メインコンテンツまでスキップ

OneLogin を使用した Databricks への SSO

このページでは、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして OneLogin を構成する方法について説明します。OneLoginは、OpenID Connect(OIDC)とSAML 2.0の両方をサポートしています。OneLogin からユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

警告

シングル サインオン テスト中に Databricks からロックアウトされないように、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。また、セキュリティキーを使用して緊急アクセスを設定し、ロックアウトを防ぐこともできます。ロックアウトを防ぐための緊急アクセスを参照してください

OIDC を使用して OneLogin SSO を有効にする

  1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの 設定 アイコンをクリックします。

  2. 認証 タブをクリックします。

  3. 認証 の横にある 管理 をクリックします。

  4. [ID プロバイダーによるシングルサインオン ] を選択します。

  5. 続行 をクリックします。

  6. [ID プロトコル] で、[ OpenID Connect] を選択します。

  7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

    SAML SSO を設定します。

  8. 新しいブラウザタブで、OneLoginにログインします。

  9. 管理 」をクリックします。

  10. アプリケーション 」をクリックします。

  11. アプリの追加 」をクリックします。

  12. OpenId Connectを検索し、 OpenId Connect(OIDC) アプリを選択します。

  13. 名前を入力し、「 保存 」をクリックします。

  14. [ 構成 ] タブで、手順 4 の Databricks リダイレクト URL をオン にします。他の設定を構成するか、デフォルト値のままにしておくかを選択できます。

  15. SSO 」タブで、「 クライアントID 」、「 クライアントシークレット 」、「 発行者URL 」の値をコピーします。

    • クライアントID は、 OneLoginで作成したDatabricksアプリケーションの一意の識別子です。

    • クライアントシークレット は、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを認証するために使用されます。

    • 発行者 URL は、OneLogin の OpenID 構成ドキュメントを見つけることができる URL です。その OpenID 構成ドキュメントは {issuer-url}/.well-known/openid-configurationにある必要があります。

    URL から /.well-known/openid-configuration の末尾を削除します。クエリ パラメーターを指定するには、発行者の URL に追加して指定できます (例: {issuer-url}?appid=123)。

  16. Databricks アカウント コンソールの [認証] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID ]、[ クライアント シークレット]および [OpenID 発行者 URL ] フィールドに入力します。

  17. 必要に応じて、ユーザーの Databricks ユーザー名として email 以外の要求を使用する場合は、 ユーザー名要求 を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。

    すべての値が入力されたときの [シングルサインオン] タブ

  18. 保存 をクリックします。

  19. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。

  20. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

  21. SSOを使用したアカウントコンソールログインをテストします。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してユーザーをアカウントに追加することをお勧めします。

  1. 統合ログインを構成する

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。アカウントが 2023 年 6 月 21 日以降に作成された場合、または 2024 年 12 月 12 日より前に SSO を設定していない場合、統合ログインはすべてのワークスペースのアカウントで有効になり、無効にすることはできません。統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    1. JIT プロビジョニングを有効にする

      Databricks では、SSO を使用して初めてログインしたときに、JIT を有効にしてユーザーを Databricks に自動的に追加することをお勧めします。JIT プロビジョニングは、 SSO が構成されている 2025 年 5 月 1 日以降に作成されたアカウントに対して、デフォルトによってオンになっています。 「ユーザーの自動プロビジョニング (JIT)」を参照してください。

    2. SCIM プロビジョニングを構成する

      Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。

SAML を使用して OneLogin SSO を有効にする

以下の手順に従って、Databricksアカウントコンソールで使用するOneLogin SAMLアプリケーションを作成してください。

  1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの 設定 アイコンをクリックします。

  2. 認証 タブをクリックします。

  3. 認証 の横にある 管理 をクリックします。

  4. [ID プロバイダーによるシングルサインオン ] を選択します。

  5. 続行 をクリックします。

  6. ID プロトコルSAML 2.0 を選択します。

  7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

  8. 新しいブラウザタブで、OneLoginにログインします。

  9. 管理 」をクリックします。

  10. アプリケーション 」をクリックします。

  11. アプリの追加 」をクリックします。

  12. SAMLカスタムコネクタ(高度) 」を検索し、OneLogin, Inc.の結果をクリックします。

  13. 表示名 」を「 Databricks 」に設定します。

  14. [ 保存] をクリックします。アプリケーションの [情報 ] タブが読み込まれます。

  15. 構成 」をクリックします。

  16. 必要な情報を収集する 」で、以下の各フィールドをDatabricks SAML URLに設定します。

    • オーディエンス
    • 受信者
    • ACS(コンシューマ)URLバリデータ
    • ACS(コンシューマ)URL
    • シングルログアウトURL
    • ログインURL
  17. 「SAML署名要素」を「両方」 に設定します。

  18. パラメーター 」をクリックします。

  19. 認証情報 」を「 管理者が設定し、すべてのユーザーが共有 」に設定します。

  20. Eメール 」をクリックします。値をEメールに設定し、「 SAMLアサーションに含める 」を有効にします。

  21. SSO 」タブをクリックします。

  22. 以下の値をコピーします。

    • x.509証明書
    • 発行者URL
    • SAML 2.0エンドポイント(HTTP)
  23. SAML署名要素 」が「 応答 」または「 両方 」に設定されていることを確認します。

  24. アサーションを暗号化 」が無効になっていることを確認します。

  25. DatabricksアカウントコンソールのSSOページでDatabricksを設定します。

    1. SSOタイプドロップダウンを SAML 2.0 に設定します。
    2. シングルサインオンURL をOneLogin SAML 2.0エンドポイントに設定します。
    3. IDプロバイダーエンティティID をOneLogin発行者URLに設定します。
    4. x.509証明書 を、証明書の開始と終了のマーカーを含めて、OneLogin x.509証明書に設定します。
    5. 保存 をクリックします。
    6. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
    7. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
    8. SSOを使用したアカウントコンソールログインをテストします。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してユーザーをアカウントに追加することをお勧めします。

  1. 統合ログインを構成する

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。アカウントが 2023 年 6 月 21 日以降に作成された場合、または 2024 年 12 月 12 日より前に SSO を設定していない場合、統合ログインはすべてのワークスペースのアカウントで有効になり、無効にすることはできません。統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    1. JIT プロビジョニングを有効にする

      Databricks では、SSO を使用して初めてログインしたときに、JIT を有効にしてユーザーを Databricks に自動的に追加することをお勧めします。JIT プロビジョニングは、 SSO が構成されている 2025 年 5 月 1 日以降に作成されたアカウントに対して、デフォルトによってオンになっています。 「ユーザーの自動プロビジョニング (JIT)」を参照してください。

    2. SCIM プロビジョニングを構成する

      Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。