OneLogin を使用した Databricks への SSO

備考

プレビュー

この機能は パブリック プレビュー段階です。

このページでは、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして OneLogin を構成する方法について説明します。OneLoginは、OpenID Connect(OIDC)とSAML 2.0の両方をサポートしています。OneLogin からユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

OneLoginシングルサインオンを有効にする

ID プロトコルを選択してください:

OIDC

1. アカウント管理者としてアカウント コンソールにログインし、 [セキュリティ] をクリックします。

2. 認証 タブをクリックします。

3. 認証 の横にある 管理 をクリックします。

4. [ID プロバイダーによるシングルサインオン ] を選択します。

5. 続行 をクリックします。

6. [ID プロトコル] で、[ OpenID Connect] を選択します。

7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

   

8. 新しいブラウザタブで、OneLoginにログインします。

9. 「 管理 」をクリックします。

10. 「 アプリケーション 」をクリックします。

11. 「 アプリの追加 」をクリックします。

12. OpenId Connectを検索し、 OpenId Connect（OIDC） アプリを選択します。

13. 名前を入力し、「 保存 」をクリックします。

14. [ 構成 ] タブで、手順 4 の Databricks リダイレクト URL をオン にします。他の設定を構成するか、デフォルト値のままにしておくかを選択できます。

15. 「 SSO 」タブで、「 クライアントID 」、「 クライアントシークレット 」、「 発行者URL 」の値をコピーします。

    • クライアントID は、 OneLoginで作成したDatabricksアプリケーションの一意の識別子です。

    • クライアントシークレット は、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを認証するために使用されます。

    • 発行者 URL は、OneLogin の OpenID 構成ドキュメントを見つけることができる URL です。その OpenID 構成ドキュメントは {issuer-url}/.well-known/openid-configurationにある必要があります。

    URL から /.well-known/openid-configuration の末尾を削除します。クエリ パラメーターを指定するには、発行者の URL に追加して指定できます (例: {issuer-url}?appid=123)。

16. Databricks アカウント コンソールの [認証] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID ]、[ クライアント シークレット] 、 および [OpenID 発行者 URL ] フィールドに入力します。

17. 必要に応じて、ユーザーの Databricks ユーザー名として email 以外の要求を使用する場合は、 ユーザー名要求 を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。

    

18. 保存 をクリックします。

19. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。

20. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

21. SSOを使用したアカウントコンソールログインをテストします。

SAML 2.0

1. アカウント管理者としてアカウント コンソールにログインし、 [セキュリティ] をクリックします。

2. 認証 タブをクリックします。

3. 認証 の横にある 管理 をクリックします。

4. [ID プロバイダーによるシングルサインオン ] を選択します。

5. 続行 をクリックします。

6. ID プロトコル で SAML 2.0 を選択します。

7. [ 認証 ] タブで、 Databricks リダイレクト URL の値をメモします。

8. 新しいブラウザタブで、OneLoginにログインします。

9. 「 管理 」をクリックします。

10. 「 アプリケーション 」をクリックします。

11. 「 アプリの追加 」をクリックします。

12. 「 SAMLカスタムコネクタ（高度） 」を検索し、OneLogin, Inc.の結果をクリックします。

13. 「 表示名 」を「 Databricks 」に設定します。

14. [ 保存] をクリックします。アプリケーションの [情報 ] タブが読み込まれます。

15. 「 構成 」をクリックします。

16. 「 必要な情報を収集する 」で、以下の各フィールドをDatabricks SAML URLに設定します。

    • オーディエンス
    • 受信者
    • ACS（コンシューマ）URLバリデータ
    • ACS（コンシューマ）URL
    • シングルログアウトURL
    • ログインURL

17. 「SAML署名要素」を「両方」 に設定します。

18. 「 パラメーター 」をクリックします。

19. 「 認証情報 」を「 管理者が設定し、すべてのユーザーが共有 」に設定します。

20. 「 Eメール 」をクリックします。値をEメールに設定し、「 SAMLアサーションに含める 」を有効にします。

21. 「 SSO 」タブをクリックします。

22. 以下の値をコピーします。

    • x.509証明書
    • 発行者URL
    • SAML 2.0エンドポイント（HTTP）

23. 「 SAML署名要素 」が「 応答 」または「 両方 」に設定されていることを確認します。

24. 「 アサーションを暗号化 」が無効になっていることを確認します。

25. Databricks アカウント コンソールの 認証 タブに戻り、OneLogin からコピーした値を入力します。

    • シングル サインオン URL : OneLogin SAML 2.0 エンドポイント (HTTP)
    • アイデンティティプロバイダエンティティID : OneLogin 発行者URL
    • x.509 証明書 : OneLogin x.509 証明書 (証明書の開始と終了のマーカーを含む)

26. 保存 をクリックします。

27. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。

28. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

29. SSOを使用したアカウントコンソールログインをテストします。

1. Databricks にユーザーを追加する

   ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。