メインコンテンツまでスキップ
最終更新

アカウントへのアクセスを拒否する

備考

プレビュー

Oktaの自動ID管理のサポートは、プライベートプレビューで利用可能です。アクセスをリクエストするには、Databricksアカウントチームにお問い合わせください。

自動 ID 管理が有効になっている場合、アカウント アクセス拒否リストを構成して、ID プロバイダーのどの ID がDatabricksアカウントへのアクセスを許可されるかを制御できます。 拒否リスト モデルを使用して、アカウント管理者は特定のユーザー、グループ、またはDatabricksプリンシパルを拒否リストに追加して、アクセスをブロックします。

否定論者のメンバーシップは推移的である。グループを拒否すると、そのグループに属するすべてのメンバーも拒否されます。これには、ネストされたグループメンバーシップを通じて所属しているユーザーも含まれます。拒否されたユーザーとDatabricksプリンシパルは、 Databricksアカウントで自動的に 非アクティブ に設定されます。

アカウントアクセス拒否リストを設定する

アカウント管理者は、アカウント コンソールでアカウントのアクセス拒否リストを構成できます。 拒否リストはアカウントレベルの設定であり、アカウント内のすべてのワークスペースに適用されます。

各アカウントは最大100個のルールをサポートします。

自動ID管理を有効化する前に

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで 「セキュリティ」 をクリックします。
  3. 「ユーザープロビジョニング」 タブをクリックし、 「自動ID管理」 をクリックします。
  4. 構成 をクリックして、必須項目を入力してください。
  5. [ テスト接続 ] をクリックします。
  6. 接続が成功した場合は、 拒否リストの設定 をクリックします。
  7. IDプロバイダーでIDを編集するオプションをクリックしてください。
  8. IDプロバイダーからIDを検索して選択し、デニリストに追加します。
  9. 変更を保存してください。

拒否リストを設定すると、自動ID管理を有効にできます。

自動ID管理が有効になった後

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで 「セキュリティ」 をクリックします。
  3. 「ユーザープロビジョニング」 タブをクリックし、 「自動ID管理」 をクリックします。
  4. IDプロバイダーでIDを編集するオプションをクリックしてください。
  5. ID プロバイダーからユーザー、 Databricksサービス プリンシパル、またはグループを検索して、拒否リストに追加します。
  6. 変更を保存してください。

拒否ルールは継承されます。親グループが拒否された場合、その子グループのすべてのメンバーもアクセスを拒否されます。 拒否リストの変更が反映されるまで最大10分かかる場合があります。

拒否リストをテストする

アカウントアクセス拒否リストにはテストモードが含まれています。これを使用して、適用する前に、現在の拒否リスト構成に基づいて特定のユーザー、 Databricksサービス プリンシパル、またはグループがアクセスを拒否されるかどうかを確認します。

  1. 拒否リストの設定で、 「テストモード」 をクリックします。
  2. テストするユーザー、 Databricksサービスプリンシパル、またはグループを検索します。
  3. 結果を確認し、そのIDがアクセスを拒否されるかどうかを確認してください。

拒否ルールの仕組み

拒否リストにIDが追加されると、以下の影響が生じます。

認証を拒否されたユーザーはDatabricksにログインできません。

  • 拒否されたユーザーとDatabricksプリンシパルは、 Databricksにログインしたり、個人的なアクセス権を使用したりできません。
  • あるグループが拒否された場合、そのグループのすべてのメンバーおよび推移的メンバーも拒否されます。
  • 拒否されたIDがログインしようとした場合、システムはアカウントにそのIDをプロビジョニングする可能性がありますが、IDプロバイダーでアクティブな状態であっても、非アクティブ状態に設定します。
  • IAMv2 APIs ( resolveByExternalIdなど) は、拒否されたプリンシパルを非アクティブとしてプロビジョニングします。
注記

拒否ルールを評価する場合、ローカル グループ メンバーシップのオーバーライドが外部 ID プロバイダー グループより優先されます。 例えば、Databricks APIを使用してユーザーをグループに手動で追加し、そのグループに対して拒否ルールを作成した場合、そのユーザーのIDプロバイダーにおけるステータスに関係なく、アクセスは拒否されます。

拒否されたIDは、共有ダイアログやIDセレクターには表示されません。

  • 拒否されたプリンシパルは、共有ダイアログなど、ユーザーがアクセスするID選択画面から除外されます。
  • 拒否されたプリンシパルが既に権限を持っている場合、それらの権限は引き続き表示されます。
  • アクセスを拒否されたユーザーはログインできないため、付与された権限を一切使用できません。
  • APIs拒否されたプリンシパルにも権限を付与することはできますが、それらの権限は使用できません。

拒否されたIDは、拒否ステータスを持つ管理者に表示されます。

  • 拒否されたプリンシパルは、アカウント管理者ページとワークスペース管理者ページに引き続き表示されます。
  • 彼らのステータスは 「拒否」 と表示されます。

拒否されたIDは、まず拒否リストから削除されない限り削除できません。

  • 拒否リストに登録されているユーザー、サービスプリンシパル、およびグループは、拒否リストから削除されるまでアカウントから削除できません。

拒否されたグループのグループ外部 ID は更新できません

  • 拒否リストに登録されているグループは、拒否リストから削除されるまで、 externalIdを更新できません。
このページの見出し