OneLogin による Databricks への SSO

この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして OneLogin を構成する方法を説明します。 OneLogin は OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 OneLogin からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。

警告

シングル サインオンのテスト中にDatabricksからロックアウトされないようにするには、アカウントDatabricksを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。 SSO の緊急アクセスを参照してください。

OIDCを使用したアカウントのシングルサインオン認証を有効にする

  1. アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。

  2. シングルサインオン」タブをクリックします。

  3. このタブの上部にあるドロップダウンから、「OpenID Connect」を選択します。

  4. シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。

  5. 新しいブラウザタブで、OneLoginにログインします。

  6. 管理」をクリックします。

  7. アプリケーション」をクリックします。

  8. アプリの追加」をクリックします。

  9. OpenId Connectを検索し、OpenId Connect(OIDC)アプリを選択します。

  10. 名前を入力し、「保存」をクリックします。

  11. 構成」タブで、手順4の「DatabricksリダイレクトURI」を選択します。他の設定を構成することも、デフォルト値のままにすることもできます。

  12. SSO」タブで、「クライアントID」、「クライアントシークレット」、「発行者URL」の値をコピーします。

    • クライアントIDは、 OneLoginで作成したDatabricksアプリケーションの一意の識別子です。

    • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

    • OpenID発行者URLは、OneLoginのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、{issuer-url}/.well-known/openid-configurationにある必要があります。

  13. Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。

    すべての値が入力されたときの「シングルサインオン」タブ

  14. [保存]をクリックします。

  15. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

  16. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

  17. SSOを使用したアカウントコンソールログインをテストします。

SAMLを使用したアカウントのシングルサインオン認証を有効にする

以下の手順に従って、Databricksアカウントコンソールで使用するOneLogin SAMLアプリケーションを作成してください。

  1. Databricks SAML URL を取得するには、アカウント所有者またはアカウント管理者としてアカウント コンソールにログインします。 サイドバーの「設定」をクリックし、 「シングル サインオン」タブをクリックします。 ピッカーから、 SAML 2.0 を選択します。 Databricks リダイレクト URIフィールドの値をコピーします。

  2. 新しいブラウザタブで、OneLoginにログインします。

  3. 管理」をクリックします。

  4. アプリケーション」をクリックします。

  5. アプリの追加」をクリックします。

  6. SAMLカスタムコネクタ(高度)」を検索し、OneLogin, Inc.の結果をクリックします。

  7. 表示名」を「Databricks」に設定します。

  8. 「保存」をクリックします。アプリケーションの「情報」タブがロードされます。

  9. 構成」をクリックします。

  10. 必要な情報を収集する」で、以下の各フィールドをDatabricks SAML URLに設定します。

    • オーディエンス

    • 受信者

    • ACS(コンシューマ)URLバリデータ

    • ACS(コンシューマ)URL

    • シングルログアウトURL

    • ログインURL

  11. 「SAML署名要素」を「両方」に設定します。

  12. パラメーター」をクリックします。

  13. 認証情報」を「管理者が設定し、すべてのユーザーが共有」に設定します。

  14. Eメール」をクリックします。値をEメールに設定し、「SAMLアサーションに含める」を有効にします。

  15. SSO」タブをクリックします。

  16. 以下の値をコピーします。

    • x.509証明書

    • 発行者URL

    • SAML 2.0エンドポイント(HTTP)

  17. SAML署名要素」が「応答」または「両方」に設定されていることを確認します。

  18. アサーションを暗号化」が無効になっていることを確認します。

  19. Databricks アカウント コンソールの SSO ページで Databricks を構成します。 オプション フィールドの詳細については、「SAML を使用したアカウントのシングル サインオン認証の有効化」を参照してください。

    1. シングルサインオン」をクリックします。

    2. SSOタイプドロップダウンをSAML 2.0に設定します。

    3. シングルサインオンURLをOneLogin SAML 2.0エンドポイントに設定します。

    4. IDプロバイダーエンティティIDをOneLogin発行者URLに設定します。

    5. x.509証明書を、証明書の開始と終了のマーカーを含めて、OneLogin x.509証明書に設定します。

    6. [保存]をクリックします。

    7. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

    8. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

    9. SSOを使用したアカウントコンソールログインをテストします。