メインコンテンツまでスキップ

SAML を使用した SSO の構成

備考

プレビュー

この機能は パブリック プレビュー段階です。

このページでは、SAML を使用してアカウント コンソールと Databricks ワークスペースに対して認証するようにシングル サインオン (SSO) を構成する方法を示します。Okta で SAML SSO を構成するためのデモについては、「 SAML SSO を使用して Databricks アクセスをセキュリティで保護する」を参照してください。

アカウントでのシングル サインオンの概要については、「 Databricks での SSO の構成」を参照してください。

SAML を使用した SSO の有効化

以下の手順は、SAML 2.0を使用してアカウントコンソールユーザーを認証する方法になります。

  1. アカウントコンソールのSSOページを表示し、SAML URLをコピーします。

    1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの 設定 アイコンをクリックします。
      1. 認証 タブをクリックします。
      2. 認証 の横にある 管理 をクリックします。
      3. [ID プロバイダーによるシングルサインオン ] を選択します。
      4. 続行 をクリックします。
      5. ID プロトコルSAML 2.0 を選択します。
      6. [Databricks リダイレクト URL ] フィールドの値をコピーします。後の手順では、Databricks SAML URL が必要になります。

    SAML SSO を設定します。

  2. 別のブラウザウィンドウまたはタブを開き、IDプロバイダーでDatabricksアプリケーションを作成します。

    1. IDプロバイダー(IdP)に移動します。

    2. 新しいクライアントアプリケーション(Web)を作成します。

      • 必要に応じて、ID プロバイダーのドキュメントを使用します。
      • SAML URLフィールド(リダイレクトURLと呼ばれる場合もあります)には、DatabricksページからコピーしたDatabricks SAML URLを使用します。

    3. 新しいDatabricksアプリケーションから以下のオブジェクトとフィールドをコピーします。

      • x.509証明書 :DatabricksとIDプロバイダー間の通信を保護するためにIDプロバイダーから提供されるデジタル証明書
      • ID プロバイダーのシングル サインオン (SSO) URL 。これは、ID プロバイダーとの SSO を開始する URL です。SAML エンドポイントと呼ばれることもあります。
      • IDプロバイダー発行者 :これはSAML IDプロバイダーの一意の識別子です。エンティティIDまたは発行者URLと呼ばれることもあります。

  3. IDプロバイダーを使用するようにDatabricksアカウントを設定します。

    1. Databricks アカウント コンソールの SSO ページがあるブラウザー タブまたはウィンドウに戻ります。
    2. ID プロバイダーの Databricks アプリケーションから、シングル サインオン URL、ID プロバイダー エンティティ ID、x.509 証明書のフィールドを入力または貼り付けます。
    3. 保存 をクリックします。
    4. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
    5. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
    6. SSOを使用したアカウントコンソールログインをテストします。

  4. すべてのアカウントユーザーに、IDプロバイダー内のDatabricksアプリケーションへのアクセス権を付与します。アプリケーションへのアクセス権を変更する必要がある場合があります。

  5. Databricks にユーザーを追加する

    ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。

有効期限が切れる SAML 証明書を置き換える

SAML 証明書の有効期限が切れたら、Databricks で更新する必要があります。このプロセスには、SSO を一時的に無効にし、証明書を更新してから、SSO を再度有効にすることが含まれます。

SSO が無効になっている場合:

  • SSO 構成は削除されませんが、設定を編集できます。
  • ユーザーは、SSO を再度有効にするまで SSO を使用できません。

期限切れの SAML 証明書を置き換えるには、次の手順を実行します。

  1. ID プロバイダーから新しいフェデレーション メタデータ XML をエクスポートします。このファイルには、Databricks に必要な新しい x.509 証明書が含まれています。
  2. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの 設定 アイコンをクリックします。
  3. 認証 タブをクリックします。
  4. 認証 の横にある 管理 をクリックします。
  5. [SSO の無効化] をクリックします。
  6. [ x.509 証明書] フィールドの既存のテキストを、ID プロバイダーからの新しい x.509 証明書に置き換えます。
  7. SSOを有効にする 」をクリックします。
  8. SSOを使用したアカウントコンソールログインをテストします。

