Oktaを使用したDatabricksへのSSO

備考

プレビュー

この機能は パブリック プレビュー段階です。

このページでは、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Okta を構成する方法を示します。Oktaは、OpenID Connect(OIDC)とSAML 2.0の両方をサポートしています。Okta からユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

次のデモでは、OktaでSSOを構成する手順を説明します。

• OIDC SSO で Databricks アクセスをセキュリティで保護する
• SAML SSO で Databricks アクセスを保護する

Oktaシングルサインオンを有効にする

ID プロトコルを選択してください:

OIDC

1. アカウント管理者としてアカウント コンソールにログインし、 [セキュリティ] をクリックします。

2. 認証 タブをクリックします。

3. 認証 の横にある 管理 をクリックします。

4. [ID プロバイダーによるシングルサインオン ] を選択します。

5. 続行 をクリックします。

6. [ID プロトコル] で、[ OpenID Connect] を選択します。

7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

8. 新しいブラウザタブで、管理者としてOktaにログインします。

9. ホームページで、「 アプリケーション 」>「 アプリケーション 」をクリックします。

10. 「 アプリ統合を作成 」をクリックします。

11. 「 OIDC-OpenID Connect 」と「 Webアプリケーション 」を選択し、「 次へ 」をクリックします。

12. アプリ統合に名前を付けます。

13. [サインイン リダイレクト URIs] に、ステップ 7 の Databricksリダイレクト URL を入力します。 その他の設定を構成することも、デフォルト値のままにすることもできます。

14. [割り当て] で、 [組織内のすべてのユーザーにアクセスを許可する] を選択します。これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

15. 保存 をクリックします。

16. [全般] タブで、アプリケーション用に Okta によって生成されたクライアント ID とクライアント シークレットをコピーします。

    • クライアントID は、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。
    • クライアントシークレット は、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを認証するために使用されます。

17. [サインオン] タブをクリックし、 OpenID Connect ID トークン の発行者フィールドに Okta URL をコピーします。

    発行者フィールドに 「動的」 と表示されている場合は、 「編集」 をクリックし、ドロップダウン メニューで 「Okta URL」 を選択します。

注記

この URL は、 {issuer-url}/.well-known/openid-configurationにある Okta の OpenID 構成ドキュメントを指します。発行者の URL にクエリを追加することで、クエリを指定できます (例: {issuer-url}?appid=123 。

18. Databricks アカウント コンソールの [認証] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID ]、[ クライアント シークレット] 、および [発行者 URL] フィールドに入力します。

19. 必要に応じて、ユーザーの Databricks ユーザー名として email 以外の要求を使用する場合は、 ユーザー名要求 を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。

    

20. 保存 をクリックします。

21. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。

22. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

23. SSOを使用したアカウントコンソールログインをテストします。

SAML 2.0

1. アカウント管理者としてアカウント コンソールにログインし、 [セキュリティ] をクリックします。

2. 認証 タブをクリックします。

3. 認証 の横にある 管理 をクリックします。

4. [ID プロバイダーによるシングルサインオン ] を選択します。

5. 続行 をクリックします。

6. ID プロトコル で SAML 2.0 を選択します。

7. [認証] タブで、 Databricks リダイレクト URL をメモします。

   

8. 新しいブラウザタブで、管理者としてOktaにログインします。

9. [アプリケーション] に移動し、[ アプリ カタログの参照] をクリックします。

10. Databricks を検索して選択します。

11. [ 統合を追加] をクリックします。

12. アプリケーションに名前を付けて、 「完了」 をクリックします。

13. 「 サインオン」 タブを選択し、「 編集」 をクリックします。

14. [詳細なサインオン設定] で、次の設定を使用してアプリケーションを構成します。

    • Databricks SAML URL : 上記でコピーした Databricks リダイレクト URL。
    • アプリケーションユーザー名の形式 : Eメール

15. 「保存」 をクリックします。Databricks SAMLアプリが表示されます。

16. 「 SAML 2.0はセットアップ手順を完了するまで構成されません 」で「 セットアップ手順を表示 」をクリックします。

17. 以下の値をコピーします。

    • IDプロバイダーのシングルサインオンURL
    • IDプロバイダーの発行者
    • x.509証明書

18. [割り当て] タブをクリックします。 Everyone という名前の Okta グループをアプリケーションに追加します。これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

19. Databricks アカウント コンソールの 認証 タブに戻り、Okta からコピーした値を入力します。

    • シングル サインオン URL : Okta ID プロバイダー シングル サインオン URL
    • アイデンティティプロバイダエンティティID : Okta アイデンティティプロバイダ発行者
    • x.509 証明書 : Okta x.509 証明書 (証明書の開始と終了のマーカーを含む)

20. 保存 をクリックします。

21. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。

22. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

23. SSOを使用したアカウントコンソールログインをテストします。

1. Databricks にユーザーを追加する

   ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。