Databricks で SSO を構成する

この記事では、組織の ID プロバイダーを使用してアカウント コンソールと Databricks ワークスペースに対して認証するようにシングル サインオン (SSO) を構成する方法について説明します。 ID プロバイダーからユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。 DatabricksユーザーがEメールまたはGoogleや などの一般的な外部アカウントでMicrosoft にログインできるようにするには、Eメールまたは外部アカウントでサインイン するを参照してください。

SSO設定の概要

SSO は、SAML 2.0 または OpenID Connect (OIDC) の使用をサポートします。 ID プロバイダー (IdP) は、これらのプロトコルの少なくとも 1 つをサポートしている必要があります。

アカウントコンソールでSSOを有効にすると、 統合ログイン を有効にできます。 統合ログインを使用すると、アカウントと Databricks ワークスペースに使用されるアカウント内の 1 つの SSO 構成を管理できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、新規および既存のすべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 Databricks では、すべてのワークスペースで統合ログインを有効にすることをお勧めします。 詳細については、「 統合ログインを有効にする」を参照してください。

統合ログインが無効になっているワークスペースでは、ワークスペースレベルの SSO を個別に構成できます。 これは従来の構成です。 詳細については、「 ワークスペースの SSO を設定する (レガシ)」を参照してください。

アカウント レベルの SSO が有効になっている場合、ユーザー (管理者を含む) は、シングル サインオンを使用して Databricks アカウントと統合ログインが有効なワークスペースにサインインする必要があります。 ロックアウトを防ぐために、アカウント管理者は最大 20 人のユーザーの緊急アクセスを設定できます。 緊急アクセス用に選択されたユーザーは、ユーザー名とパスワード、およびセキュリティキーを使用してログインできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

SSO を有効にした後、ユーザーがログインできるように Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。

OIDC または SAML を使用して SSO を設定する方法に関する一般的な手順、またはさまざまな ID プロバイダーの特定の手順を読むことができます。

• OIDC を使用した SSO の構成
• SAMLを使用したSSOの構成
• Microsoft Entra ID を使用した Databricks への SSO
• Oktaを使用したDatabricksへのSSO
• OneLoginを使用したDatabricksへのSSO
• AWS IAM Identity Center を使用した Databricks への SSO
• Keycloakを使用したDatabricksへのSSO
• JumpCloudを使用したDatabricksへのSSO

次のデモでは、OktaでSSOを構成する手順を説明します。

• OIDC SSO で Databricks アクセスを保護
• SAML SSO で Databricks のアクセスを保護

統合ログインを有効にする

統合ログインを使用すると、アカウントと Databricks ワークスペースに使用されるアカウント内の 1 つの SSO 構成を管理できます。 アカウントでSSOが有効になっている場合は、すべてのワークスペースまたは選択したワークスペースで統合ログインを有効にすることを選択できます。 Unified login ワークスペースはアカウント レベルのSSO 設定を使用し、アカウント管理者とワークスペース管理者を含むすべてのユーザーは、Databricks を使用してSSO にサインインする必要があります。統合ログインが有効なワークスペースでは、ワークスペースレベルでSSOを個別に管理することはできません。 Databricks では、すべてのワークスペースに対して統合ログインを構成することをお勧めします。

アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、新規および既存のすべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。

統合ログインは、アカウントコンソールまたはワークスペースの管理者設定ページを使用して有効にできます。

統合ログインの設定のデモについては、 統合ログインを参照してください。

アカウントコンソールを使用した統合ログインの有効化

統合ログインを有効にするには、アカウントでSSOを有効にする必要があります。 ユーザーとワークスペース間のプライベート接続を使用してワークスペースでの統合ログインを有効にするには、追加の設定を構成する必要があります。 「ステップ 6: (オプション) 統合ログインを使用してフロントエンド PrivateLink を構成する」を参照してください。Databricks では、すべてのワークスペースで統合ログインを有効にすることをお勧めします。

1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。

2. 「認証 」タブをクリックします。

3. 統合ログイン では、 選択したワークスペースが デフォルトで有効になっています。次のオプションを使用して、統合ログイン設定を構成します。

   • 特定のワークスペースで統合ログインを有効にするには、ワークスペースの一覧でワークスペースを選択します。
     • 新しいワークスペースに統合ログイン設定を適用するには、新しく 作成したワークスペースにも設定を適用する を選択します。
     • 新規および既存のすべてのワークスペースで統合ログインを有効にするには、[ すべてのワークスペース (推奨)] を選択します。

   

ワークスペース管理設定ページを使用して統合ログインを有効にする

アカウント管理者が選択したワークスペースで統合ログインが有効になっている場合、ワークスペース管理者は自分のワークスペースで統合ログインを有効にできます。 すべてのワークスペースで統合ログインが有効になっている場合、シングルサインオン設定はワークスペースレベルでは使用できません。

ワークスペースでの統合ログインを有効にして、ユーザーからワークスペースへのプライベート接続を設定するには、追加の手順を構成する必要があります。 「ステップ 6: (オプション) 統合ログインを使用してフロントエンド PrivateLink を構成する」を参照してください。

1. ワークスペース管理者として、Databrickワークスペースにログインします。
2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [SSO 設定 ] の横にある [管理] をクリックします。
5. [Unified login ] の横にある [Enable] をクリックします。

統合ログインへのアップグレード

ワークスペースレベルの SSO が設定された既存のワークスペースで統合ログインを有効にする場合は、次の手順を実行します。

1. アカウントでシングルサインオンを設定します。

2. ワークスペース内のユーザーが、ID プロバイダーのアカウント レベルの SSO アプリケーションにアクセスできることを確認します。

   アカウント レベルの SSO アプリケーションへのアクセス権をユーザーに付与しても、Databricks での追加アクセスは付与されません。 すべての Databricks ワークスペース ユーザーは、自動的に Databricks アカウントのユーザーになります。 「Databricks にユーザーを割り当てる」を参照してください。

3. 「 統合ログインを有効にする」に続いて、ワークスペースで統合ログインを構成します。

4. ワークスペース ユーザーにサインインして、ワークスペースで SSO をテストします。

5. ID プロバイダーのワークスペース レベルの SSO アプリケーションを使用停止にします。