メインコンテンツまでスキップ
最終更新

Oktaを使用したDatabricksへのSSO

このページでは、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Okta を構成する方法を示します。Oktaは、OpenID Connect(OIDC)とSAML 2.0の両方をサポートしています。Okta からユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

次のデモでは、OktaでSSOを構成する手順を説明します。

警告

シングル サインオンのテスト中に Databricks からロックアウトされないようにするには、別のブラウザー ウィンドウでアカウント コンソールを開いたままにしておきます。ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。ロックアウトを防ぐための緊急アクセスを参照してください。

Oktaシングルサインオンを有効にする

ID プロトコルを選択してください:

  1. アカウント管理者としてアカウント コンソールにログインし、 [セキュリティ] をクリックします。

  2. 認証 タブをクリックします。

  3. 認証 の横にある 管理 をクリックします。

  4. [ID プロバイダーによるシングルサインオン ] を選択します。

  5. 続行 をクリックします。

  6. [ID プロトコル] で、[ OpenID Connect] を選択します。

  7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

  8. 新しいブラウザタブで、管理者としてOktaにログインします。

  9. ホームページで、「 アプリケーション 」>「 アプリケーション 」をクリックします。

  10. アプリ統合を作成 」をクリックします。

  11. OIDC-OpenID Connect 」と「 Webアプリケーション 」を選択し、「 次へ 」をクリックします。

  12. アプリ統合に名前を付けます。

  13. [サインイン リダイレクト URIs] に、ステップ 7 の Databricksリダイレクト URL を入力します。 その他の設定を構成することも、デフォルト値のままにすることもできます。

  14. [割り当て] で、 [組織内のすべてのユーザーにアクセスを許可する] を選択します。これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

  15. 保存 をクリックします。

  16. [全般] タブで、アプリケーション用に Okta によって生成されたクライアント ID とクライアント シークレットをコピーします。

    • クライアントID は、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。
    • クライアントシークレット は、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを認証するために使用されます。

  17. [サインオン] タブをクリックし、 OpenID Connect ID トークン の発行者フィールドに Okta URL をコピーします。

    発行者フィールドに 「動的」 と表示されている場合は、 「編集」 をクリックし、ドロップダウン メニューで 「Okta URL」 を選択します。

注記

この URL は、 {issuer-url}/.well-known/openid-configurationにある Okta の OpenID 構成ドキュメントを指します。発行者の URL にクエリを追加することで、クエリを指定できます (例: {issuer-url}?appid=123

  1. Databricks アカウント コンソールの [認証] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID ]、[ クライアント シークレット] 、および [発行者 URL] フィールドに入力します。

  2. 必要に応じて、ユーザーの Databricks ユーザー名として email 以外の要求を使用する場合は、 ユーザー名要求 を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。

    すべての値が入力されたときの [シングルサインオン] タブ

  3. 保存 をクリックします。

  4. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。

  5. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

  6. SSOを使用したアカウントコンソールログインをテストします。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してユーザーをアカウントに追加することをお勧めします。

  1. 統合ログインを構成する

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。アカウントが 2023 年 6 月 21 日以降に作成された場合、または 2024 年 12 月 12 日より前に SSO を設定していない場合、統合ログインはすべてのワークスペースのアカウントで有効になり、無効にすることはできません。統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    1. JIT プロビジョニングを有効にする

      Databricks では、SSO を使用して初めてログインしたときに、JIT を有効にしてユーザーを Databricks に自動的に追加することをお勧めします。JIT プロビジョニングは、 SSO が構成されている 2025 年 5 月 1 日以降に作成されたアカウントに対して、デフォルトによってオンになっています。 「ユーザーの自動プロビジョニング (JIT)」を参照してください。

    2. SCIM プロビジョニングを構成する

      Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。