OneLogin による Databricks への SSO

この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして OneLogin を構成する方法を説明します。 OneLogin は OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 OneLogin からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。

警告

シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

OIDC を使用した OneLogin SSO の有効化

  1. アカウント管理者としてアカウントコンソールにログインし、サイドバーの設定アイコンをクリックします。

  2. 「認証」タブをクリックします。

  3. [認証] の横にある [管理] をクリックします。

  4. [ ID プロバイダーでシングルサインオン] を選択します。

  5. 続行」をクリックします。

  6. [ID プロトコル] で、 [OpenID Connect] を選択します。

  7. [ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。

    SAML SSO を設定します。

  8. 新しいブラウザタブで、OneLoginにログインします。

  9. 管理」をクリックします。

  10. アプリケーション」をクリックします。

  11. アプリの追加」をクリックします。

  12. OpenId Connectを検索し、OpenId Connect(OIDC)アプリを選択します。

  13. 名前を入力し、「保存」をクリックします。

  14. [Configuration] タブで、[ Redirect URL]Databricksステップ 4 から [Redirect URL] をクリックします。他の設定を構成することも、デフォルト値のままにしておくこともできます。

  15. SSO」タブで、「クライアントID」、「クライアントシークレット」、「発行者URL」の値をコピーします。

    • クライアントIDは、 OneLoginで作成したDatabricksアプリケーションの一意の識別子です。

    • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

    • 発行者URL は、OneLoginのOpenID設定ドキュメントを見つけることができるURLです。 その OpenID 設定ドキュメントは {issuer-url}/.well-known/openid-configurationにある必要があります。

      URL から末尾の /.well-known/openid-configuration を削除します。 クエリ パラメーターを指定するには、発行者 URL に追加します (例: {issuer-url}?appid=123)。

  16. Databricks アカウント コンソールの [認証 ] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID]、[ クライアント シークレット]、 および [OpenID 発行者 URL ] フィールドに入力します。

  17. 必要に応じて、email 以外の要求をユーザーの Databricks ユーザー名として使用する場合は、 [ユーザー名] 要求を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。

    すべての値が入力されたときの「シングルサインオン」タブ

  18. [保存]をクリックします。

  19. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

  20. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

  21. SSOを使用したアカウントコンソールログインをテストします。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。

  1. 統合ログインの設定

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「ID プロバイダからのユーザーとグループの同期」を参照してください。

SAML を使用した OneLogin SSO の有効化

以下の手順に従って、Databricksアカウントコンソールで使用するOneLogin SAMLアプリケーションを作成してください。

  1. アカウント管理者としてアカウントコンソールにログインし、サイドバーの設定アイコンをクリックします。

  2. 「認証」タブをクリックします。

  3. [認証] の横にある [管理] をクリックします。

  4. [ ID プロバイダーでシングルサインオン] を選択します。

  5. 続行」をクリックします。

  6. [ID プロトコル]で、 [SAML 2.0]を選択します。

  7. [ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。

  8. 新しいブラウザタブで、OneLoginにログインします。

  9. 管理」をクリックします。

  10. アプリケーション」をクリックします。

  11. アプリの追加」をクリックします。

  12. SAMLカスタムコネクタ(高度)」を検索し、OneLogin, Inc.の結果をクリックします。

  13. 表示名」を「Databricks」に設定します。

  14. 「保存」をクリックします。アプリケーションの「情報」タブがロードされます。

  15. 構成」をクリックします。

  16. 必要な情報を収集する」で、以下の各フィールドをDatabricks SAML URLに設定します。

    • オーディエンス

    • 受信者

    • ACS(コンシューマ)URLバリデータ

    • ACS(コンシューマ)URL

    • シングルログアウトURL

    • ログインURL

  17. 「SAML署名要素」を「両方」に設定します。

  18. パラメーター」をクリックします。

  19. 認証情報」を「管理者が設定し、すべてのユーザーが共有」に設定します。

  20. Eメール」をクリックします。値をEメールに設定し、「SAMLアサーションに含める」を有効にします。

  21. SSO」タブをクリックします。

  22. 以下の値をコピーします。

    • x.509証明書

    • 発行者URL

    • SAML 2.0エンドポイント(HTTP)

  23. SAML署名要素」が「応答」または「両方」に設定されていることを確認します。

  24. アサーションを暗号化」が無効になっていることを確認します。

  25. DatabricksアカウントコンソールのSSOページでDatabricksを設定します。

    1. SSOタイプドロップダウンをSAML 2.0に設定します。

    2. シングルサインオンURLをOneLogin SAML 2.0エンドポイントに設定します。

    3. IDプロバイダーエンティティIDをOneLogin発行者URLに設定します。

    4. x.509証明書を、証明書の開始と終了のマーカーを含めて、OneLogin x.509証明書に設定します。

    5. [保存]をクリックします。

    6. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

    7. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

    8. SSOを使用したアカウントコンソールログインをテストします。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。

  1. 統合ログインの設定

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「ID プロバイダからのユーザーとグループの同期」を参照してください。