メインコンテンツまでスキップ

Microsoft Entra ID を使用した Databricks への SSO

備考

プレビュー

この機能は パブリック プレビュー段階です。

このページでは、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Microsoft Entra ID を構成する方法を示します。Microsoft Entra ID では、OpenID Connect (OIDC) と SAML 2.0 の両方がサポートされています。Microsoft Entra ID からユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

OIDC を使用して Microsoft Entra ID SSO を有効にする

  1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの 設定 アイコンをクリックします。

  2. 認証 タブをクリックします。

  3. 認証 の横にある 管理 をクリックします。

  4. [ID プロバイダーによるシングルサインオン ] を選択します。

  5. 続行 をクリックします。

  6. [ID プロトコル] で、[ OpenID Connect] を選択します。

  7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

  8. 別のブラウザー タブで、Microsoft Entra ID アプリケーションを作成します。

    1. 管理者として Azure portal にログインします。
    2. 左側のナビゲーションで、 [ Microsoft Entra ID ] をクリックします。
    3. [アプリの登録] > [新規登録 ] をクリックします。
    4. 名前を入力してください。
    5. サポートされているアカウントタイプ 」で、「 この組織ディレクトリにあるアカウントのみ 」を選択します。
    6. [リダイレクト URI] で [ Web ] を選択し、 Databricks リダイレクト URL の値を貼り付けます。
    7. 登録 をクリックします。
  9. Microsoft Entra ID アプリケーションから必要な情報を収集します。

    1. Essentials 」で、「 アプリケーション(クライアント)ID 」をコピーします。
    2. エンドポイント 」をクリックします。
    3. OpenID Connectメタデータドキュメント 」のURLをコピーします。
    4. 左側のペインで、 「証明書とシークレット」 をクリックします。
    5. + 新しいクライアントのシークレット 」をクリックします。
    6. 説明を入力し、有効期限を選択します。
    7. [ 追加 ] をクリックします。
    8. シークレットの をコピーします。
  10. Databricks アカウント コンソールの [認証] ページに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID ]、[ クライアント シークレット]および [OpenID 発行者 URL ] フィールドに入力します。URL から /.well-known/openid-configuration の末尾を削除します。

    クエリ パラメーターを指定するには、発行者の URL に追加して指定できます (例: {issuer-url}?appid=123)。

  11. 必要に応じて、ユーザーの Databricks ユーザー名として email 以外の要求を使用する場合は、 [ユーザー名] 要求 に要求の名前を入力します。詳細については 情報 「 アカウントのユーザー名に使用するクレームをカスタマイズする」を参照してください。

    すべての値が入力されたときの [シングルサインオン] タブ

  12. 保存 をクリックします。

  13. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。

  14. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

  15. SSOを使用したアカウントコンソールログインをテストします。

  16. Databricks にユーザーを追加する

    ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。

SAML を使用して Microsoft Entra ID SSO を有効にする

以下の手順に従って、Databricksアカウントコンソールで使用するギャラリー以外のAzure ポータルSAMLアプリケーションを作成します。

  1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの 設定 アイコンをクリックします。

  2. 認証 タブをクリックします。

  3. 認証 の横にある 管理 をクリックします。

  4. [ID プロバイダーによるシングルサインオン ] を選択します。

  5. 続行 をクリックします。

  6. ID プロトコルSAML 2.0 を選択します。

  7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

    SAML SSO を設定します。

  8. 別のブラウザー タブで、Microsoft Entra ID アプリケーションを作成します。

    1. Azureポータルに管理者としてログインします。
    2. 左側のナビゲーションで、 [Microsoft Entra ID > Enterprise アプリケーション ] をクリックします。[ すべてのアプリケーション ] ウィンドウが開き、Microsoft Entra ID テナント内のアプリケーションのランダムなサンプルが表示されます。
    3. 新しいアプリケーション 」をクリックします。
    4. 独自のアプリケーションの作成 」をクリックします。
    5. 名前を入力してください。
    6. アプリケーション で何をしたいですか? 選択 する ギャラリーにない他のアプリケーションを統合 します。
  9. Microsoft Entra ID アプリケーションを構成します。

    1. [プロパティ] をクリックします。

    2. [割り当てが必要][いいえ ] に設定します。Databricks では、すべてのユーザーが Databricks アカウントにサインインできるこのオプションを推奨しています。SSO を使用して Databricks アカウントにログインするには、ユーザーがこの SAML アプリケーションにアクセスできる必要があります。

