Microsoft Entra ID を使用した Databricks への SSO

このページでは、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Microsoft Entra ID を構成する方法を示します。Microsoft Entra ID では、OpenID Connect (OIDC) と SAML 2.0 の両方がサポートされています。Microsoft Entra ID からユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

警告

シングル サインオンのテスト中に Databricks からロックアウトされないようにするには、別のブラウザー ウィンドウでアカウント コンソールを開いたままにしておきます。ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。ロックアウトを防ぐための緊急アクセスを参照してください。

Microsoft Entra ID シングル サインオンを有効にする

ID プロトコルを選択してください:

OIDC

1. アカウント管理者としてアカウント コンソールにログインし、 [セキュリティ] をクリックします。

2. 認証 タブをクリックします。

3. 認証 の横にある 管理 をクリックします。

4. [ID プロバイダーによるシングルサインオン ] を選択します。

5. 続行 をクリックします。

6. [ID プロトコル] で、[ OpenID Connect] を選択します。

7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

8. 別のブラウザー タブで、Microsoft Entra ID アプリケーションを作成します。

   1. 管理者として Azure portal にログインします。
   2. 左側のナビゲーションで、 [ Microsoft Entra ID ] をクリックします。
   3. [アプリの登録] > [新規登録 ] をクリックします。
   4. 名前を入力してください。
   5. 「 サポートされているアカウントタイプ 」で、「 この組織ディレクトリにあるアカウントのみ 」を選択します。
   6. [リダイレクト URI] で [ Web ] を選択し、 Databricks リダイレクト URL の値を貼り付けます。
   7. 登録 をクリックします。

9. Microsoft Entra ID アプリケーションから必要な情報を収集します。

   1. 「 Essentials 」で、「 アプリケーション（クライアント）ID 」をコピーします。
   2. 「 エンドポイント 」をクリックします。
   3. 「 OpenID Connectメタデータドキュメント 」のURLをコピーします。
   4. 左側のペインで、 「証明書とシークレット」 をクリックします。
   5. 「 + 新しいクライアントのシークレット 」をクリックします。
   6. 説明を入力し、有効期限を選択します。
   7. [ 追加 ] をクリックします。
   8. シークレットの 値 をコピーします。

10. Databricks アカウント コンソールの [認証] ページに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID ]、[ クライアント シークレット] 、 および [OpenID 発行者 URL ] フィールドに入力します。URL から /.well-known/openid-configuration の末尾を削除します。

    クエリ パラメーターを指定するには、発行者の URL に追加して指定できます (例: {issuer-url}?appid=123)。

11. 必要に応じて、ユーザーの Databricks ユーザー名として email 以外の要求を使用する場合は、 [ユーザー名] 要求 に要求の名前を入力します。詳細については 情報 「 アカウントのユーザー名に使用するクレームをカスタマイズする」を参照してください。

    

12. 保存 をクリックします。

13. 「SSOテスト」 をクリックして、SSO設定が正しく機能していることを確認してください。Databricksは新しいブラウザウィンドウを開き、Microsoft Entra IDを使用して認証を試みます。サインインの手順を完了し、テスト結果を確認してください。

14. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

15. SSOを使用してテストアカウントコンソールにログインします。ステップのテストについては、 SSO構成のテスト」を参照してください。

SAML 2.0

1. アカウント管理者としてアカウント コンソールにログインし、 [セキュリティ] をクリックします。

2. 認証 タブをクリックします。

3. 認証 の横にある 管理 をクリックします。

4. [ID プロバイダーによるシングルサインオン ] を選択します。

5. 続行 をクリックします。

6. ID プロトコル で SAML 2.0 を選択します。

7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

   

