Okta を使用した Databricks への SSO
この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Okta を構成する方法を説明します。 Okta は OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 Okta からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。
次のデモでは、Okta を使用した SSO の構成について説明します。
警告
シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。
OIDCを使用してOktaシングルサインオンを有効にする
アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。
「認証」タブをクリックします。
[認証] の横にある [管理] をクリックします。
[ ID プロバイダーでシングルサインオン] を選択します。
「続行」をクリックします。
[ID プロトコル] で、 [OpenID Connect] を選択します。
[ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。
新しいブラウザタブで、管理者としてOktaにログインします。
ホームページで、「アプリケーション」>「アプリケーション」をクリックします。
「アプリ統合を作成」をクリックします。
「OIDC-OpenID Connect」と「Webアプリケーション」を選択し、「次へ」をクリックします。
[新しい Web アプリの統合] の [サインイン リダイレクト URI] に、ステップ 4 の Databricks リダイレクト URL を入力します。他の設定を構成することも、デフォルト値のままにしておくこともできます。
「保存」をクリックします。
「全般」タブで、Oktaがアプリケーション用に生成したクライアントIDとクライアントシークレットをコピーします。
クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。
クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。
「サインオン」タブの「OpenID Connect IDトークン」の「発行者」フィールドにOkta URLをコピーします。
発行者フィールドに「動的」と表示されている場合は、「編集」をクリックし、ドロップダウンで「Okta URL (url)」を選択します。
このURLは、OktaのOpenID構成ドキュメントを見つけることができるURLです。 その OpenID 設定ドキュメントは
{issuer-url}/.well-known/openid-configuration
にある必要があります。URL から末尾の
/.well-known/openid-configuration
を削除します。 クエリ パラメーターを指定するには、発行者 URL に追加します (例:{issuer-url}?appid=123
)。[割り当て]タブをクリックします。 Databricks では、 Everyoneという名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。
Databricks アカウント コンソールの [認証 ] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID]、[ クライアント シークレット]、 および [発行者 URL] フィールドに入力します。
必要に応じて、
email
以外の要求をユーザーの Databricks ユーザー名として使用する場合は、 [ユーザー名] 要求を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
統合ログインの設定
統合ログインを使用すると、DatabricksワークスペースでアカウントコンソールのSSO設定を使用できます。アカウントが2023年6月21日以降に作成された場合は、新規および既存のすべてのワークスペースに対して、アカウントでの統合ログインがデフォルトで有効になり、無効にすることができません。統合ログインを設定するには、「統合ログインを有効にする」を参照してください。
SAMLを使用したOktaシングルサインオンの有効化
以下の手順に従って、Databricksアカウントコンソールで使用するOkta SAMLアプリケーションを作成してください。
アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。
「認証」タブをクリックします。
[認証] の横にある [管理] をクリックします。
[ ID プロバイダーでシングルサインオン] を選択します。
「続行」をクリックします。
[ID プロトコル]で、 [SAML 2.0]を選択します。
[ 認証 ] タブで、 Databricks リダイレクト URL をメモします。
新しいブラウザタブで、管理者としてOktaにログインします。
[アプリケーション] に移動し、[アプリ カタログの参照] をクリックします。
[Browse App Integration Catalog] で Databricks を検索します。
[ 統合を追加] をクリックします。
「サインオン」タブを選択し、「編集」をクリックします。
[ サインオンの詳細設定] で、次の設定を使用してアプリケーションを構成します。
Databricks SAML URL: 上記でコピーした Databricks リダイレクト URL。
アプリケーションユーザー名の形式: Eメール
「保存」をクリックします。Databricks SAMLアプリが表示されます。
「SAML 2.0はセットアップ手順を完了するまで構成されません」で「セットアップ手順を表示」をクリックします。
以下の値をコピーします。
IDプロバイダーのシングルサインオンURL
IDプロバイダーの発行者
x.509証明書
[割り当て]タブをクリックします。 Databricks では、 Everyoneという名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。
DatabricksアカウントコンソールのSSOページでDatabricksを設定します。
SSOタイプドロップダウンをSAML 2.0に設定します。
シングルサインオン URLを、ログイン URLという Okta フィールドに設定します。
IDプロバイダーのエンティティIDを「IDプロバイダー発行者」というOktaフィールドに設定します。
x.509証明書を、証明書の開始と終了のマーカーを含めて、Okta x.509証明書に設定します。
[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
統合ログインの設定
統合ログインを使用すると、DatabricksワークスペースでアカウントコンソールのSSO設定を使用できます。アカウントが2023年6月21日以降に作成された場合は、新規および既存のすべてのワークスペースに対して、アカウントでの統合ログインがデフォルトで有効になり、無効にすることができません。統合ログインを設定するには、「統合ログインを有効にする」を参照してください。