    3. アプリケーションのプロパティ ペインで、[ シングル サインオンの設定 ] をクリックします。

    4. [ SAML] をクリックして、SAML 認証用にアプリケーションを設定します。SAML プロパティペインが表示されます。

    5. 基本的なSAML構成 」の横にある「 編集 」をクリックします。

    6. [エンティティ ID] を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。

    7. [ 応答 URL] を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。

    8. SAML署名証明書 」の横にある「 編集 」をクリックします。

    9. [ 署名オプション ] ドロップダウン リストで、[ SAML 応答とアサーションに署名 ] を選択し、セキュリティを強化するために [ 署名アルゴリズム ] を SHA-256 に設定します。

    10. [属性と要求] で、[ 編集] をクリックします。

    11. [ 一意のユーザー識別子(名前 ID)] フィールドを user.mailに設定します。

    12. [ SAML 証明書][証明書 (Base64)] の横にある [ダウンロード] をクリックします。証明書は、拡張子が .cer のファイルとしてローカルにダウンロードされます。

    13. テキスト エディタで .cer ファイルを開き、ファイルの内容をコピーします。このファイルは、Microsoft Entra ID SAML アプリケーションの x.509 証明書全体です。

important
  • macOSのキーチェーンを使用してファイルを開かないでください。macOSでは、このファイルタイプのデフォルトアプリケーションがmacOSのキーチェーンになっています。
  • 証明書は機密データです。ダウンロードする場所には注意してください。できるだけ早くローカルストレージから削除するようにしてください。
  1. Azure portal の [ Microsoft Entra ID SAML Toolkit の設定 ] で、 ログイン URLMicrosoft Entra ID 識別子 をコピーして保存します。

  2. DatabricksアカウントコンソールのSSOページでDatabricksを設定します。

    1. シングルサインオン URL[ログイン URL ] という [Microsoft Entra ID] フィールドに設定します。
    2. [ ID プロバイダー エンティティ ID ] を、 Microsoft Entra ID 識別子 と呼ばれる [Microsoft Entra ID] フィールドに設定します。
    3. [ x.509 証明書 ] を Microsoft Entra ID x.509 証明書 (証明書の先頭と末尾のマーカーを含む) に設定します。
    4. 保存 をクリックします。
    5. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
    6. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
    7. SSOを使用したアカウントコンソールログインをテストします。
  3. Databricks にユーザーを追加する

    ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。

アカウントのユーザー名に使用する申し立てをカスタマイズする

デフォルトでは、 Databricks のユーザー名はユーザーの電子メールアドレスとして表されます。 別の値を使用してユーザー名を割り当てる場合は、Microsoft Entra ID アカウントで新しい要求を構成できます。

  1. Azureポータルに管理者としてログインします。

  2. 左側のナビゲーションで、 [ Microsoft Entra ID ] をクリックします。

  3. [ + エンタープライズ アプリケーション>追加 ] をクリックします。

  4. [ Microsoft Entra ギャラリーを参照] で、 [ 独自のアプリケーションの作成 ] をクリックします。

  5. アプリケーションの名前を入力します。

  6. [サポートされているアカウントの種類] で、[ アカウント in this organizational directory only (Single テナント)] を選択します。

  7. [ リダイレクト URI (オプション)] で [ Web ] を選択し、「 https://accounts.gcp.databricks.com/oidc/consume」と入力します。

  8. 登録 をクリックします。

  9. 作成したアプリケーションの [ 概要 ] ページに移動し、 アプリケーション (クライアント) ID をメモします。

  10. エンドポイント」 タブで、 OpenID Connect メタデータ・ドキュメントの URL をメモします。

  11. サイドバーの [管理] で、[ 証明書とシークレット] をクリックします。

  12. + 新しいクライアントのシークレット 」をクリックします。

  13. シークレットの名前と有効期限を入力します。

  14. [ 追加 ] をクリックし、シークレットの値をメモします。

  15. サイドバーの [管理] で、[ マニフェスト] をクリックします。

  16. マニフェストを編集して、 "acceptMappedClaims": trueを設定します。

  17. 保存 をクリックします。

  18. アプリケーションの [ 概要 ] ページに戻ります。

  19. サイドバーの [管理] で、[ シングル サインオン] をクリックします。

  20. [属性と要求] で、[ 編集] をクリックします。

  21. [ 新しい申請を追加 ] をクリックします。

    • 要求の [名前 ] を入力します。これは、Databricks SSO 構成の [ ユーザー名要求] フィールドに入力する名前です。
    • [ ソース属性 ] で、この要求に必要な Microsoft Entra ID 属性を選択します。
  22. 保存 をクリックします。

Databricks アカウント コンソールで SSO を構成する場合は、次のように入力します。

  • 手順 9 の クライアント ID
  • 手順 14 の クライアント シークレット
  • 手順 10 の OpenID 発行者 URL ( /v2.0 までのみ入力し、 /.well-known/openid-configurationは除外します)。
  • 手順 21 の ユーザー名要求 名。

[SSO の保存テスト ] をクリックして設定を検証し、[ SSO の有効化] をクリックします。