Okta を使用した Databricks への SSO

この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Okta を構成する方法を説明します。 Okta は OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 Okta からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。

警告

シングル サインオンのテスト中にDatabricksからロックアウトされないようにするには、アカウントDatabricksを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。 「 緊急アクセスの構成」を参照してください。

OIDCを使用したアカウントのシングルサインオン認証を有効にする

  1. アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。

  2. シングルサインオン」タブをクリックします。

  3. このタブの上部にあるドロップダウンから、「OpenID Connect」を選択します。

  4. シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。

  5. 新しいブラウザタブで、管理者としてOktaにログインします。

  6. ホームページで、「アプリケーション」>「アプリケーション」をクリックします。

  7. アプリ統合を作成」をクリックします。

  8. OIDC-OpenID Connect」と「Webアプリケーション」を選択し、「次へ」をクリックします。

  9. 新しいWebアプリの統合」の「サインインリダイレクトURI」で、手順4の「DatabricksリダイレクトURI」を入力します。他の設定を構成することも、デフォルト値のままにすることもできます。

  10. 保存」をクリックします。

  11. 全般」タブで、Oktaがアプリケーション用に生成したクライアントIDとクライアントシークレットをコピーします。

    • クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。

    • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

  12. サインオン」タブの「OpenID Connect IDトークン」の「発行者」フィールドにOkta URLをコピーします。

    発行者フィールドに「動的」と表示されている場合は、「編集」をクリックし、ドロップダウンで「Okta URL (url)」を選択します。

    このURLは、OktaのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、{issuer-url}/.well-known/openid-configurationにある必要があります。

  13. [割り当て]タブをクリックします。 Databricks では、 Everyoneという名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

  14. Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。

    すべての値が入力されたときの「シングルサインオン」タブ
  15. [保存]をクリックします。

  16. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

  17. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

  18. SSOを使用したアカウントコンソールログインをテストします。

SAMLを使用したアカウントのシングルサインオン認証を有効にする

以下の手順に従って、Databricksアカウントコンソールで使用するOkta SAMLアプリケーションを作成してください。

  1. Databricks SAML URL を取得するには、アカウント所有者またはアカウント管理者としてアカウント コンソールにログインします。 サイドバーの「設定」をクリックし、 「シングル サインオン」タブをクリックします。 ピッカーから、 SAML 2.0 を選択します。 Databricks リダイレクト URIフィールドの値をコピーします。

  2. 新しいブラウザタブで、管理者としてOktaにログインします。

  3. ホームページで、「アプリケーション」>「アプリケーション」をクリックします。

  4. アプリ統合を作成」をクリックします。

  5. SAML 2.0」を選択し、「次へ」をクリックします。

  6. アプリ名」を「Databricks SSO」に設定し、「次へ」をクリックします。

  7. 以下の設定を使用してアプリケーションを構成します。

    • シングルサインオンURL:「必要な情報を収集する」のDatabricks SAML URL

    • オーディエンスURI:「必要な情報を収集する」のDatabricks SAML URL

    • 名前ID形式:EmailAddress

    • アプリケーションユーザー名:Eメールアドレス

  8. 高度な設定」をクリックします。「応答」が「署名済み」(デフォルト)に設定されていることを確認します。アサーションへの署名はオプションです。

    重要

    他の高度な設定は変更しないでください。たとえば、アサーションの暗号化は「暗号化しない」に設定する必要があります。

  9. 高度な設定を非表示にする」をクリックします。

  10. 次へ」をクリックします。

  11. 私は内部アプリを追加しているOkta顧客です」を選択します。

  12. 完了」をクリックします。Databricks SAMLアプリが表示されます。

  13. SAML 2.0はセットアップ手順を完了するまで構成されません」で「セットアップ手順を表示」をクリックします。

  14. 以下の値をコピーします。

    • IDプロバイダーのシングルサインオンURL

    • IDプロバイダーの発行者

    • x.509証明書

  15. [割り当て]タブをクリックします。 Databricks では、 Everyoneという名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

  16. Databricks アカウント コンソールの SSO ページで Databricks を構成します。 オプション フィールドの詳細については、「SAML を使用したアカウントのシングル サインオン認証の有効化」を参照してください。

    1. シングルサインオン」をクリックします。

    2. SSOタイプドロップダウンをSAML 2.0に設定します。

    3. シングルサインオン URLを、ログイン URLという Okta フィールドに設定します。

    4. IDプロバイダーのエンティティIDを「IDプロバイダー発行者」というOktaフィールドに設定します。

    5. x.509証明書を、証明書の開始と終了のマーカーを含めて、Okta x.509証明書に設定します。

    6. [保存]をクリックします。

    7. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

    8. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

    9. SSOを使用したアカウントコンソールログインをテストします。