メインコンテンツまでスキップ

Okta (レガシ) を使用してワークスペースレベルの SCIM プロビジョニングを構成する

important

このドキュメントは廃止されており、更新されない可能性があります。 ワークスペース レベルの SCIM プロビジョニングはレガシです。 Databricks では、アカウント レベルの SCIM プロビジョニングを使用することをお勧めします (「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください)。

備考

プレビュー

この機能は パブリック プレビュー段階です。

このセクションでは、Okta から Databricks ワークスペースへの直接プロビジョニングを設定する方法について説明します。

Databricks で API トークンと SCIM URL を取得する

  1. Databricksワークスペース管理者として、個人用アクセストークンを生成します。 「トークン管理」を参照してください。 個人用アクセストークンを安全な場所に保管してください。
important

この個人用アクセストークンを所有するユーザーは、Okta 内で管理してはなりません。 そうしないと、Okta からユーザーを削除すると SCIM 統合が中断されます。

  1. Oktaの設定に必要な次のURLをメモしておきます。

    https://<databricks-instance>/api/2.0/preview/scim/v2

    <databricks-instance> を Databricks デプロイのワークスペース URL に置き換えます。ワークスペース オブジェクトの識別子を取得するを参照してください。

このブラウザタブを開いたままにしてください。

Okta の Databricks SAML アプリケーションで SCIM プロビジョニングを構成する

  1. [アプリケーション ] に移動し、[ Databricks ] をクリックします。

  2. [プロビジョニング] をクリックします。上記のセクションで取得した次の情報を入力します。

    • プロビジョニング ベース URL: プロビジョニング エンドポイント
    • リモートAPIトークン: 個人用アクセストークン

  3. 「Test API Credentials」をクリックします

  4. [プロビジョニング] タブを再読み込みします。API 資格情報のテストが成功すると、追加の設定が表示されます。

  5. Oktaの変更をDatabricksにプッシュするときの動作を構成するには、[ To App(アプリへ )]をクリックします。

    • [全般] で、[ 編集 ] をクリックします。必要な機能を有効にします。 Databricks では、少なくとも [ユーザーの作成 ] を有効にすることをお勧めします。
    • [Databricks 属性マッピング] で、Databricks 属性マッピングを確認します。これらのマッピングは、上記で有効にしたオプションによって異なります。 必要に応じてマッピングを追加および編集できます。 Oktaドキュメントの 「プロビジョニング」ページで「アプリケーション属性のマッピング 」を参照してください。

  6. Databricks の変更を Okta にプッシュするときの動作を構成するには、[ Okta へ ] をクリックします。 デフォルト設定は、 Databricks プロビジョニングに適しています。 デフォルト設定と属性マッピングを更新する場合は、Okta ドキュメントの 「プロビジョニングとプロビジョニング解除 」を参照してください。

統合をテストする

構成をテストするには、Okta を使用してユーザーを Databricks ワークスペースに招待します。

  1. Oktaで、[ アプリケーション ]に移動し、[ Databricks ]をクリックします。
  2. 割り当て 」タブをクリックし、「 ユーザーに割り当てる」 をクリックします。
  3. Oktaユーザーを検索し、[ Assign(割り当て)] をクリックします。
  4. ユーザーの詳細を確認します。 「完了」 をクリックします。
  5. Databricks ワークスペースの管理者設定ページで、[ ID とアクセス ] タブをクリックし、[ ユーザー ] セクションに移動して、ユーザーが追加されたことを確認します。 少なくとも、ユーザーにワークスペースのエンタイトルメントを付与します。

この簡単なテストの後、次のセクションで説明するように、一括操作を実行できます。

非アクティブ化されたユーザーをワークスペースから削除します

DatabricksOktaのワークスペースレベルの アプリケーションからユーザーを削除した場合、そのユーザーはDatabricksワークスペースで 非アクティブ化 されますが、ワークスペースからは削除されません。非アクティブ化されたユーザーには、 workspace-access または databricks-sql-access の資格がありません。 非アクティブ化されたユーザーの再アクティブ化は、Okta でユーザーを再度追加するか、Databricks SCIM API を直接使用することで元に戻すことができます。 Databricks ワークスペースからユーザーを削除することは、混乱を招き、元に戻すことはできません。

important

Okta SCIM プロビジョニングアプリを構成した管理者を非アクティブ化しないでください。 そうしないと、SCIM 統合は Databricks に対して認証できません。

Databricks ワークスペースからユーザーを削除するには:

  1. 管理者設定ページで、[ ユーザー ]タブに移動します。
  2. ユーザーの行の末尾にある [x ] をクリックします。

ユーザーを削除すると、次の結果が発生することに注意してください。

  • ユーザーが生成したトークンを使用するアプリケーションまたはスクリプトは、Databricks API にアクセスできなくなります
  • ユーザーが所有するジョブは失敗します
  • ユーザーが所有するクラスターは停止します
  • ユーザーが作成し、所有者として実行資格情報を使用して共有されたクエリまたはダッシュボードは、共有が失敗するのを防ぐために、新しい所有者に割り当てる必要があります
最終更新