Microsoft Entra ID を使用した Databricks への SSO
この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Microsoft Entra ID を構成する方法を説明します。 Microsoft Entra ID は、OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 Microsoft Entra ID からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。
警告
シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。
OIDC を使用して Microsoft Entra ID SSO を有効にする
アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。
「認証」タブをクリックします。
[認証] の横にある [管理] をクリックします。
[ ID プロバイダーでシングルサインオン] を選択します。
「続行」をクリックします。
[ID プロトコル] で、 [OpenID Connect] を選択します。
[ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。
別のブラウザ タブで、Microsoft Entra ID アプリケーションを作成します。
Azure portal に管理者としてログインします。
Azure サービスペインでMicrosoft Entra IDをクリックし、左側のペインでアプリの登録 をクリックします。
「新規登録」をクリックします。
名前を入力してください。
「 サポートされているアカウントタイプ 」で、「この組織ディレクトリにあるアカウントのみ」を選択します。
[リダイレクト URI] で [web] を選択し、[Databricks リダイレクト URL] の値を貼り付けます。
「登録」をクリックします。
Microsoft Entra ID アプリケーションから必要な情報を収集します。
「Essentials」で、「アプリケーション(クライアント)ID」をコピーします。
「エンドポイント」をクリックします。
「OpenID Connectメタデータドキュメント」のURLをコピーします。
左側のペインで、「証明書とシークレット」をクリックします。
「+ 新しいクライアントのシークレット」をクリックします。
説明を入力し、有効期限を選択します。
[追加] をクリックします。
シークレットの値をコピーします。
Databricks アカウント コンソールの [認証 ] ページに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID]、[ クライアント シークレット]、および [OpenID 発行者 URL ] フィールドに入力します。 URL から末尾の
/.well-known/openid-configuration
を削除します。クエリ パラメーターを指定するには、発行者 URL に追加します (例:
{issuer-url}?appid=123
)。必要に応じて、ユーザーの Databricks ユーザー名として
email
以外の要求を使用する場合は、Username 要求に要求の名前を入力します。詳細については、「 アカウントのユーザー名に使用する要求をカスタマイズする」を参照してください。[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
統合ログインの設定
統合ログインを使用すると、DatabricksワークスペースでアカウントコンソールのSSO設定を使用できます。アカウントが2023年6月21日以降に作成された場合は、新規および既存のすべてのワークスペースに対して、アカウントでの統合ログインがデフォルトで有効になり、無効にすることができません。統合ログインを設定するには、「統合ログインを有効にする」を参照してください。
SAML を使用して Microsoft Entra ID SSO を有効にする
以下の手順に従って、Databricksアカウントコンソールで使用するギャラリー以外のAzure ポータルSAMLアプリケーションを作成します。
アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。
「認証」タブをクリックします。
[認証] の横にある [管理] をクリックします。
[ ID プロバイダーでシングルサインオン] を選択します。
「続行」をクリックします。
[ID プロトコル]で、 [SAML 2.0]を選択します。
[ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。
別のブラウザ タブで、Microsoft Entra ID アプリケーションを作成します。
Azureポータルに管理者としてログインします。
Azure サービスペインで、 Microsoft Entra IDをクリックし、左側のペインで、エンタープライズ アプリケーションをクリックします。 [すべてのアプリケーション]ウィンドウが開き、Microsoft Entra ID テナント内のアプリケーションのランダム サンプルが表示されます。
「新しいアプリケーション」をクリックします。
「独自のアプリケーションの作成」をクリックします。
名前を入力してください。
「アプリケーションでどのような操作を行いたいですか?」で「ギャラリーに見つからないその他のアプリケーションを統合します」を選択します。
Microsoft Entra ID アプリケーションを構成します。
[ プロパティ] をクリックします。
「割り当てが必要」を「いいえ」に設定します。Databricks では、すべてのユーザーが Databricks アカウントにサインインできるこのオプションを推奨しています。 SSO を使用して Databricks アカウントにログインするには、ユーザーはこの SAML アプリケーションにアクセスできる必要があります。
アプリケーションのプロパティ ウィンドウで、[ シングル サインオンの設定] をクリックします。
「 SAML 」をクリックして、アプリケーションを SAML 認証用に設定します。 [SAML プロパティ] ウィンドウが表示されます。
「基本的なSAML構成」の横にある「編集」をクリックします。
エンティティ ID を、 Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。
応答 URL を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。
「SAML署名証明書」の横にある「編集」をクリックします。
「署名オプション」ドロップダウンリストで、「SAML応答とアサーションに署名」を選択します。
[ Attributes & Claims] で [Edit] をクリックします。
[ 一意のユーザー識別子(名前 ID)] フィールドを
user.mail
に設定します。[SAML 証明書]の下にある[証明書 (Base64)]の横にある[ダウンロード]をクリックします。 証明書は、拡張子が
.cer
のファイルとしてローカルにダウンロードされます。テキストエディタで
.cer
ファイルを開き、ファイルの内容をコピーします。 このファイルは、Microsoft Entra ID SAML アプリケーションの x.509 証明書全体です。重要
macOSのキーチェーンを使用してファイルを開かないでください。macOSでは、このファイルタイプのデフォルトアプリケーションがmacOSのキーチェーンになっています。
証明書は機密データです。ダウンロードする場所には注意してください。できるだけ早くローカルストレージから削除するようにしてください。
Azure ポータルの[Microsoft Entra ID SAML ツールキットのセットアップ]で、ログイン URLとMicrosoft Entra ID 識別子をコピーして保存します。
DatabricksアカウントコンソールのSSOページでDatabricksを設定します。
「ログイン URL」と呼ばれるMicrosoft Entra ID フィールドにシングル サインオン URLを設定します。
Identity Provider Entity ID を、 Microsoft Entra ID Identifierと呼ばれる Microsoft Entra ID フィールドに設定します。
[x.509 証明書] を Microsoft Entra ID x.509 証明書 (証明書の開始と終了のマーカーを含む) に設定します。
[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
統合ログインの設定
統合ログインを使用すると、DatabricksワークスペースでアカウントコンソールのSSO設定を使用できます。アカウントが2023年6月21日以降に作成された場合は、新規および既存のすべてのワークスペースに対して、アカウントでの統合ログインがデフォルトで有効になり、無効にすることができません。統合ログインを設定するには、「統合ログインを有効にする」を参照してください。
アカウントのユーザー名に使用する要求をカスタマイズする
デフォルトでは、 Databricks 内のユーザー名はユーザーのEメールアドレスとして表されます。 別の値を使用してユーザー名を割り当てる場合は、Microsoft Entra アカウントで新しい要求を構成できます。
Microsoft Entra アカウントで、アプリケーションの [概要 ] ページを開きます。
「管理」をクリックし、「マニフェスト」をクリックします。
acceptMappedClaims
キーを見つけて、値をtrue
に変更します。「 保存 」をクリックし、アプリケーション の概要 ページに戻ります。
「 管理 」をクリックし、「 認証」をクリックします。
「属性とクレーム」で、「編集」をクリックします。
[ 新しい要求を追加 ] をクリックし、要求 の [名前 ] を入力します。 これは、Databricks SSO 構成の [ユーザー名要求 ] フィールドに入力する名前です。
[ ソース属性] で、要求に必要な Entra ID 属性を選択します。
[保存]をクリックします。