OneLogin を使用した Databricks への SSO
この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして OneLogin を構成する方法について説明します。 OneLoginは、OpenID Connect(OIDC)とSAML 2.0の両方をサポートしています。 OneLoginからユーザーとグループを同期するには、「 SCIMを使用してIDプロバイダーからユーザーとグループを同期する」を参照してください。
シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。
OIDC を使用した OneLogin SSO の有効化
-
アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。
-
「認証 」タブをクリックします。
-
「認証」 の横にある 「管理 」をクリックします。
-
[ ID プロバイダーによるシングル サインオン ] を選択します。
-
「 続行 」をクリックします。
-
[ID プロトコル ] で [ OpenID Connect ] を選択します。
-
[ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。
-
新しいブラウザタブで、OneLoginにログインします。
-
「 管理 」をクリックします。
-
「 アプリケーション 」をクリックします。
-
「 アプリの追加 」をクリックします。
-
OpenId Connect
を検索し、 OpenId Connect(OIDC) アプリを選択します。 -
名前を入力し、「 保存 」をクリックします。
-
[ 構成 ] タブで、手順 4 の Databricks リダイレクト URL 。 他の設定を構成することも、デフォルト値のままにしておくこともできます。
-
「 SSO 」タブで、「 クライアントID 」、「 クライアントシークレット 」、「 発行者URL 」の値をコピーします。
-
クライアントID は、 OneLoginで作成したDatabricksアプリケーションの一意の識別子です。
-
クライアントシークレット は、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを認証するために使用されます。
-
発行者URL は、OneLoginのOpenID設定ドキュメントを見つけることができるURLです。 その OpenID 設定ドキュメントは
{issuer-url}/.well-known/openid-configuration
にある必要があります。
URL から末尾の
/.well-known/openid-configuration
を削除します。 クエリ パラメーターを指定するには、発行者 URL に追加します (例:{issuer-url}?appid=123
)。 -
-
Databricks アカウント コンソールの [認証 ] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID ]、[ クライアント シークレット ]、 および [OpenID 発行者 URL ] フィールドに入力します。
-
必要に応じて、
email
以外の要求をユーザーの Databricks ユーザー名として使用する場合は、 [ユーザー名] 要求 を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。 -
[ 保存 ]をクリックします。
-
[SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
-
[SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
-
SSOを使用したアカウントコンソールログインをテストします。
統合ログインを構成し、Databricks にユーザーを追加する
SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。
-
統合ログインの設定
統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。
-
Databricks にユーザーを追加する
ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。
SAML を使用した OneLogin SSO の有効化
以下の手順に従って、Databricksアカウントコンソールで使用するOneLogin SAMLアプリケーションを作成してください。
-
アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。
-
「認証 」タブをクリックします。
-
「認証」 の横にある 「管理 」をクリックします。
-
[ ID プロバイダーによるシングル サインオン ] を選択します。
-
「 続行 」をクリックします。
-
[ID プロトコル ] で [SAML 2.0 ] を選択します。
-
[ 認証 ] タブで、 [Databricks リダイレクト URL ] の値をメモします。
-
新しいブラウザタブで、OneLoginにログインします。
-
「 管理 」をクリックします。
-
「 アプリケーション 」をクリックします。
-
「 アプリの追加 」をクリックします。
-
「 SAMLカスタムコネクタ(高度) 」を検索し、OneLogin, Inc.の結果をクリックします。
-
「 表示名 」を「 Databricks 」に設定します。
-
「保存」 をクリックします。アプリケーションの 「情報」 タブがロードされます。
-
「 構成 」をクリックします。
-
「 必要な情報を収集する 」で、以下の各フィールドをDatabricks SAML URLに設定します。
- オーディエンス
- RECIPIENT
- ACS(コンシューマ)URLバリデータ
- ACS(コンシューマ)URL
- シングルログアウトURL
- ログインURL
-
「SAML署名要素」を「両方」 に設定します。
-
「 パラメーター 」をクリックします。
-
「 認証情報 」を「 管理者が設定し、すべてのユーザーが共有 」に設定します。
-
「 Eメール 」をクリックします。値をEメールに設定し、「 SAMLアサーションに含める 」を有効にします。
-
「 SSO 」タブをクリックします。
-
以下の値をコピーします。
- x.509証明書
- 発行者URL
- SAML 2.0エンドポイント(HTTP)
-
「 SAML署名要素 」が「 応答 」または「 両方 」に設定されていることを確認します。
-
「 アサーションを暗号化 」が無効になっていることを確認します。
-
DatabricksアカウントコンソールのSSOページでDatabricksを設定します。
- SSOタイプドロップダウンを SAML 2.0 に設定します。
- シングルサインオンURL をOneLogin SAML 2.0エンドポイントに設定します。
- IDプロバイダーエンティティID をOneLogin発行者URLに設定します。
- x.509証明書 を、証明書の開始と終了のマーカーを含めて、OneLogin x.509証明書に設定します。
- [ 保存 ]をクリックします。
- [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
- [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
- SSOを使用したアカウントコンソールログインをテストします。
統合ログインを構成し、Databricks にユーザーを追加する
SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。
-
統合ログインの設定
統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。
-
Databricks にユーザーを追加する
ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。