Okta を使用した Databricks への SSO

この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Okta を構成する方法を説明します。 Okta は OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 Okta からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。

次のデモでは、Okta を使用した SSO の構成について説明します。

警告

シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

OIDCを使用してOktaシングルサインオンを有効にする

  1. アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。

  2. 「認証」タブをクリックします。

  3. [認証] の横にある [管理] をクリックします。

  4. [ ID プロバイダーでシングルサインオン] を選択します。

  5. 続行」をクリックします。

  6. [ID プロトコル] で、 [OpenID Connect] を選択します。

  7. [ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。

  8. 新しいブラウザタブで、管理者としてOktaにログインします。

  9. ホームページで、「アプリケーション」>「アプリケーション」をクリックします。

  10. アプリ統合を作成」をクリックします。

  11. OIDC-OpenID Connect」と「Webアプリケーション」を選択し、「次へ」をクリックします。

  12. [新しい Web アプリの統合] の [サインイン リダイレクト URI] に、ステップ 4 の Databricks リダイレクト URL を入力します。他の設定を構成することも、デフォルト値のままにしておくこともできます。

  13. 保存」をクリックします。

  14. 全般」タブで、Oktaがアプリケーション用に生成したクライアントIDとクライアントシークレットをコピーします。

    • クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。

    • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

  15. サインオン」タブの「OpenID Connect IDトークン」の「発行者」フィールドにOkta URLをコピーします。

    発行者フィールドに「動的」と表示されている場合は、「編集」をクリックし、ドロップダウンで「Okta URL (url)」を選択します。

    このURLは、OktaのOpenID構成ドキュメントを見つけることができるURLです。 その OpenID 設定ドキュメントは {issuer-url}/.well-known/openid-configurationにある必要があります。

    URL から末尾の /.well-known/openid-configuration を削除します。 クエリ パラメーターを指定するには、発行者 URL に追加します (例: {issuer-url}?appid=123)。

  16. [割り当て]タブをクリックします。 Databricks では、 Everyoneという名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

  17. Databricks アカウント コンソールの [認証 ] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID]、[ クライアント シークレット]、 および [発行者 URL] フィールドに入力します。

  18. 必要に応じて、email 以外の要求をユーザーの Databricks ユーザー名として使用する場合は、 [ユーザー名] 要求を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。

    すべての値が入力されたときの「シングルサインオン」タブ
  19. [保存]をクリックします。

  20. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

  21. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

  22. SSOを使用したアカウントコンソールログインをテストします。

  23. 統合ログインの設定

    統合ログインを使用すると、DatabricksワークスペースでアカウントコンソールのSSO設定を使用できます。アカウントが2023年6月21日以降に作成された場合は、新規および既存のすべてのワークスペースに対して、アカウントでの統合ログインがデフォルトで有効になり、無効にすることができません。統合ログインを設定するには、「統合ログインを有効にする」を参照してください。

SAMLを使用したOktaシングルサインオンの有効化

以下の手順に従って、Databricksアカウントコンソールで使用するOkta SAMLアプリケーションを作成してください。

  1. アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。

  2. 「認証」タブをクリックします。

  3. [認証] の横にある [管理] をクリックします。

  4. [ ID プロバイダーでシングルサインオン] を選択します。

  5. 続行」をクリックします。

  6. [ID プロトコル]で、 [SAML 2.0]を選択します。

  7. [ 認証 ] タブで、 Databricks リダイレクト URL をメモします。

    SAML SSO を設定します。
  8. 新しいブラウザタブで、管理者としてOktaにログインします。

  9. [アプリケーション] に移動し、[アプリ カタログの参照] をクリックします。

  10. [Browse App Integration Catalog] で Databricks を検索します。

  11. [ 統合を追加] をクリックします。

  12. 「サインオン」タブを選択し、「編集」をクリックします。

  13. [ サインオンの詳細設定] で、次の設定を使用してアプリケーションを構成します。

    • Databricks SAML URL: 上記でコピーした Databricks リダイレクト URL。

    • アプリケーションユーザー名の形式: Eメール

  14. 「保存」をクリックします。Databricks SAMLアプリが表示されます。

  15. SAML 2.0はセットアップ手順を完了するまで構成されません」で「セットアップ手順を表示」をクリックします。

  16. 以下の値をコピーします。

    • IDプロバイダーのシングルサインオンURL

    • IDプロバイダーの発行者

    • x.509証明書

  17. [割り当て]タブをクリックします。 Databricks では、 Everyoneという名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

  18. DatabricksアカウントコンソールのSSOページでDatabricksを設定します。

    1. SSOタイプドロップダウンをSAML 2.0に設定します。

    2. シングルサインオン URLを、ログイン URLという Okta フィールドに設定します。

    3. IDプロバイダーのエンティティIDを「IDプロバイダー発行者」というOktaフィールドに設定します。

    4. x.509証明書を、証明書の開始と終了のマーカーを含めて、Okta x.509証明書に設定します。

    5. [保存]をクリックします。

    6. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

    7. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

    8. SSOを使用したアカウントコンソールログインをテストします。

  19. 統合ログインの設定

    統合ログインを使用すると、DatabricksワークスペースでアカウントコンソールのSSO設定を使用できます。アカウントが2023年6月21日以降に作成された場合は、新規および既存のすべてのワークスペースに対して、アカウントでの統合ログインがデフォルトで有効になり、無効にすることができません。統合ログインを設定するには、「統合ログインを有効にする」を参照してください。