Keycloak を使用した Databricks への SSO
プレビュー
この機能は パブリック プレビュー段階です。
このページでは、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Keycloak を構成する方法を示します。Keycloak は、OpenID Connect (OIDC) と SAML 2.0 の両方をサポートします。Keycloak では、ユーザーとグループを Databricks に同期するための SCIM はサポートされていません。
OIDC を使用した Keycloak SSO の有効化
-
アカウント管理者として、 アカウントコンソール にログインし、サイドバーの 設定 アイコンをクリックします。
-
認証 タブをクリックします。
-
認証 の横にある 管理 をクリックします。
-
[ID プロバイダーによるシングルサインオン ] を選択します。
-
続行 をクリックします。
-
[ID プロトコル] で、[ OpenID Connect] を選択します。
-
[ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。
-
新しいブラウザタブで、Keycloak管理コンソールにログインします。
-
Databricks 統合のレルムを選択するか、新しいレルムを作成します。
-
新しいクライアントを作成します。
-
[クライアント] をクリックし、[ クライアントの作成 ] をクリックします。
-
[クライアントの種類] で、[ OpenID Connect] を選択します。
-
クライアント ID と 名前 を入力します。
-
[ 次へ ] をクリックして [保存] をクリックします。
-
-
Databricks クライアントを構成します。
- [アクセス設定 ] で、 [ ホーム URL ] を Databricks アカウントの URL に設定します。
- [有効なリダイレクト URI] を、上記でコピーした Databricks リダイレクト URL に設定します。
- 機能構成 で、クライアント 認証を オン に設定 して機密アクセスします。
-
グループメンバーシップマッピングを設定します。
- [クライアント スコープ] をクリックし、クライアント専用のスコープを選択します。
- [ マッパー ] タブで、[ 新しいマッパーの設定] をクリックします。
- [ マッパー タイプ ] で、[ グループ メンバーシップ] を選択します。
- [ 名前 ] と [トークン要求名 ] の両方を [グループ ] に設定します。
- 好みに応じて、 完全なグループパス を オン または オフ に切り替えます。
-
Databricks アカウント コンソールの [認証] タブに戻り、Keycloak からコピーした値を入力します。
- クライアントID : KeycloakのクライアントID。
- クライアント・シークレット : Keycloakクライアントの 「資格証明」 タブにあります。
- OpenID 発行者 URL : レルムを含む Keycloak URL (たとえば、
https://keycloak.example.com/realms/your-realm)。
-
保存 をクリックします。
-
[SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
-
[SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
-
SSOを使用したアカウントコンソールログインをテストします。
-
Databricks にユーザーを追加する
ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。
SAML を使用した Keycloak SSO の有効化
-
アカウント管理者として、 アカウントコンソール にログインし、サイドバーの 設定 アイコンをクリックします。
-
認証 タブをクリックします。
-
認証 の横にある 管理 をクリックします。
-
[ID プロバイダーによるシングルサインオン ] を選択します。
-
続行 をクリックします。
-
ID プロトコル で SAML 2.0 を選択します。
-
[ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。
-
新しいブラウザタブで、Keycloak管理コンソールにログインします。
-
Databricks 統合のレルムを選択するか、新しいレルムを作成します。
-
新しいクライアントを作成します。
- [クライアント] をクリックし、[ クライアントの作成 ] をクリックします。
- [クライアントの種類] で、[ SAML] を選択します。
- クライアント ID と 名前 を入力します。
- [ 次へ ] をクリックして [保存] をクリックします。
- ログイン設定で、 [有効なリダイレクト URI] を上記でコピーした Databricks リダイレクト URL に設定します。
-
クライアントを設定します。
- [ SAML機能 ] の [ 設定 ] タブで、[ 名前 ID 形式 ] を [Eメール ] に設定します。
- [名前 ID の形式を強制する] をオンにします。
- 保存 をクリックします。
-
SAML 属性マッピングを設定します。
- [クライアント スコープ] をクリックし、クライアント専用のスコープを選択します。
- 「 マッパー 」タブで、「 定義済みマッパーの追加 」をクリックします。
- [X500 Eメール ]、[ X500 givenName ]、および [X500 姓] を選択し、[ 追加] をクリックします。
-
SAML メタデータを取得します。
-
Realm settings と General をクリックします。
-
[ SAML 2.0 Identity Provider Metadata ] をクリックします。
-
メタデータから、次の値を保存します。
SingleSignOnService要素のLocation属性 (例:https://my-idp.example.com/realms/DatabricksRealm/protocol/saml)。これは、Databricksの シングルサインオン URLです。EntityDescriptor要素のentityID属性 (例:https://my-idp.example.com/realms/DatabricksRealm)。X509Certificateタグ。
-
-
Databricks アカウント コンソールの [認証] タブに戻り、Keycloak からコピーした値を入力します。
- シングルサインオン URL : 上記でコピーした
SingleSignOnService要素のLocation属性。 - エンティティ ID : 上記でコピーした
EntityDescriptor要素のentityID属性。 - X509Certificate : 上記でコピーした
X509Certificateタグ。
- シングルサインオン URL : 上記でコピーした
-
保存 をクリックします。
-
[SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
-
[SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
-
SSOを使用したアカウントコンソールログインをテストします。
-
Databricks にユーザーを追加する
ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。