Microsoft Entra ID を使用した Databricks への SSO

この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Microsoft Entra ID を構成する方法を説明します。 Microsoft Entra ID は、OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 Microsoft Entra ID からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。

警告

シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

OIDC を使用して Microsoft Entra ID SSO を有効にする

  1. アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。

  2. 「認証」タブをクリックします。

  3. [認証] の横にある [管理] をクリックします。

  4. [ ID プロバイダーでシングルサインオン] を選択します。

  5. 続行」をクリックします。

  6. [ID プロトコル] で、 [OpenID Connect] を選択します。

  7. [ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。

  8. 別のブラウザ タブで、Microsoft Entra ID アプリケーションを作成します。

    1. Azure portal に管理者としてログインします。

    2. Azure サービスペインでMicrosoft Entra IDをクリックし、左側のペインでアプリの登録 をクリックします。

    3. 新規登録」をクリックします。

    4. 名前を入力してください。

    5. サポートされているアカウントタイプ 」で、「この組織ディレクトリにあるアカウントのみ」を選択します。

    6. [リダイレクト URI][web] を選択し、[Databricks リダイレクト URL] の値を貼り付けます。

    7. 登録」をクリックします。

  9. Microsoft Entra ID アプリケーションから必要な情報を収集します。

    1. Essentials」で、「アプリケーション(クライアント)ID」をコピーします。

    2. エンドポイント」をクリックします。

    3. OpenID Connectメタデータドキュメント」のURLをコピーします。

    4. 左側のペインで、「証明書とシークレット」をクリックします。

    5. + 新しいクライアントのシークレット」をクリックします。

    6. 説明を入力し、有効期限を選択します。

    7. [追加] をクリックします。

    8. シークレットのをコピーします。

  10. Databricks アカウント コンソールの [認証 ] ページに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID]、[ クライアント シークレット]、および [OpenID 発行者 URL ] フィールドに入力します。 URL から末尾の /.well-known/openid-configuration を削除します。

    クエリ パラメーターを指定するには、発行者 URL に追加します (例: {issuer-url}?appid=123)。

  11. 必要に応じて、ユーザーの Databricks ユーザー名として email 以外の要求を使用する場合は、Username 要求に要求の名前を入力します。詳細については、「 アカウントのユーザー名に使用する要求をカスタマイズする」を参照してください。

    すべての値が入力されたときの「シングルサインオン」タブ
  12. [保存]をクリックします。

  13. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

  14. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

  15. SSOを使用したアカウントコンソールログインをテストします。

  16. 統合ログインの設定

    統合ログインを使用すると、DatabricksワークスペースでアカウントコンソールのSSO設定を使用できます。アカウントが2023年6月21日以降に作成された場合は、新規および既存のすべてのワークスペースに対して、アカウントでの統合ログインがデフォルトで有効になり、無効にすることができません。統合ログインを設定するには、「統合ログインを有効にする」を参照してください。

SAML を使用して Microsoft Entra ID SSO を有効にする

以下の手順に従って、Databricksアカウントコンソールで使用するギャラリー以外のAzure ポータルSAMLアプリケーションを作成します。

  1. アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。

  2. 「認証」タブをクリックします。

  3. [認証] の横にある [管理] をクリックします。

  4. [ ID プロバイダーでシングルサインオン] を選択します。

  5. 続行」をクリックします。

  6. [ID プロトコル]で、 [SAML 2.0]を選択します。

  7. [ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。

    SAML SSO を設定します。
  8. 別のブラウザ タブで、Microsoft Entra ID アプリケーションを作成します。

    1. Azureポータルに管理者としてログインします。

    2. Azure サービスペインで、 Microsoft Entra IDをクリックし、左側のペインで、エンタープライズ アプリケーションをクリックします。 [すべてのアプリケーション]ウィンドウが開き、Microsoft Entra ID テナント内のアプリケーションのランダム サンプルが表示されます。

