OIDC を使用した SSO の構成

この記事では、OIDC を使用してアカウント コンソールと Databricks ワークスペースに認証するためのシングル サインオン (SSO) の一般的な構成方法について説明します。 次の ID プロバイダーに対して OIDC を使用して SSO を構成する方法に関する具体的な手順も参照してください。

次のデモでは、Okta を使用した OIDC SSO の構成手順を説明します。

アカウントでのシングル サインオンの概要については、 「Databricks での SSO の構成」を参照してください。

OIDC を使用した SSO の有効化

警告

シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

  1. アカウント管理者としてアカウント コンソールにログインし、サイドバーの設定アイコンをクリックします。

  2. 「認証」タブをクリックします。

  3. [認証] の横にある [管理] をクリックします。

  4. [ ID プロバイダーでシングルサインオン] を選択します。

  5. 続行」をクリックします。

  6. [ID プロトコル] で、 [OpenID Connect] を選択します。

  7. [Databricks リダイレクト URL] フィールドの値をコピーします。

    OIDC SSO を設定します。
  8. ID プロバイダーに移動し、新しいクライアント アプリケーション (Web) を作成し、ID プロバイダー構成インターフェイスの適切なフィールドに Databricks リダイレクト URL の値を入力します。

    IDプロバイダーがこのプロセスを説明するドキュメントを用意しているはずです。

  9. IDプロバイダーがアプリケーション用に生成したクライアントID、クライアントシークレット、OpenID発行者URLをコピーします。

    • クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。これは、アプリケーションIDと呼ばれることもあります。

    • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

    • 発行者 URL は、ID プロバイダーの OpenID 設定ドキュメントを見つけることができる URL のプレフィックスです。 その OpenID 設定ドキュメントは {issuer-url}/.well-known/openid-configurationにある必要があります。

      URL から末尾の /.well-known/openid-configuration を削除します。 クエリ パラメーターを指定するには、発行者 URL に追加します (例: {issuer-url}?appid=123)。

  10. Databricks アカウント コンソールの [認証 ] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID]、[ クライアント シークレット]、 および [OpenID 発行者 URL ] フィールドに入力します。

  11. 必要に応じて、email 以外の要求をユーザーの Databricks ユーザー名として使用する場合は、 [ユーザー名] 要求を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。

    シングルサインオンタブ
  12. [保存]をクリックします。

  13. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

  14. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

  15. SSOを使用したアカウントコンソールログインをテストします。

  16. すべてのアカウント ユーザーに、ID プロバイダー内の Databricks アプリケーションへのアクセス権を付与します。 アプリケーションのアクセス許可の変更が必要な場合があります。

統合ログインの構成

アカウント コンソールで SSO を有効にしたら、Databricks では統合ログインを有効にすることをお勧めします。 統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してアカウントでデフォルトで有効になっており、無効にすることはできません。 統合ログインを構成するには、「 統合ログインを有効にする」を参照してください。