Microsoft Entra ID を使用した Databricks への SSO

備考

プレビュー

この機能は パブリック プレビュー段階です。

このページでは、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Microsoft Entra ID を構成する方法を示します。Microsoft Entra ID では、OpenID Connect (OIDC) と SAML 2.0 の両方がサポートされています。Microsoft Entra ID からユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

Microsoft Entra ID シングル サインオンを有効にする

ID プロトコルを選択してください:

OIDC

1. アカウント管理者としてアカウント コンソールにログインし、 [セキュリティ] をクリックします。

2. 認証 タブをクリックします。

3. 認証 の横にある 管理 をクリックします。

4. [ID プロバイダーによるシングルサインオン ] を選択します。

5. 続行 をクリックします。

6. [ID プロトコル] で、[ OpenID Connect] を選択します。

7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

8. 別のブラウザー タブで、Microsoft Entra ID アプリケーションを作成します。

   1. 管理者として Azure portal にログインします。
   2. 左側のナビゲーションで、 [ Microsoft Entra ID ] をクリックします。
   3. [アプリの登録] > [新規登録 ] をクリックします。
   4. 名前を入力してください。
   5. 「 サポートされているアカウントタイプ 」で、「 この組織ディレクトリにあるアカウントのみ 」を選択します。
   6. [リダイレクト URI] で [ Web ] を選択し、 Databricks リダイレクト URL の値を貼り付けます。
   7. 登録 をクリックします。

9. Microsoft Entra ID アプリケーションから必要な情報を収集します。

   1. 「 Essentials 」で、「 アプリケーション（クライアント）ID 」をコピーします。
   2. 「 エンドポイント 」をクリックします。
   3. 「 OpenID Connectメタデータドキュメント 」のURLをコピーします。
   4. 左側のペインで、 「証明書とシークレット」 をクリックします。
   5. 「 + 新しいクライアントのシークレット 」をクリックします。
   6. 説明を入力し、有効期限を選択します。
   7. [ 追加 ] をクリックします。
   8. シークレットの 値 をコピーします。

10. Databricks アカウント コンソールの [認証] ページに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID ]、[ クライアント シークレット] 、 および [OpenID 発行者 URL ] フィールドに入力します。URL から /.well-known/openid-configuration の末尾を削除します。

    クエリ パラメーターを指定するには、発行者の URL に追加して指定できます (例: {issuer-url}?appid=123)。

11. 必要に応じて、ユーザーの Databricks ユーザー名として email 以外の要求を使用する場合は、 [ユーザー名] 要求 に要求の名前を入力します。詳細については 情報 「 アカウントのユーザー名に使用するクレームをカスタマイズする」を参照してください。

    

12. 保存 をクリックします。

13. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。

14. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

15. SSOを使用したアカウントコンソールログインをテストします。

SAML 2.0

1. アカウント管理者としてアカウント コンソールにログインし、 [セキュリティ] をクリックします。

2. 認証 タブをクリックします。

3. 認証 の横にある 管理 をクリックします。

4. [ID プロバイダーによるシングルサインオン ] を選択します。

5. 続行 をクリックします。

6. ID プロトコル で SAML 2.0 を選択します。

7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

   

8. 別のブラウザー タブで、Microsoft Entra ID アプリケーションを作成します。

   1. Azureポータルに管理者としてログインします。
   2. 左側のナビゲーションで、 [Microsoft Entra ID > Enterprise アプリケーション ] をクリックします。[ すべてのアプリケーション ] ウィンドウが開き、Microsoft Entra ID テナント内のアプリケーションのランダムなサンプルが表示されます。
   3. 「 新しいアプリケーション 」をクリックします。
   4. 「 独自のアプリケーションの作成 」をクリックします。
   5. 名前を入力してください。
   6. アプリケーション で何をしたいですか? 選択 する ギャラリーにない他のアプリケーションを統合 します。

9. Microsoft Entra ID アプリケーションを構成します。

   1. [プロパティ] をクリックします。

   2. 割り当て必須を 「いいえ」 に設定します。このオプションにより、すべてのユーザーが Databricks アカウントにサインインできるようになります。SSO を使用して Databricks アカウントにログインするには、ユーザーはこの SAML アプリケーションにアクセスできる必要があります。

   3. アプリケーションのプロパティ ペインで、[ シングル サインオンの設定 ] をクリックします。

   4. [ SAML] をクリックして、SAML 認証用にアプリケーションを設定します。SAML プロパティペインが表示されます。

   5. 「 基本的なSAML構成 」の横にある「 編集 」をクリックします。

   6. [エンティティ ID] を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。

   7. [ 応答 URL] を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。

   8. 「 SAML署名証明書 」の横にある「 編集 」をクリックします。

   9. [ 署名オプション ] ドロップダウン リストで、[ SAML 応答とアサーションに署名 ] を選択し、セキュリティを強化するために [ 署名アルゴリズム ] を SHA-256 に設定します。

