OIDC を使用してアカウント SSO を構成する

この記事では、OIDC を使用してアカウント コンソールと Databricks ワークスペースに認証するためのシングル サインオン (SSO) の一般的な構成方法について説明します。 次の ID プロバイダーに対して OIDC を使用して SSO を構成する方法に関する具体的な手順も参照してください。

• Microsoft Entra ID (旧 Azure Active Directory)

• Okta(オクタ)

• 1回のログイン

次のデモでは、Okta を使用した OIDC SSO の構成手順を説明します。

• OIDC SSO で Databricks へのアクセスを保護する

アカウントでのシングル サインオンの概要については、 「Databricks での SSO の構成」を参照してください。

OIDCを使用したアカウントのシングルサインオン認証を有効にする

警告

シングル サインオンのテスト中にDatabricksからロックアウトされないようにするには、アカウントDatabricksを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。 SSO の緊急アクセスを参照してください。

1. アカウント管理者としてアカウント コンソールにログインし、サイドバーの設定アイコンをクリックします。

2. 「シングルサインオン」タブをクリックします。

3. [認証] の横にある [管理] をクリックします。

4. [ ID プロバイダーでシングルサインオン] を選択します。

5. 「続行」をクリックします。

6. [ID プロトコル] で、 [OpenID Connect] を選択します。

7. Databricks リダイレクト URIフィールドの値をコピーします。

8. IDプロバイダーに移動し、新しいクライアントアプリケーション（Web）を作成して、IDプロバイダー構成インターフェイスの適切なフィールドにDatabricksリダイレクトURIの値を入力します。

   IDプロバイダーがこのプロセスを説明するドキュメントを用意しているはずです。

9. IDプロバイダーがアプリケーション用に生成したクライアントID、クライアントシークレット、OpenID発行者URLをコピーします。

   • クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。これは、アプリケーションIDと呼ばれることもあります。

   • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

   • OpenID発行者URLは、IDプロバイダーのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、{issuer-url}/.well-known/openid-configurationにある必要があります。

10. Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。

    

11. [保存]をクリックします。

12. 「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

13. 「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

14. SSOを使用したアカウントコンソールログインをテストします。

15. すべてのアカウント ユーザーに、ID プロバイダー内の Databricks アプリケーションへのアクセス権を付与します。 アプリケーションのアクセス許可の変更が必要な場合があります。

統合ログインの構成

アカウント コンソールで SSO を有効にしたら、Databricks では統合ログインを有効にすることをお勧めします。 統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してアカウントでデフォルトで有効になっており、無効にすることはできません。 統合ログインを構成するには、「 統合ログインを有効にする」を参照してください。