8. 別のブラウザー タブで、Microsoft Entra ID アプリケーションを作成します。

   1. Azureポータルに管理者としてログインします。
   2. 左側のナビゲーションで、 [Microsoft Entra ID > Enterprise アプリケーション ] をクリックします。[ すべてのアプリケーション ] ウィンドウが開き、Microsoft Entra ID テナント内のアプリケーションのランダムなサンプルが表示されます。
   3. 「 新しいアプリケーション 」をクリックします。
   4. 「 独自のアプリケーションの作成 」をクリックします。
   5. 名前を入力してください。
   6. アプリケーション で何をしたいですか? 選択 する ギャラリーにない他のアプリケーションを統合 します。

9. Microsoft Entra ID アプリケーションを構成します。

   1. [プロパティ] をクリックします。

   2. 割り当て必須を 「いいえ」 に設定します。このオプションにより、すべてのユーザーが Databricks アカウントにサインインできるようになります。SSO を使用して Databricks アカウントにログインするには、ユーザーはこの SAML アプリケーションにアクセスできる必要があります。

   3. アプリケーションのプロパティ ペインで、[ シングル サインオンの設定 ] をクリックします。

   4. [ SAML] をクリックして、SAML 認証用にアプリケーションを設定します。SAML プロパティペインが表示されます。

   5. 「 基本的なSAML構成 」の横にある「 編集 」をクリックします。

   6. [エンティティ ID] を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。

   7. [ 応答 URL] を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。

   8. 「 SAML署名証明書 」の横にある「 編集 」をクリックします。

   9. [ 署名オプション ] ドロップダウン リストで、[ SAML 応答とアサーションに署名 ] を選択し、セキュリティを強化するために [ 署名アルゴリズム ] を SHA-256 に設定します。

   10. [属性と要求] で、[ 編集] をクリックします。

   11. [ 一意のユーザー識別子(名前 ID)] フィールドを user.mailに設定します。

   12. [ SAML 証明書] の [証明書 (Base64)] の横にある [ダウンロード] をクリックします。証明書は、拡張子が .cer のファイルとしてローカルにダウンロードされます。

   13. テキスト エディタで .cer ファイルを開き、ファイルの内容をコピーします。このファイルは、Microsoft Entra ID SAML アプリケーションの x.509 証明書全体です。

重要

• macOSのキーチェーンを使用してファイルを開かないでください。macOSでは、このファイルタイプのデフォルトアプリケーションがmacOSのキーチェーンになっています。
• 証明書は機密データです。ダウンロードする場所には注意してください。できるだけ早くローカルストレージから削除するようにしてください。

14. Azure portal の [ Microsoft Entra ID SAML Toolkit の設定 ] で、 ログイン URL と Microsoft Entra ID 識別子 をコピーして保存します。

15. Databricks アカウント コンソールの 認証 タブに戻り、Microsoft Entra ID からコピーした値を入力します。

    • シングルサインオン URL : Microsoft Entra ID ログイン URL
    • アイデンティティプロバイダーエンティティID ：Microsoft Entra ID Microsoft Entra ID識別子
    • x.509 証明書 : 証明書の開始と終了のマーカーを含む Microsoft Entra ID x.509 証明書

16. 保存 をクリックします。

17. 「SSOテスト」 をクリックして、SSO設定が正しく機能していることを確認してください。Databricksは新しいブラウザウィンドウを開き、Microsoft Entra IDを使用して認証を試みます。サインインの手順を完了し、テスト結果を確認してください。

18. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

19. SSOを使用してテストアカウントコンソールにログインします。ステップのテストについては、 SSO構成のテスト」を参照してください。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してユーザーをアカウントに追加することをお勧めします。

1. 統合ログインを構成する

   統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。アカウントが 2023 年 6 月 21 日以降に作成された場合、または 2024 年 12 月 12 日より前に SSO を設定していない場合、統合ログインはすべてのワークスペースのアカウントで有効になり、無効にすることはできません。統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