   10. [属性と要求] で、[ 編集] をクリックします。

   11. [ 一意のユーザー識別子(名前 ID)] フィールドを user.mailに設定します。

   12. [ SAML 証明書] の [証明書 (Base64)] の横にある [ダウンロード] をクリックします。証明書は、拡張子が .cer のファイルとしてローカルにダウンロードされます。

   13. テキスト エディタで .cer ファイルを開き、ファイルの内容をコピーします。このファイルは、Microsoft Entra ID SAML アプリケーションの x.509 証明書全体です。

重要

• macOSのキーチェーンを使用してファイルを開かないでください。macOSでは、このファイルタイプのデフォルトアプリケーションがmacOSのキーチェーンになっています。
• 証明書は機密データです。ダウンロードする場所には注意してください。できるだけ早くローカルストレージから削除するようにしてください。

14. Azure portal の [ Microsoft Entra ID SAML Toolkit の設定 ] で、 ログイン URL と Microsoft Entra ID 識別子 をコピーして保存します。

15. Databricks アカウント コンソールの 認証 タブに戻り、Microsoft Entra ID からコピーした値を入力します。

    • シングルサインオン URL : Microsoft Entra ID ログイン URL
    • アイデンティティプロバイダーエンティティID ：Microsoft Entra ID Microsoft Entra ID識別子
    • x.509 証明書 : 証明書の開始と終了のマーカーを含む Microsoft Entra ID x.509 証明書

16. 保存 をクリックします。

17. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。

18. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

19. SSOを使用したアカウントコンソールログインをテストします。

1. Databricks にユーザーを追加する

   ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。

アカウントのユーザー名に使用する申し立てをカスタマイズする

デフォルトでは、 Databricks のユーザー名はユーザーの電子メールアドレスとして表されます。 別の値を使用してユーザー名を割り当てる場合は、Microsoft Entra ID アカウントで新しい要求を構成できます。

1. Azureポータルに管理者としてログインします。

2. 左側のナビゲーションで、 [ Microsoft Entra ID ] をクリックします。

3. [ + エンタープライズ アプリケーション>追加 ] をクリックします。

4. [ Microsoft Entra ギャラリーを参照] で、 [ 独自のアプリケーションの作成 ] をクリックします。

5. アプリケーションの名前を入力します。

6. [サポートされているアカウントの種類] で、[ アカウント in this organizational directory only (Single テナント)] を選択します。

7. [ リダイレクト URI (オプション)] で [ Web ] を選択し、「 https://accounts.gcp.databricks.com/oidc/consume」と入力します。

8. 登録 をクリックします。

9. 作成したアプリケーションの [ 概要 ] ページに移動し、 アプリケーション (クライアント) ID をメモします。

10. 「 エンドポイント」 タブで、 OpenID Connect メタデータ・ドキュメントの URL をメモします。

11. サイドバーの [管理] で、[ 証明書とシークレット] をクリックします。

12. 「 + 新しいクライアントのシークレット 」をクリックします。

13. シークレットの名前と有効期限を入力します。

14. [ 追加 ] をクリックし、シークレットの値をメモします。

15. サイドバーの [管理] で、[ マニフェスト] をクリックします。

16. マニフェストを編集して、 "acceptMappedClaims": trueを設定します。

17. 保存 をクリックします。

18. アプリケーションの [ 概要 ] ページに戻ります。

19. サイドバーの [管理] で、[ シングル サインオン] をクリックします。

20. [属性と要求] で、[ 編集] をクリックします。

21. [ 新しい申請を追加 ] をクリックします。

    • 要求の [名前 ] を入力します。これは、Databricks SSO 構成の [ ユーザー名要求] フィールドに入力する名前です。
    • [ ソース属性 ] で、この要求に必要な Microsoft Entra ID 属性を選択します。

22. 保存 をクリックします。

Databricks アカウント コンソールで SSO を構成する場合は、次のように入力します。

• 手順 9 の クライアント ID 。
• 手順 14 の クライアント シークレット 。
• 手順 10 の OpenID 発行者 URL ( /v2.0 までのみ入力し、 /.well-known/openid-configurationは除外します)。
• 手順 21 の ユーザー名要求 名。

[SSO の保存 と テスト ] をクリックして設定を検証し、[ SSO の有効化] をクリックします。