OneLogin による Databricks への SSO
この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして OneLogin を構成する方法を説明します。 OneLogin は OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 OneLogin からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。
警告
シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。
OIDC を使用した OneLogin SSO の有効化
アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。
「認証」タブをクリックします。
[認証] の横にある [管理] をクリックします。
[ ID プロバイダーでシングルサインオン] を選択します。
「続行」をクリックします。
[ID プロトコル] で、 [OpenID Connect] を選択します。
[ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。
新しいブラウザタブで、OneLoginにログインします。
「管理」をクリックします。
「アプリケーション」をクリックします。
「アプリの追加」をクリックします。
OpenId Connect
を検索し、OpenId Connect(OIDC)アプリを選択します。名前を入力し、「保存」をクリックします。
[Configuration] タブで、[ Redirect URL]Databricksステップ 4 から [Redirect URL] をクリックします。他の設定を構成することも、デフォルト値のままにしておくこともできます。
「SSO」タブで、「クライアントID」、「クライアントシークレット」、「発行者URL」の値をコピーします。
クライアントIDは、 OneLoginで作成したDatabricksアプリケーションの一意の識別子です。
クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。
発行者URL は、OneLoginのOpenID設定ドキュメントを見つけることができるURLです。 その OpenID 設定ドキュメントは
{issuer-url}/.well-known/openid-configuration
にある必要があります。URL から末尾の
/.well-known/openid-configuration
を削除します。 クエリ パラメーターを指定するには、発行者 URL に追加します (例:{issuer-url}?appid=123
)。
Databricks アカウント コンソールの [認証 ] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID]、[ クライアント シークレット]、 および [OpenID 発行者 URL ] フィールドに入力します。
必要に応じて、
email
以外の要求をユーザーの Databricks ユーザー名として使用する場合は、 [ユーザー名] 要求を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
統合ログインの設定
統合ログインを使用すると、DatabricksワークスペースでアカウントコンソールのSSO設定を使用できます。アカウントが2023年6月21日以降に作成された場合は、新規および既存のすべてのワークスペースに対して、アカウントでの統合ログインがデフォルトで有効になり、無効にすることができません。統合ログインを設定するには、「統合ログインを有効にする」を参照してください。
SAML を使用した OneLogin SSO の有効化
以下の手順に従って、Databricksアカウントコンソールで使用するOneLogin SAMLアプリケーションを作成してください。
アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。
「認証」タブをクリックします。
[認証] の横にある [管理] をクリックします。
[ ID プロバイダーでシングルサインオン] を選択します。
「続行」をクリックします。
[ID プロトコル]で、 [SAML 2.0]を選択します。
[ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。
新しいブラウザタブで、OneLoginにログインします。
「管理」をクリックします。
「アプリケーション」をクリックします。
「アプリの追加」をクリックします。
「SAMLカスタムコネクタ(高度)」を検索し、OneLogin, Inc.の結果をクリックします。
「表示名」を「Databricks」に設定します。
「保存」をクリックします。アプリケーションの「情報」タブがロードされます。
「構成」をクリックします。
「必要な情報を収集する」で、以下の各フィールドをDatabricks SAML URLに設定します。
オーディエンス
受信者
ACS(コンシューマ)URLバリデータ
ACS(コンシューマ)URL
シングルログアウトURL
ログインURL
「SAML署名要素」を「両方」に設定します。
「パラメーター」をクリックします。
「認証情報」を「管理者が設定し、すべてのユーザーが共有」に設定します。
「Eメール」をクリックします。値をEメールに設定し、「SAMLアサーションに含める」を有効にします。
「SSO」タブをクリックします。
以下の値をコピーします。
x.509証明書
発行者URL
SAML 2.0エンドポイント(HTTP)
「SAML署名要素」が「応答」または「両方」に設定されていることを確認します。
「アサーションを暗号化」が無効になっていることを確認します。
DatabricksアカウントコンソールのSSOページでDatabricksを設定します。
SSOタイプドロップダウンをSAML 2.0に設定します。
シングルサインオンURLをOneLogin SAML 2.0エンドポイントに設定します。
IDプロバイダーエンティティIDをOneLogin発行者URLに設定します。
x.509証明書を、証明書の開始と終了のマーカーを含めて、OneLogin x.509証明書に設定します。
[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
統合ログインの設定
統合ログインを使用すると、DatabricksワークスペースでアカウントコンソールのSSO設定を使用できます。アカウントが2023年6月21日以降に作成された場合は、新規および既存のすべてのワークスペースに対して、アカウントでの統合ログインがデフォルトで有効になり、無効にすることができません。統合ログインを設定するには、「統合ログインを有効にする」を参照してください。