Amazon
Web Services
Microsoft Azure
Google Cloud PlatformMicrosoft Entra ID (Azure Active Directory) を使用した Databricks への SSO
この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Microsoft Entra ID (旧 Azure Active Directory) を構成する方法を説明します。 Microsoft Entra ID は、OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 Microsoft Entra ID からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。
警告
シングル サインオンのテスト中にDatabricksからロックアウトされないようにするには、アカウントDatabricksを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。 SSO の緊急アクセスを参照してください。
OIDCを使用したアカウントのシングルサインオン認証を有効にする
アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。
「シングルサインオン」タブをクリックします。
[認証] の横にある [管理] をクリックします。
[ ID プロバイダーでシングルサインオン] を選択します。
「続行」をクリックします。
[ID プロトコル] で、 [OpenID Connect] を選択します。
「シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。
別のブラウザ タブで、Microsoft Entra ID アプリケーションを作成します。
Azureポータルに管理者としてログインします。
Azure サービスペインでMicrosoft Entra IDをクリックし、左側のペインでアプリの登録 をクリックします。
「新規登録」をクリックします。
名前を入力してください。
「 サポートされているアカウントタイプ 」で、「この組織ディレクトリにあるアカウントのみ」を選択します。
「リダイレクトURI」で「Web」を選択し、「DatabricksリダイレクトURI」の値を貼り付けます。
「登録」をクリックします。
Microsoft Entra ID アプリケーションから必要な情報を収集します。
「Essentials」で、「アプリケーション(クライアント)ID」をコピーします。
「エンドポイント」をクリックします。
「OpenID Connectメタデータドキュメント」のURLをコピーします。
左側のペインで、「証明書とシークレット」をクリックします。
「+ 新しいクライアントのシークレット」をクリックします。
説明を入力し、有効期限を選択します。
[追加] をクリックします。
シークレットの値をコピーします。
Databricks アカウント コンソールのシングル サインオンページに戻り、ID プロバイダー アプリケーションからコピーした値を[クライアント ID] 、 [クライアント シークレット]、および[OpenID 発行者 URL]フィールドに入力します。 URL から末尾の
/.well-known/openid-configurationを削除します。
[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
SAMLを使用したアカウントのシングルサインオン認証を有効にする
以下の手順に従って、Databricksアカウントコンソールで使用するギャラリー以外のAzure ポータルSAMLアプリケーションを作成します。
アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。
「シングルサインオン」タブをクリックします。
[認証] の横にある [管理] をクリックします。
[ ID プロバイダーでシングルサインオン] を選択します。
「続行」をクリックします。
[ID プロトコル]で、 [SAML 2.0]を選択します。
「シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。
別のブラウザ タブで、Microsoft Entra ID アプリケーションを作成します。
Azureポータルに管理者としてログインします。
Azure サービスペインで、 Microsoft Entra IDをクリックし、左側のペインで、エンタープライズ アプリケーションをクリックします。 [すべてのアプリケーション]ウィンドウが開き、Microsoft Entra ID テナント内のアプリケーションのランダム サンプルが表示されます。
「新しいアプリケーション」をクリックします。
「独自のアプリケーションの作成」をクリックします。
名前を入力してください。
「アプリケーションでどのような操作を行いたいですか?」で「ギャラリーに見つからないその他のアプリケーションを統合します」を選択します。
Microsoft Entra ID アプリケーションを構成します。
[ プロパティ] をクリックします。
「割り当てが必要」を「いいえ」に設定します。Databricks では、すべてのユーザーが Databricks アカウントにサインインできるこのオプションを推奨しています。 SSO を使用して Databricks アカウントにログインするには、ユーザーはこの SAML アプリケーションにアクセスできる必要があります。
アプリケーションのプロパティ ウィンドウで、[ シングル サインオンの設定] をクリックします。
「SAML」をクリックして、アプリケーションをSAM認証用に構成します。「SAMLプロパティ」ペインが表示されます。
「基本的なSAML構成」の横にある「編集」をクリックします。
エンティティ ID を、 Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。
応答 URL を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。
「SAML署名証明書」の横にある「編集」をクリックします。
「署名オプション」ドロップダウンリストで、「SAML応答とアサーションに署名」を選択します。
[ Attributes & Claims] で [Edit] をクリックします。
[ 一意のユーザー識別子(名前 ID)] フィールドを
user.mailに設定します。[SAML 証明書]の下にある[証明書 (Base64)]の横にある[ダウンロード]をクリックします。 証明書は、拡張子が
.cerのファイルとしてローカルにダウンロードされます。テキストエディタで
.cerファイルを開き、ファイルの内容をコピーします。 このファイルは、Microsoft Entra ID SAML アプリケーションの x.509 証明書全体です。重要
macOSのキーチェーンを使用してファイルを開かないでください。macOSでは、このファイルタイプのデフォルトアプリケーションがmacOSのキーチェーンになっています。
証明書は機密データです。ダウンロードする場所には注意してください。できるだけ早くローカルストレージから削除するようにしてください。
Azure ポータルの[Microsoft Entra ID SAML ツールキットのセットアップ]で、ログイン URLとMicrosoft Entra ID 識別子をコピーして保存します。
DatabricksアカウントコンソールのSSOページでDatabricksを設定します。
「ログイン URL」と呼ばれるMicrosoft Entra ID フィールドにシングル サインオン URLを設定します。
Identity Provider Entity ID を、 Microsoft Entra ID Identifierと呼ばれる Microsoft Entra ID フィールドに設定します。
x.509 証明書を、証明書の開始と終了のマーカーを含む Microsoft Entra ID x.509 証明書に設定します。
[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。