Microsoft Entra ID (Azure Active Directory) を使用した Databricks への SSO

この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Microsoft Entra ID (旧 Azure Active Directory) を構成する方法を説明します。 Microsoft Entra ID は、OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 Microsoft Entra ID からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。

警告

シングル サインオンのテスト中にDatabricksからロックアウトされないようにするには、アカウントDatabricksを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。 SSO の緊急アクセスを参照してください。

OIDCを使用したアカウントのシングルサインオン認証を有効にする

  1. アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。

  2. シングルサインオン」タブをクリックします。

  3. このタブの上部にあるドロップダウンから、「OpenID Connect」を選択します。

  4. シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。

  5. 別のブラウザ タブで、Microsoft Entra ID アプリケーションを作成します。

    1. Azureポータルに管理者としてログインします。

    2. Azure サービスペインで、 Microsoft Entra IDをクリックし、左側のプランで、アプリの登録 をクリックします。

    3. 新規登録」をクリックします。

    4. 名前を入力してください。

    5. サポートされているアカウントタイプ 」で、「この組織ディレクトリにあるアカウントのみ」を選択します。

    6. リダイレクトURI」で「Web」を選択し、「DatabricksリダイレクトURI」の値を貼り付けます。

    7. 登録」をクリックします。

  6. Microsoft Entra ID アプリケーションから必要な情報を収集します。

    1. Essentials」で、「アプリケーション(クライアント)ID」をコピーします。

    2. エンドポイント」をクリックします。

    3. OpenID Connectメタデータドキュメント」のURLをコピーします。

    4. 左側のペインで、「証明書とシークレット」をクリックします。

    5. + 新しいクライアントのシークレット」をクリックします。

    6. 説明を入力し、有効期限を選択します。

    7. [追加] をクリックします。

    8. シークレットのをコピーします。

  7. Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。URLから末尾の/.well-known/openid-configurationを削除します。

    すべての値が入力されたときの「シングルサインオン」タブ
  8. [保存]をクリックします。

  9. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

  10. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

  11. SSOを使用したアカウントコンソールログインをテストします。

SAMLを使用したアカウントのシングルサインオン認証を有効にする

以下の手順に従って、Databricksアカウントコンソールで使用するギャラリー以外のAzure ポータルSAMLアプリケーションを作成します。

  1. アカウント所有者またはアカウント管理者として Databricks SAML URL を取得するには、 アカウント コンソールにログインします。 サイドバーの「設定」をクリックし、 「シングル サインオン」タブをクリックします。 ピッカーから、 SAML 2.0 を選択します。 Databricks リダイレクト URIフィールドの値をコピーします。

  2. 別のブラウザ タブで、Microsoft Entra ID アプリケーションを作成します。

    1. Azureポータルに管理者としてログインします。

    2. Azure サービスペインで、 Microsoft Entra IDをクリックし、左側のプランで、エンタープライズ アプリケーションをクリックします。 [すべてのアプリケーション]ウィンドウが開き、Microsoft Entra ID テナント内のアプリケーションのランダム サンプルが表示されます。

    3. 新しいアプリケーション」をクリックします。

    4. 独自のアプリケーションの作成」をクリックします。

    5. 名前を入力してください。

    6. アプリケーションでどのような操作を行いたいですか?」で「ギャラリーに見つからないその他のアプリケーションを統合します」を選択します。

  3. Microsoft Entra ID アプリケーションを構成します。

    1. [ プロパティ] をクリックします。

    2. 「割り当てが必要」「いいえ」に設定します。Databricks では、すべてのユーザーが Databricks アカウントにサインインできるこのオプションを推奨しています。 SSO を使用して Databricks アカウントにログインするには、ユーザーはこの SAML アプリケーションにアクセスできる必要があります。

    3. アプリケーションのプロパティ ウィンドウで、[ シングル サインオンの設定] をクリックします。

    4. SAML」をクリックして、アプリケーションをSAM認証用に構成します。「SAMLプロパティ」ペインが表示されます。

    5. 基本的なSAML構成」の横にある「編集」をクリックします。

    6. エンティティ ID を、 Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。

    7. 応答 URL を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。

    8. SAML署名証明書」の横にある「編集」をクリックします。

    9. 署名オプション」ドロップダウンリストで、「SAML応答とアサーションに署名」を選択します。

    10. [ Attributes & Claims] で [Edit] をクリックします。

    11. [ 一意のユーザー識別子(名前 ID)] フィールドを user.mailに設定します。

    12. [SAML 証明書]の下にある[証明書 (Base64)]の横にある[ダウンロード]をクリックします。 証明書は、拡張子が .cer のファイルとしてローカルにダウンロードされます。

    13. テキストエディタで .cer ファイルを開き、ファイルの内容をコピーします。 このファイルは、Microsoft Entra ID SAML アプリケーションの x.509 証明書全体です。

      重要

      • macOSのキーチェーンを使用してファイルを開かないでください。macOSでは、このファイルタイプのデフォルトアプリケーションがmacOSのキーチェーンになっています。

      • 証明書は機密データです。ダウンロードする場所には注意してください。できるだけ早くローカルストレージから削除するようにしてください。

    14. Azure ポータルの[Microsoft Entra ID SAML ツールキットのセットアップ]で、ログイン URLMicrosoft Entra ID 識別子をコピーして保存します。

  4. Databricks アカウント コンソールの SSO ページで Databricks を構成します。 オプション フィールドの詳細については、「SAML を使用したアカウントのシングル サインオン認証の有効化」を参照してください。

    1. シングルサインオン」をクリックします。

    2. SSOタイプドロップダウンをSAML 2.0に設定します。

    3. 「ログイン URL」と呼ばれるMicrosoft Entra ID フィールドにシングル サインオン URLを設定します。

    4. Identity Provider Entity ID を、 Microsoft Entra ID Identifierと呼ばれる Microsoft Entra ID フィールドに設定します。

    5. x.509 証明書を、証明書の開始と終了のマーカーを含む Microsoft Entra ID x.509 証明書に設定します。

    6. [保存]をクリックします。

    7. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

    8. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

    9. SSOを使用したアカウントコンソールログインをテストします。