Databricks で SSO を構成する

備考

プレビュー

この機能は パブリック プレビュー段階です。

このページでは、シングル サインオン (SSO) を使用してアカウント コンソールと Databricks ワークスペースに対して認証する方法の概要について説明します。ID プロバイダーからユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

SSO 設定の概要

によって デフォルト、Google Cloud Identity (または GSuite) を使用したシングル サインオンは Databricksで利用できます。 必要に応じて、独自の ID プロバイダーを持ち込んで、Databricks へのシングル サインオンを構成することを選択できます。1 つの SSO 構成が、アカウントとすべての Databricks ワークスペースで使用されます。

アカウントで SSO が有効になっている場合、管理者を含むすべてのユーザーは、シングル サインオンを使用して Databricks アカウントとワークスペースにサインインする必要があります。

SSO は、SAML 2.0 または OpenID Connect (OIDC) の使用をサポートします。ID プロバイダー (IdP) は、これらのプロトコルの少なくとも 1 つをサポートする必要があります。

SSO を有効にした後、Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

ジャストインタイム(JIT)プロビジョニングを設定して、最初のログイン時にIDプロバイダーから新しいユーザーアカウントを自動的に作成できます。「ユーザーの自動プロビジョニング (JIT)」を参照してください。

OIDC または SAML を使用して SSO を構成する方法に関する一般的な手順、またはさまざまな ID プロバイダーに関する特定の手順を読むことができます。

• OIDC を使用した SSO の構成
• SAML を使用した SSO の構成
• Microsoft Entra ID を使用した Databricks への SSO
• Oktaを使用したDatabricksへのSSO
• OneLoginを使用したDatabricksへのSSO
• AWS IAM Identity Center を使用した Databricks への SSO
• Keycloak を使用した Databricks への SSO
• JumpCloud を使用した Databricks への SSO

次のデモでは、OktaでSSOを構成する手順を説明します。

• OIDC SSO で Databricks アクセスをセキュリティで保護する
• SAML SSO で Databricks アクセスを保護する

SSO構成をテストする

SSOの設定が完了したら、ユーザーがサインインできることを確認するために設定をテストしてください。

アカウントコンソールからSSOをテストする

SSO設定時には、SSOを有効にする前に、組み込みのテスト機能を使用して設定を確認してください。

1. Databricksアカウント コンソールに ID プロバイダーの設定を入力した後、 [保存] をクリックします。
2. 「SSOをテスト」 をクリックしてください。Databricksは新しいブラウザウィンドウを開き、IDプロバイダーを使用して認証を試みます。
3. ご利用のIDプロバイダーでサインイン手続きを完了してください。
4. テスト結果を確認してください。
   • テストが成功したら、 「SSOを有効にする」 をクリックして、アカウントのシングルサインオンを有効にしてください。
   • テストが失敗した場合は、エラーメッセージを確認し、IDプロバイダーの設定を確認してください。OIDC SSO のトラブルシューティング、またはSAML SSO のトラブルシューティングを参照してください。

テストアカウントコンソールへのログイン

SSOを有効にした後、ユーザーがアカウントコンソールにサインインできることを確認してください。

1. 新しいブラウザウィンドウを開くか、プライベート/シークレットセッションを開いてください。
2. アカウントコンソールに移動します。
3. テスト ユーザーの電子メール アドレスを入力します。 お使いのブラウザは、IDプロバイダーのサインインページにリダイレクトされます。
4. サインインの手順を完了してください。認証が完了すると、Databricksはアカウントコンソールにリダイレクトします。
5. 上部のバーにあるユーザー名をクリックして、正しいユーザーがログインしていることを確認してください。

テスト失敗のトラブルシューティング

SSOテストが失敗した場合は、以下を試してください。

• ID プロバイダーの設定 : リダイレクト URL、クライアント ID、クライアント シークレット (OIDC の場合)、または x.509 証明書 (SAML の場合) が正しいことを確認してください。

• ユーザーアクセス権限の確認 ：テストユーザーが、ご利用のIDプロバイダーでDatabricksアプリケーションに割り当てられていることを確認してください。

• エラーメッセージを確認してください 。具体的なエラーコードについては、 「OIDC SSO のトラブルシューティング」または「SAML SSO のトラブルシューティング」を参照してください。

• プライベートブラウザウィンドウを使用してください 。キャッシュされた認証情報がテストに干渉しないように、シークレットモードまたはプライベートセッションでテストしてください。

• ブラウザのコンソールログを確認する ：ブラウザの開発者ツールを開き、サインインフロー中に発生したリダイレクトやネットワークエラーを探します。

SSO のエラーのトラブルシューティングについては、以下を参照してください。

• OIDC SSO のトラブルシューティング
• SAML SSO のトラブルシューティング