OneLogin による Databricks への SSO

この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして OneLogin を構成する方法を説明します。 OneLogin は OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 OneLogin からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。

警告

シングル サインオンのテスト中にDatabricksからロックアウトされないようにするには、アカウントDatabricksを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。 SSO の緊急アクセスを参照してください。

OIDCを使用したアカウントのシングルサインオン認証を有効にする

  1. アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。

  2. シングルサインオン」タブをクリックします。

  3. [認証] の横にある [管理] をクリックします。

  4. [ ID プロバイダーでシングルサインオン] を選択します。

  5. 続行」をクリックします。

  6. [ID プロトコル] で、 [OpenID Connect] を選択します。

  7. シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。

  8. 新しいブラウザタブで、OneLoginにログインします。

  9. 管理」をクリックします。

  10. アプリケーション」をクリックします。

  11. アプリの追加」をクリックします。

  12. OpenId Connectを検索し、OpenId Connect(OIDC)アプリを選択します。

  13. 名前を入力し、「保存」をクリックします。

  14. 構成」タブで、手順4の「DatabricksリダイレクトURI」を選択します。他の設定を構成することも、デフォルト値のままにすることもできます。

  15. SSO」タブで、「クライアントID」、「クライアントシークレット」、「発行者URL」の値をコピーします。

    • クライアントIDは、 OneLoginで作成したDatabricksアプリケーションの一意の識別子です。

    • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

    • OpenID発行者URLは、OneLoginのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、{issuer-url}/.well-known/openid-configurationにある必要があります。

  16. Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。

    すべての値が入力されたときの「シングルサインオン」タブ

  17. [保存]をクリックします。

  18. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

  19. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

  20. SSOを使用したアカウントコンソールログインをテストします。

SAMLを使用したアカウントのシングルサインオン認証を有効にする

以下の手順に従って、Databricksアカウントコンソールで使用するOneLogin SAMLアプリケーションを作成してください。

  1. アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。

  2. シングルサインオン」タブをクリックします。

  3. [認証] の横にある [管理] をクリックします。

  4. [ ID プロバイダーでシングルサインオン] を選択します。

  5. 続行」をクリックします。

  6. [ID プロトコル]で、 [SAML 2.0]を選択します。

  7. シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。

  8. 新しいブラウザタブで、OneLoginにログインします。

  9. 管理」をクリックします。

  10. アプリケーション」をクリックします。

  11. アプリの追加」をクリックします。

  12. SAMLカスタムコネクタ(高度)」を検索し、OneLogin, Inc.の結果をクリックします。

  13. 表示名」を「Databricks」に設定します。

  14. 「保存」をクリックします。アプリケーションの「情報」タブがロードされます。

  15. 構成」をクリックします。

  16. 必要な情報を収集する」で、以下の各フィールドをDatabricks SAML URLに設定します。

    • オーディエンス

    • 受信者

    • ACS(コンシューマ)URLバリデータ

    • ACS(コンシューマ)URL

    • シングルログアウトURL

    • ログインURL

  17. 「SAML署名要素」を「両方」に設定します。

  18. パラメーター」をクリックします。

  19. 認証情報」を「管理者が設定し、すべてのユーザーが共有」に設定します。

  20. Eメール」をクリックします。値をEメールに設定し、「SAMLアサーションに含める」を有効にします。

  21. SSO」タブをクリックします。

  22. 以下の値をコピーします。

    • x.509証明書

    • 発行者URL

    • SAML 2.0エンドポイント(HTTP)

  23. SAML署名要素」が「応答」または「両方」に設定されていることを確認します。

  24. アサーションを暗号化」が無効になっていることを確認します。

  25. DatabricksアカウントコンソールのSSOページでDatabricksを設定します。

    1. SSOタイプドロップダウンをSAML 2.0に設定します。

    2. シングルサインオンURLをOneLogin SAML 2.0エンドポイントに設定します。

    3. IDプロバイダーエンティティIDをOneLogin発行者URLに設定します。

    4. x.509証明書を、証明書の開始と終了のマーカーを含めて、OneLogin x.509証明書に設定します。

    5. [保存]をクリックします。

    6. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

    7. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

    8. SSOを使用したアカウントコンソールログインをテストします。