OIDC を使用した SSO の構成

この記事では、OIDC を使用してアカウント コンソールと Databricks ワークスペースに認証するためのシングル サインオン (SSO) の一般的な構成方法について説明します。 次の ID プロバイダーに対して OIDC を使用して SSO を構成する方法に関する具体的な手順も参照してください。

• Microsoft Entra ID (旧 Azure Active Directory)

• Okta(オクタ)

• 1回のログイン

次のデモでは、Okta を使用した OIDC SSO の構成手順を説明します。

• OIDC SSO で Databricks へのアクセスを保護する

アカウントでのシングル サインオンの概要については、 「Databricks での SSO の構成」を参照してください。

OIDC を使用した SSO の有効化

警告

シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

1. アカウント管理者としてアカウント コンソールにログインし、サイドバーの設定アイコンをクリックします。

2. 「認証」タブをクリックします。

3. [認証] の横にある [管理] をクリックします。

4. [ ID プロバイダーでシングルサインオン] を選択します。

5. 「続行」をクリックします。

6. [ID プロトコル] で、 [OpenID Connect] を選択します。

7. [Databricks リダイレクト URL] フィールドの値をコピーします。

   

8. ID プロバイダーに移動し、新しいクライアント アプリケーション (Web) を作成し、ID プロバイダー構成インターフェイスの適切なフィールドに Databricks リダイレクト URL の値を入力します。

   IDプロバイダーがこのプロセスを説明するドキュメントを用意しているはずです。

9. IDプロバイダーがアプリケーション用に生成したクライアントID、クライアントシークレット、OpenID発行者URLをコピーします。

   • クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。これは、アプリケーションIDと呼ばれることもあります。

   • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

   • 発行者 URL は、ID プロバイダーの OpenID 設定ドキュメントを見つけることができる URL のプレフィックスです。 その OpenID 設定ドキュメントは {issuer-url}/.well-known/openid-configurationにある必要があります。

     URL から末尾の /.well-known/openid-configuration を削除します。 クエリ パラメーターを指定するには、発行者 URL に追加します (例: {issuer-url}?appid=123)。

10. Databricks アカウント コンソールの [認証 ] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID]、[ クライアント シークレット]、 および [OpenID 発行者 URL ] フィールドに入力します。

11. 必要に応じて、email 以外の要求をユーザーの Databricks ユーザー名として使用する場合は、 [ユーザー名] 要求を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。

    

12. [保存]をクリックします。

13. 「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

14. 「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

15. SSOを使用したアカウントコンソールログインをテストします。

16. すべてのアカウント ユーザーに、ID プロバイダー内の Databricks アプリケーションへのアクセス権を付与します。 アプリケーションのアクセス許可の変更が必要な場合があります。

統合ログインの構成

アカウント コンソールで SSO を有効にしたら、Databricks では統合ログインを有効にすることをお勧めします。 統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してアカウントでデフォルトで有効になっており、無効にすることはできません。 統合ログインを構成するには、「 統合ログインを有効にする」を参照してください。