databricks アカウント コンソールで SSO を構成する場合は、次のように入力します。

  • 手順 9 の クライアント ID
  • 手順 14 の クライアント シークレット
  • 手順 10 の OpenID 発行者 URL ( /v2.0 までのみ入力し、 /.well-known/openid-configurationは除外します)。
  • 手順 21 の ユーザー名要求 名。

[SSO の保存テスト ] をクリックして設定を検証し、[ SSO の有効化] をクリックします。