Keycloak を使用した Databricks への SSO

備考

プレビュー

このページでは、Databricks アカウントでシングルサインオン (SSO) の ID プロバイダーとして Keycloak を構成する方法を示します。Keycloak は、OpenID Connect (OIDC) と SAML 2.0 の両方をサポートします。Keycloak では、ユーザーとグループを Databricks に同期するための SCIM はサポートされていません。

OIDC を使用した Keycloak SSO の有効化

アカウント管理者としてアカウントコンソールにログインし、 [セキュリティ] をクリックします。
認証タブをクリックします。
認証の横にある管理をクリックします。
[ID プロバイダーによるシングルサインオン ] を選択します。
続行をクリックします。
[ID プロトコル] で、[ OpenID Connect] を選択します。
[ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。
新しいブラウザタブで、Keycloak管理コンソールにログインします。
Databricks 統合のレルムを選択するか、新しいレルムを作成します。
新しいクライアントを作成します。
1. [クライアント] をクリックし、[ クライアントの作成 ] をクリックします。
2. [クライアントの種類] で、[ OpenID Connect] を選択します。
3. クライアント ID と名前を入力します。
4. [ 次へ ] をクリックして [保存] をクリックします。
Databricks クライアントを構成します。
1. [アクセス設定 ] で、 [ ホーム URL ] を Databricks アカウントの URL に設定します。
2. [有効なリダイレクト URI] を、上記でコピーした Databricks リダイレクト URL に設定します。
3. 機能構成 で、クライアント 認証をオン に設定 して機密アクセスします。
グループメンバーシップマッピングを設定します。
1. [クライアントスコープ] をクリックし、クライアント専用のスコープを選択します。
2. [ マッパー ] タブで、[ 新しいマッパーの設定] をクリックします。
3. [ マッパータイプ ] で、[ グループメンバーシップ] を選択します。
4. [ 名前 ] と [トークン要求名 ] の両方を [グループ ] に設定します。
5. 好みに応じて、 完全なグループパス をオンまたはオフに切り替えます。
Databricks アカウントコンソールの [認証] タブに戻り、Keycloak からコピーした値を入力します。
1. クライアントID : KeycloakのクライアントID。
2. クライアント・シークレット : Keycloakクライアントの 「資格証明」 タブにあります。
3. OpenID 発行者 URL : レルムを含む Keycloak URL (たとえば、 https://keycloak.example.com/realms/your-realm)。
保存をクリックします。
[SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
[SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
Databricks にユーザーを追加する

ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。

SAML を使用した Keycloak SSO の有効化

アカウント管理者としてアカウントコンソールにログインし、 [セキュリティ] をクリックします。
認証タブをクリックします。
認証の横にある管理をクリックします。
[ID プロバイダーによるシングルサインオン ] を選択します。
続行をクリックします。
ID プロトコル で SAML 2.0 を選択します。
[ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。
新しいブラウザタブで、Keycloak管理コンソールにログインします。
Databricks 統合のレルムを選択するか、新しいレルムを作成します。
新しいクライアントを作成します。
1. [クライアント] をクリックし、[ クライアントの作成 ] をクリックします。
2. [クライアントの種類] で、[ SAML] を選択します。
3. クライアント ID と名前を入力します。
4. [ 次へ ] をクリックして [保存] をクリックします。
5. ログイン設定で、 [有効なリダイレクト URI] を上記でコピーした Databricks リダイレクト URL に設定します。
クライアントを設定します。
1. [ SAML機能 ] の [ 設定 ] タブで、[ 名前 ID 形式 ] を [Eメール ] に設定します。
2. [名前 ID の形式を強制する] をオンにします。
3. 保存をクリックします。
SAML 属性マッピングを設定します。
1. [クライアントスコープ] をクリックし、クライアント専用のスコープを選択します。
2. 「 マッパー 」タブで、「 定義済みマッパーの追加 」をクリックします。
3. [X500 Eメール ]、[ X500 givenName ]、および [X500 姓] を選択し、[ 追加] をクリックします。
SAML メタデータを取得します。
1. Realm settings と General をクリックします。
2. [ SAML 2.0 Identity Provider Metadata ] をクリックします。
3. メタデータから、次の値を保存します。
- SingleSignOnService 要素の Location 属性 (例: https://my-idp.example.com/realms/DatabricksRealm/protocol/saml)。これは、Databricksの シングルサインオン URLです。
- EntityDescriptor 要素の entityID 属性 (例: https://my-idp.example.com/realms/DatabricksRealm)。
- X509Certificateタグ。
Databricks アカウントコンソールの [認証] タブに戻り、Keycloak からコピーした値を入力します。
1. シングルサインオン URL : 上記でコピーした SingleSignOnService 要素の Location 属性。
2. エンティティ ID : 上記でコピーした EntityDescriptor 要素の entityID 属性。
3. X509Certificate : 上記でコピーした X509Certificate タグ。
保存をクリックします。
[SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
[SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
Databricks にユーザーを追加する

ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。