2. Databricks にユーザーを追加する

   1. JIT プロビジョニングを有効にする

      Databricks では、SSO を使用して初めてログインしたときに、JIT を有効にしてユーザーを Databricks に自動的に追加することをお勧めします。JIT プロビジョニングは、 SSO が構成されている 2025 年 5 月 1 日以降に作成されたアカウントに対して、デフォルトによってオンになっています。 「ユーザーの自動プロビジョニング (JIT)」を参照してください。

   2. SCIM プロビジョニングを構成する

      Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。

アカウントのユーザー名に使用する申し立てをカスタマイズする

安全により、 Databricksのユーザー名はユーザーの電子メール アドレスとして表されます。 異なる値を使用してユーザー名を割り当てるには、Microsoft Entra ID アカウントでカスタムクレームを設定してください。

ID プロトコルを選択してください:

OIDC

OIDCアプリケーションの場合、Microsoft Entra IDアプリ登録の トークン構成 ページを使用して、オプションのクレームを構成してください。

1. Microsoft Entra管理センターに、クラウドアプリケーション管理者以上の権限でサインインしてください。

2. 「ID」>「アプリケーション」>「アプリ登録」 に移動し、Databricks SSO用に作成したアプリケーションを選択します。

3. サイドバーの 「管理」 の下にある 「トークン設定」 をクリックします。

4. 「オプションの請求を追加」 をクリックします。

5. トークンタイプ には 「ID」 を選択してください。

6. トークンに含めたいクレーム（例： email 、 preferred_username 、または他の利用可能なクレーム）を選択し、 [追加] をクリックします。

注記

利用可能なクレームの一覧は、トークンのバージョンによって異なります。定義済みのリストにないクレームが必要な場合は、ディレクトリ拡張属性またはカスタムクレームプロバイダを使用してください。Microsoft Entra のドキュメントにある「オプションのクレームを構成する」を参照してください。

7. Microsoft Graph Eメールのアクセス許可を有効にするよう求められた場合は、チェックボックスを選択して 「追加」 をクリックします。

8. Databricksアカウント コンソールで、ステップ 6 のクレーム名を [ユーザー名クレーム] フィールドに入力し、 [保存] をクリックします。

9. 設定を確認するには 「SSOテスト」 をクリックし、次に 「SSOを有効にする」 をクリックします。

警告

upnなどの一部のオプションのクレームは、特定のMicrosoft Entra ID ウイルス エンドポイント (v2.0 エンドポイントなど) によって発行されたウイルスに含まれていない場合があります。 カスタムユーザー名クレームを設定した後にSSOが失敗した場合：

• jwt.msを使用して ID トークンを検査し、クレームが存在することを確認します。
• 各トークンバージョンでサポートされているクレームについては、オプションクレームのリファレンスを参照してください。

SAML 2.0

SAMLアプリケーションの場合は、Microsoft Entra ID Enterpriseアプリケーションの 「属性とクレーム」 設定を使用してカスタムクレームを構成してください。

1. Microsoft Entra管理センターに、クラウドアプリケーション管理者以上の権限でサインインしてください。

2. 「ID」>「アプリケーション」>「エンタープライズアプリケーション」 に移動し、Databricks SSO用に作成したアプリケーションを選択します。

3. サイドバーで 「シングルサインオン」 をクリックします。

4. [属性と要求] で、[ 編集] をクリックします。

5. [ 新しい申請を追加 ] をクリックします。

   • 請求 名 を入力してください。これは、Databricks SSO設定の 「ユーザー名」クレーム フィールドに入力する名前です。
   • ソース には 「属性」 を選択します。
   • [ ソース属性 ] で、この要求に必要な Microsoft Entra ID 属性を選択します。

6. 保存 をクリックします。

7. Databricksアカウント コンソールで、ステップ 5 のクレーム名を [ユーザー名クレーム] フィールドに入力し、 [保存] をクリックします。

8. 設定を確認するには 「SSOテスト」 をクリックし、次に 「SSOを有効にする」 をクリックします。