    3. 新しいアプリケーション」をクリックします。

    4. 独自のアプリケーションの作成」をクリックします。

    5. 名前を入力してください。

    6. アプリケーションでどのような操作を行いたいですか?」で「ギャラリーに見つからないその他のアプリケーションを統合します」を選択します。

  9. Microsoft Entra ID アプリケーションを構成します。

    1. [ プロパティ] をクリックします。

    2. 「割り当てが必要」「いいえ」に設定します。Databricks では、すべてのユーザーが Databricks アカウントにサインインできるこのオプションを推奨しています。 SSO を使用して Databricks アカウントにログインするには、ユーザーはこの SAML アプリケーションにアクセスできる必要があります。

    3. アプリケーションのプロパティ ウィンドウで、[ シングル サインオンの設定] をクリックします。

    4. SAML 」をクリックして、アプリケーションを SAML 認証用に設定します。 [SAML プロパティ] ウィンドウが表示されます。

    5. 基本的なSAML構成」の横にある「編集」をクリックします。

    6. エンティティ ID を、 Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。

    7. 応答 URL を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。

    8. SAML署名証明書」の横にある「編集」をクリックします。

    9. 署名オプション」ドロップダウンリストで、「SAML応答とアサーションに署名」を選択します。

    10. [ Attributes & Claims] で [Edit] をクリックします。

    11. [ 一意のユーザー識別子(名前 ID)] フィールドを user.mailに設定します。

    12. [SAML 証明書]の下にある[証明書 (Base64)]の横にある[ダウンロード]をクリックします。 証明書は、拡張子が .cer のファイルとしてローカルにダウンロードされます。

    13. テキストエディタで .cer ファイルを開き、ファイルの内容をコピーします。 このファイルは、Microsoft Entra ID SAML アプリケーションの x.509 証明書全体です。

      重要

      • macOSのキーチェーンを使用してファイルを開かないでください。macOSでは、このファイルタイプのデフォルトアプリケーションがmacOSのキーチェーンになっています。

      • 証明書は機密データです。ダウンロードする場所には注意してください。できるだけ早くローカルストレージから削除するようにしてください。

    14. Azure ポータルの[Microsoft Entra ID SAML ツールキットのセットアップ]で、ログイン URLMicrosoft Entra ID 識別子をコピーして保存します。

  10. DatabricksアカウントコンソールのSSOページでDatabricksを設定します。

    1. 「ログイン URL」と呼ばれるMicrosoft Entra ID フィールドにシングル サインオン URLを設定します。

    2. Identity Provider Entity ID を、 Microsoft Entra ID Identifierと呼ばれる Microsoft Entra ID フィールドに設定します。

    3. [x.509 証明書] を Microsoft Entra ID x.509 証明書 (証明書の開始と終了のマーカーを含む) に設定します。

    4. [保存]をクリックします。

    5. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

    6. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

    7. SSOを使用したアカウントコンソールログインをテストします。

  11. 統合ログインの設定

    統合ログインを使用すると、DatabricksワークスペースでアカウントコンソールのSSO設定を使用できます。アカウントが2023年6月21日以降に作成された場合は、新規および既存のすべてのワークスペースに対して、アカウントでの統合ログインがデフォルトで有効になり、無効にすることができません。統合ログインを設定するには、「統合ログインを有効にする」を参照してください。

アカウントのユーザー名に使用する要求をカスタマイズする

デフォルトでは、 Databricks 内のユーザー名はユーザーのEメールアドレスとして表されます。 別の値を使用してユーザー名を割り当てる場合は、Microsoft Entra アカウントで新しい要求を構成できます。

  1. Microsoft Entra アカウントで、アプリケーションの [概要 ] ページを開きます。

  2. 「管理」をクリックし、「マニフェスト」をクリックします。

  3. acceptMappedClaimsキーを見つけて、値を trueに変更します。

  4. 保存 」をクリックし、アプリケーション の概要 ページに戻ります。

  5. 管理 」をクリックし、「 認証」をクリックします

  6. 「属性とクレーム」で、「編集」をクリックします。

  7. [ 新しい要求を追加 ] をクリックし、要求 の [名前 ] を入力します。 これは、Databricks SSO 構成の [ユーザー名要求 ] フィールドに入力する名前です。

  8. [ ソース属性] で、要求に必要な Entra ID 属性を選択します。

  9. [保存]をクリックします。