メインコンテンツまでスキップ

Oktaを使用したDatabricksへのSSO

この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Okta を構成する方法について説明します。 Oktaは、OpenID Connect(OIDC)とSAML 2.0の両方をサポートしています。 Oktaからユーザーとグループを同期するには、「 SCIMを使用してIDプロバイダーからユーザーとグループを同期する」を参照してください。

次のデモでは、OktaでSSOを構成する手順を説明します。

警告

シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

OIDCを使用してOktaシングルサインオンを有効にする

  1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。

  2. 「認証 」タブをクリックします。

  3. 「認証」 の横にある 「管理 」をクリックします。

  4. [ ID プロバイダーによるシングル サインオン ] を選択します。

  5. 続行 」をクリックします。

  6. [ID プロトコル ] で [ OpenID Connect ] を選択します。

  7. [ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。

  8. 新しいブラウザタブで、管理者としてOktaにログインします。

  9. ホームページで、「 アプリケーション 」>「 アプリケーション 」をクリックします。

  10. アプリ統合を作成 」をクリックします。

  11. OIDC-OpenID Connect 」と「 Webアプリケーション 」を選択し、「 次へ 」をクリックします。

  12. [新しい Web アプリの統合 ] の [ サインイン リダイレクト URI] に、手順 4 の Databricks リダイレクト URL を入力します。他の設定を構成することも、デフォルト値のままにしておくこともできます。

  13. 保存 」をクリックします。

  14. 全般 」タブで、Oktaがアプリケーション用に生成したクライアントIDとクライアントシークレットをコピーします。

    • クライアントID は、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。
    • クライアントシークレット は、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを認証するために使用されます。

  15. サインオン 」タブの「 OpenID Connect IDトークン 」の「発行者」フィールドにOkta URLをコピーします。

    発行者フィールドに「 動的 」と表示されている場合は、「 編集 」をクリックし、ドロップダウンで「 Okta URL (url) 」を選択します。

    このURLは、OktaのOpenID構成ドキュメントを見つけることができるURLです。 その OpenID 設定ドキュメントは {issuer-url}/.well-known/openid-configurationにある必要があります。

    URL から末尾の /.well-known/openid-configuration を削除します。 クエリ パラメーターを指定するには、発行者 URL に追加します (例: {issuer-url}?appid=123)。

  16. 「割り当て 」タブをクリックします。Databricks では、 Everyone という名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

  17. Databricks アカウント コンソールの [認証 ] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID ]、[ クライアント シークレット ]、 および [発行者 URL] フィールドに入力します。

  18. 必要に応じて、email 以外の要求をユーザーの Databricks ユーザー名として使用する場合は、 [ユーザー名] 要求 を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。

    すべての値が入力されたときの [シングルサインオン] タブ

  19. [ 保存 ]をクリックします。

  20. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。

  21. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

  22. SSOを使用したアカウントコンソールログインをテストします。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。

  1. 統合ログインの設定

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。

SAMLを使用したOktaシングルサインオンの有効化

以下の手順に従って、Databricksアカウントコンソールで使用するOkta SAMLアプリケーションを作成してください。

  1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。

  2. 「認証 」タブをクリックします。

  3. 「認証」 の横にある 「管理 」をクリックします。

  4. [ ID プロバイダーによるシングル サインオン ] を選択します。

  5. 続行 」をクリックします。

  6. [ID プロトコル ] で [SAML 2.0 ] を選択します。

  7. [ 認証 ] タブで、 Databricks リダイレクト URL をメモします。

    SAML SSO を設定します。

  8. 新しいブラウザタブで、管理者としてOktaにログインします。

  9. [アプリケーション ] に移動し、[ アプリ カタログの参照] をクリックします。

  10. [Browse App Integration Catalog ] で Databricks を検索します。

  11. [ 統合を追加 ] をクリックします。

  12. 「サインオン 」タブを選択し、「 編集 」をクリックします。

  13. [ サインオンの詳細設定 ] で、次の設定を使用してアプリケーションを構成します。

    • Databricks SAML URL : 上記でコピーした Databricks リダイレクト URL。
    • アプリケーションユーザー名の形式 : Eメール

  14. 「保存」 をクリックします。Databricks SAMLアプリが表示されます。

  15. SAML 2.0はセットアップ手順を完了するまで構成されません 」で「 セットアップ手順を表示 」をクリックします。

  16. 以下の値をコピーします。

    • IDプロバイダーのシングルサインオンURL
    • IDプロバイダーの発行者
    • x.509証明書

  17. 「割り当て 」タブをクリックします。Databricks では、 Everyone という名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

  18. DatabricksアカウントコンソールのSSOページでDatabricksを設定します。

    1. SSOタイプドロップダウンを SAML 2.0 に設定します。
    2. [シングルサインオン URL ] を [ ログイン URL ] という Okta フィールドに設定します。
    3. IDプロバイダーのエンティティID を「 IDプロバイダー発行者 」というOktaフィールドに設定します。
    4. x.509証明書 を、証明書の開始と終了のマーカーを含めて、Okta x.509証明書に設定します。
    5. [ 保存 ]をクリックします。
    6. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
    7. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
    8. SSOを使用したアカウントコンソールログインをテストします。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。

  1. 統合ログインの設定

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。

最終更新