メインコンテンツまでスキップ

OneLogin を使用した Databricks への SSO

この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして OneLogin を構成する方法について説明します。 OneLoginは、OpenID Connect(OIDC)とSAML 2.0の両方をサポートしています。 OneLoginからユーザーとグループを同期するには、「 SCIMを使用してIDプロバイダーからユーザーとグループを同期する」を参照してください。

警告

シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

OIDC を使用した OneLogin SSO の有効化

  1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。

  2. 「認証 」タブをクリックします。

  3. 「認証」 の横にある 「管理 」をクリックします。

  4. [ ID プロバイダーによるシングル サインオン ] を選択します。

  5. 続行 」をクリックします。

  6. [ID プロトコル ] で [ OpenID Connect ] を選択します。

  7. [ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。

    SAML SSO を設定します。

  8. 新しいブラウザタブで、OneLoginにログインします。

  9. 管理 」をクリックします。

  10. アプリケーション 」をクリックします。

  11. アプリの追加 」をクリックします。

  12. OpenId Connectを検索し、 OpenId Connect(OIDC) アプリを選択します。

  13. 名前を入力し、「 保存 」をクリックします。

  14. [ 構成 ] タブで、手順 4 の Databricks リダイレクト URL 。 他の設定を構成することも、デフォルト値のままにしておくこともできます。

  15. SSO 」タブで、「 クライアントID 」、「 クライアントシークレット 」、「 発行者URL 」の値をコピーします。

    • クライアントID は、 OneLoginで作成したDatabricksアプリケーションの一意の識別子です。

    • クライアントシークレット は、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを認証するために使用されます。

    • 発行者URL は、OneLoginのOpenID設定ドキュメントを見つけることができるURLです。 その OpenID 設定ドキュメントは {issuer-url}/.well-known/openid-configurationにある必要があります。

    URL から末尾の /.well-known/openid-configuration を削除します。 クエリ パラメーターを指定するには、発行者 URL に追加します (例: {issuer-url}?appid=123)。

  16. Databricks アカウント コンソールの [認証 ] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID ]、[ クライアント シークレット ]、 および [OpenID 発行者 URL ] フィールドに入力します。

  17. 必要に応じて、email 以外の要求をユーザーの Databricks ユーザー名として使用する場合は、 [ユーザー名] 要求 を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。

    すべての値が入力されたときの [シングルサインオン] タブ

  18. [ 保存 ]をクリックします。

  19. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。

  20. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。

  21. SSOを使用したアカウントコンソールログインをテストします。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。

  1. 統合ログインの設定

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。

SAML を使用した OneLogin SSO の有効化

以下の手順に従って、Databricksアカウントコンソールで使用するOneLogin SAMLアプリケーションを作成してください。

  1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。

  2. 「認証 」タブをクリックします。

  3. 「認証」 の横にある 「管理 」をクリックします。

  4. [ ID プロバイダーによるシングル サインオン ] を選択します。

  5. 続行 」をクリックします。

  6. [ID プロトコル ] で [SAML 2.0 ] を選択します。

  7. [ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。

  8. 新しいブラウザタブで、OneLoginにログインします。

  9. 管理 」をクリックします。

  10. アプリケーション 」をクリックします。

  11. アプリの追加 」をクリックします。

  12. SAMLカスタムコネクタ(高度) 」を検索し、OneLogin, Inc.の結果をクリックします。

  13. 表示名 」を「 Databricks 」に設定します。

  14. 「保存」 をクリックします。アプリケーションの 「情報」 タブがロードされます。

  15. 構成 」をクリックします。

  16. 必要な情報を収集する 」で、以下の各フィールドをDatabricks SAML URLに設定します。

    • オーディエンス
    • RECIPIENT
    • ACS(コンシューマ)URLバリデータ
    • ACS(コンシューマ)URL
    • シングルログアウトURL
    • ログインURL
  17. 「SAML署名要素」を「両方」 に設定します。

  18. パラメーター 」をクリックします。

  19. 認証情報 」を「 管理者が設定し、すべてのユーザーが共有 」に設定します。

  20. Eメール 」をクリックします。値をEメールに設定し、「 SAMLアサーションに含める 」を有効にします。

  21. SSO 」タブをクリックします。

  22. 以下の値をコピーします。

    • x.509証明書
    • 発行者URL
    • SAML 2.0エンドポイント(HTTP)
  23. SAML署名要素 」が「 応答 」または「 両方 」に設定されていることを確認します。

  24. アサーションを暗号化 」が無効になっていることを確認します。

  25. DatabricksアカウントコンソールのSSOページでDatabricksを設定します。

    1. SSOタイプドロップダウンを SAML 2.0 に設定します。
    2. シングルサインオンURL をOneLogin SAML 2.0エンドポイントに設定します。
    3. IDプロバイダーエンティティID をOneLogin発行者URLに設定します。
    4. x.509証明書 を、証明書の開始と終了のマーカーを含めて、OneLogin x.509証明書に設定します。
    5. [ 保存 ]をクリックします。
    6. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
    7. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
    8. SSOを使用したアカウントコンソールログインをテストします。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。

  1. 統合ログインの設定

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。