OIDC を使用した SSO の構成

この記事では、OIDC を使用してアカウントコンソールと Databricks ワークスペースに認証するためのシングルサインオン (SSO) の一般的な構成方法について説明します。次の ID プロバイダーに対して OIDC を使用して SSO を構成する方法に関する具体的な手順も参照してください。

次のデモでは、Okta を使用した OIDC SSO の構成手順を説明します。

OIDC SSO で Databricks へのアクセスを保護する

アカウントでのシングルサインオンの概要については、「Databricks での SSO の構成」を参照してください。

OIDC を使用した SSO の有効化

警告

シングルサインオンテスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウントコンソールを別のブラウザーウィンドウで開いたままにしておくことをお勧めします。また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。ロックアウトを防ぐための緊急アクセスを参照してください。

アカウント管理者としてアカウントコンソールにログインし、サイドバーの設定アイコンをクリックします。
「認証」タブをクリックします。
[認証] の横にある [管理] をクリックします。
[ ID プロバイダーでシングルサインオン] を選択します。
「続行」をクリックします。
[ID プロトコル] で、 [OpenID Connect] を選択します。
Databricks リダイレクト URIフィールドの値をコピーします。
IDプロバイダーに移動し、新しいクライアントアプリケーション（Web）を作成して、IDプロバイダー構成インターフェイスの適切なフィールドにDatabricksリダイレクトURIの値を入力します。

IDプロバイダーがこのプロセスを説明するドキュメントを用意しているはずです。
IDプロバイダーがアプリケーション用に生成したクライアントID、クライアントシークレット、OpenID発行者URLをコピーします。
- クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。これは、アプリケーションIDと呼ばれることもあります。
- クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。
- OpenID発行者URLは、IDプロバイダーのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、{issuer-url}/.well-known/openid-configurationにある必要があります。
Databricks アカウントコンソールの [認証 ] タブに戻り、ID プロバイダーアプリケーションからコピーした値を [クライアント ID]、[ クライアントシークレット]、 および [OpenID 発行者 URL ] フィールドに入力します。
必要に応じて、email 以外の要求をユーザーの Databricks ユーザー名として使用する場合は、 [ユーザー名] 要求を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。
[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
すべてのアカウントユーザーに、ID プロバイダー内の Databricks アプリケーションへのアクセス権を付与します。アプリケーションのアクセス許可の変更が必要な場合があります。

統合ログインの構成

アカウントコンソールで SSO を有効にしたら、Databricks では統合ログインを有効にすることをお勧めします。統合ログインを使用すると、Databricks ワークスペースでアカウントコンソールの SSO 構成を使用できます。アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してアカウントでデフォルトで有効になっており、無効にすることはできません。統合ログインを構成するには、「統合ログインを有効にする」を参照してください。