メインコンテンツまでスキップ
最終更新

Oktaを設定して、ID管理を自動化する

備考

プレビュー

この機能はプライベートプレビュー版です。アクセスをリクエストするには、担当のアカウントチームにご連絡ください。

このページでは、自動 ID 管理を使用して、プロビジョニング ユーザー、グループ、およびサービス プリンシパルをDatabricksアカウントに構成する方法について説明します。

始める前に

  • Databricksのアカウント管理者である必要があります。
  • Oktaの管理者権限が必要です。
  • Databricksアカウント用にOkta SSOを構成する必要があります。

ステップ 1: Okta アプリケーションをセットアップする

  1. Okta 管理コンソールで、新しいアプリ統合を作成し、 APIサービス] を選択します。

  2. クライアント認証方法として 「公開鍵/秘密鍵」 を選択してください。

  3. アプリに以下のAPIスコープを付与してください。

    • okta.groups.read
    • okta.users.read

  4. アプリに 読み取り専用管理者 ロールを付与します。

  5. リクエストにおけるDPoP(所有権証明)ヘッダーを無効にします。

  6. アプリ用の秘密鍵を生成し、安全な場所に保存してください。

ステップ 2: Databricksで Okta を構成する

  1. アカウント管理者として、アカウントコンソールにログインします。

  2. サイドバーで 「セキュリティ」 をクリックします。

  3. 「ユーザープロビジョニング」 タブで、 「自動ID管理」 の横にある 「構成」 をクリックします。

  4. 以下の値を入力してください。

    • Okta組織のURL :Okta組織のURL(例: https://your-org.okta.com
    • クライアントID :作成したOktaアプリのクライアントID
    • クライアント秘密鍵 :生成した秘密鍵

  5. 接続テスト をクリックして、統合が成功したことを確認してください。

  6. 接続が成功したら、 「AIMを有効にする」 をクリックしてください。

既知の問題点と制限事項

自動ID管理を有効にした後に重複するIDが生成される

Databricks 、Okta ユーザー ID またはグループ ID を既存のDatabricksユーザーおよびグループのexternalIdフィールドと比較して ID を照合します。 既存のIDにOkta IDがexternalIdとして設定されていない場合、自動ID管理によって新しいエントリが作成され、結果として重複したIDが生成されます。どちらのエントリも、既存の権限で引き続き使用可能です。

以前に Okta Databricks OIN アプリを使用して ID を同期した場合、通常、ユーザーexternalId値は入力されますが、グループexternalIdの値は入力されません。重複を解決するには、アカウント Users 、アカウント サービスプリンシパル、またはアカウント グループAPIを使用して、既存のオブジェクトのexternalIdを対応する Okta ユーザー ID またはグループ ID に設定します。

統合ログイン

Databricksは、アカウントおよびすべてのワークスペースでSSOの一貫性を保つために、統合ログインを有効にすることを強く推奨します。統合ログインがない場合でも、アカウントレベルとワークスペースレベルのSSOが同じIDプロバイダーを使用し、同じフィールドをDatabricksのユーザー名にマッピングすれば、自動ID管理は機能します。アカウントSSOアイデンティティ プロバイダーのユーザー名をマップし、ワークスペースSSOが電子メールをマップし、ユーザーのユーザー名と電子メールが異なる場合、ログインは既存のユーザーと一致するのではなく、2 番目のDatabricksユーザーを作成します。

Databricks 、グループ メンバーシップが OIDC 仮想に含まれるように、Okta SSOアプリでグループ クレームを構成することも推奨しています。

Okta での電子メールまたはユーザー名の変更

自動ID管理が有効になっている場合、ログイン時にSSOユーザー名クレームに基づいて新しいDatabricksユーザーがプロビジョニングされます。そのクレームが変更された場合(たとえば、Oktaでユーザーのメールアドレスが変更された場合、または管理者がSSOユーザー名クレームフィールドのマッピングを更新した場合)、自動ID管理は既存のユーザーを更新する代わりに、新しいDatabricksユーザーを作成します。 Databricksのサポートに連絡して、Databricksのユーザー名を更新されたOkta SSOのユーザー名に合わせるためのユーザー名移行を依頼してください。

オンボーディング前にDatabricksユーザー名の一意性を確認してください。

Databricksユーザー名を使用して、 Databricks IDとOktaのIDを照合し、Oktaのログインフィールドとメールアドレスの両方と比較します。 Oktaはログインフィールド内での一意性のみを保証し、メールアドレス内での一意性は保証しません。 複数のOktaユーザーが同じメールアドレスを共有している場合、またはユーザーのメールアドレスが別のユーザーのログインフィールドと一致する場合、自動ID管理では正しいユーザーを確実に識別できません。

自動ID管理を有効にする前に、各Databricksユーザー名がOkta全体で単一のOktaユーザーに一意にマッピングされていることを確認してください。

このページの見出し