SAML SSO のトラブルシューティング

次の表に、SSO 認証中に発生する可能性のある SAML エラー コードを示します。各エントリには、機械可読のエラー名、詳細な説明、およびトラブルシューティングの推奨される次の手順が記載されています。この情報を使用して、ワークスペース内の SAML 認証の問題を迅速に特定して解決します。

エラー名

詳細

次のステップ

user_not_registered_error

入力されたユーザー名は、このワークスペースまたはアカウントに関連付けられていません。

ユーザーが Databricks ワークスペースまたはアカウントに追加されていることを確認します。ユーザープロビジョニングが自動化されている場合(たとえば、SCIMを使用)、SCIMが機能していることを確認します。 エラーメッセージ、ユーザーのメールアドレス、ログイン試行のタイムスタンプを Databricks サポートに問い合わせてください。

saml_not_enabled

この Databricks ワークスペースでは SAML 認証が有効になっていません。

ワークスペース設定で SAML を有効にします。 エラー メッセージについては、Databricks 管理者または Databricks サポートにお問い合わせください。

saml_invalid_idp_settings

無効な IdP メタデータまたは構成のため、SAML 要求を構築できませんでした。

IdP メタデータに欠落または無効なフィールドがないか確認します。ACS URL とエンティティ ID の設定を確認します。 エラーメッセージ、メタデータファイル、およびACS URLを記載してIdPサポートにお問い合わせください。

saml_expired_error

SAML アサーションの有効期限が切れているか、まだ有効ではありません。

IdP と Databricks のシステム クロックが (NTP を使用) 同期されていることを確認します。 エラーメッセージ、ブラウザーHAR、IdPログをIdPサポートに問い合わせてください。

saml_response_not_signed_error

SAML 応答は署名されませんが、署名が必要です。

IdP で SAML 応答の署名を有効にします。 エラーメッセージとIdP設定の詳細をIdPサポートに問い合わせてください。

saml_assertion_not_signed_error

SAML アサーションは署名されませんが、署名が必要です。

IdP が SAML 設定でアサーションに署名していることを確認します。 エラーメッセージとIdP設定の詳細をIdPサポートに問い合わせてください。

saml_no_signature_error

SAML 応答またはアサーションにシグネチャが見つかりませんでした。

SAML 応答またはアサーションが署名されていることを確認します。 エラーメッセージと完全な SAML レスポンスを添えて IdP サポートにお問い合わせください。

saml_invalid_signature_error

SAML 応答またはアサーションの署名が無効です。

Databricks で正しい公開キーが構成されていることを確認します。 エラーメッセージとIdP設定の詳細をIdPサポートに問い合わせてください。

saml_nameid_missing_error

NameID は、ログインに必要な SAML アサーションにありません。

IdP を更新して、アサーションに NameID を含めます。 エラーメッセージ、IdP 設定の詳細、SAML 属性マッピング設定を IdP サポートに問い合わせてください。

saml_generic_request_error

SAML 要求を初期化できません。Databricks は、エンティティ ID または SSO URL が正しくないか欠落しているため、IdP に中継する SAML 要求を作成できませんでした。

Databricks の構成が IdP と一致していることを確認します。エンティティ ID (IdP 発行者 ID または URL) と SSO URL を確認します。 エラー メッセージと IdP 構成の詳細を Databricks と IdP サポートに問い合わせてください。

saml_generic_response_validation_error

SAML 応答の検証に失敗しました。Databricks は、IdP からの SAML 応答を検証できませんでした。

SAML 応答を調べ、検証エラーを確認します。 エラーメッセージ、SAML レスポンス、検証エラーメッセージについて、IdP サポートにお問い合わせください。

consume_sso_enabled_failure

SSO を有効にすると、ユーザーは Google でログインできません。

アカウントにアクセスするには、Google サインイン OAuth URL ではなく Databricks アカウント URL を使用してサインインします。

incr_auth_email_mismatch

ワークスペースの作成または削除中に、有効な更新トークンがない場合、GCP Incremental Auth は、ユーザーが Google 認証情報を使用して再度サインインするように求められます。

アカウント Eメール Databricks と一致する Google メール でサインインします。

最終更新