OIDC を使用した SSO の構成

この記事では、OIDC を使用してアカウント コンソールと Databricks ワークスペースに認証するためのシングル サインオン (SSO) の一般的な構成方法について説明します。 次の ID プロバイダーに対して OIDC を使用して SSO を構成する方法に関する具体的な手順も参照してください。

次のデモでは、Okta を使用した OIDC SSO の構成手順を説明します。

アカウントでのシングル サインオンの概要については、 「Databricks での SSO の構成」を参照してください。

OIDC を使用した SSO の有効化

警告

シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

  1. アカウント管理者としてアカウント コンソールにログインし、サイドバーの設定アイコンをクリックします。

  2. 「認証」タブをクリックします。

  3. [認証] の横にある [管理] をクリックします。

  4. [ ID プロバイダーでシングルサインオン] を選択します。

  5. 続行」をクリックします。

  6. [ID プロトコル] で、 [OpenID Connect] を選択します。

  7. Databricks リダイレクト URIフィールドの値をコピーします。

  8. IDプロバイダーに移動し、新しいクライアントアプリケーション(Web)を作成して、IDプロバイダー構成インターフェイスの適切なフィールドにDatabricksリダイレクトURIの値を入力します。

    IDプロバイダーがこのプロセスを説明するドキュメントを用意しているはずです。

  9. IDプロバイダーがアプリケーション用に生成したクライアントID、クライアントシークレット、OpenID発行者URLをコピーします。

    • クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。これは、アプリケーションIDと呼ばれることもあります。

    • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

    • OpenID発行者URLは、IDプロバイダーのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、{issuer-url}/.well-known/openid-configurationにある必要があります。

  10. Databricks アカウント コンソールの [認証 ] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID]、[ クライアント シークレット]、 および [OpenID 発行者 URL ] フィールドに入力します。

  11. 必要に応じて、email 以外の要求をユーザーの Databricks ユーザー名として使用する場合は、 [ユーザー名] 要求を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。

    シングルサインオンタブ
  12. [保存]をクリックします。

  13. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

  14. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

  15. SSOを使用したアカウントコンソールログインをテストします。

  16. すべてのアカウント ユーザーに、ID プロバイダー内の Databricks アプリケーションへのアクセス権を付与します。 アプリケーションのアクセス許可の変更が必要な場合があります。

統合ログインの構成

アカウント コンソールで SSO を有効にしたら、Databricks では統合ログインを有効にすることをお勧めします。 統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してアカウントでデフォルトで有効になっており、無効にすることはできません。 統合ログインを構成するには、「 統合ログインを有効にする」を参照してください。