OneLogin による Databricks への SSO
この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして OneLogin を構成する方法を説明します。 OneLogin は OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 OneLogin からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。
警告
シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。
OIDC を使用した OneLogin SSO の有効化
アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。
「認証」タブをクリックします。
[認証] の横にある [管理] をクリックします。
[ ID プロバイダーでシングルサインオン] を選択します。
「続行」をクリックします。
[ID プロトコル] で、 [OpenID Connect] を選択します。
[ 認証 ] タブで、 Databricks リダイレクト URI の値をメモします。
新しいブラウザタブで、OneLoginにログインします。
「管理」をクリックします。
「アプリケーション」をクリックします。
「アプリの追加」をクリックします。
OpenId Connect
を検索し、OpenId Connect(OIDC)アプリを選択します。名前を入力し、「保存」をクリックします。
「構成」タブで、手順4の「DatabricksリダイレクトURI」を選択します。他の設定を構成することも、デフォルト値のままにすることもできます。
「SSO」タブで、「クライアントID」、「クライアントシークレット」、「発行者URL」の値をコピーします。
クライアントIDは、 OneLoginで作成したDatabricksアプリケーションの一意の識別子です。
クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。
OpenID発行者URLは、OneLoginのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、
{issuer-url}/.well-known/openid-configuration
にある必要があります。
Databricks アカウント コンソールの [認証 ] タブに戻り、ID プロバイダー アプリケーションからコピーした値を [クライアント ID]、[ クライアント シークレット]、 および [OpenID 発行者 URL ] フィールドに入力します。
必要に応じて、
email
以外の要求をユーザーの Databricks ユーザー名として使用する場合は、 [ユーザー名] 要求を入力します。要求値に関する具体的な情報については、ID プロバイダーのドキュメントを参照してください。[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
統合ログインの設定
統合ログインを使用すると、DatabricksワークスペースでアカウントコンソールのSSO設定を使用できます。アカウントが2023年6月21日以降に作成された場合は、新規および既存のすべてのワークスペースに対して、アカウントでの統合ログインがデフォルトで有効になり、無効にすることができません。統合ログインを設定するには、「統合ログインを有効にする」を参照してください。
SAML を使用した OneLogin SSO の有効化
以下の手順に従って、Databricksアカウントコンソールで使用するOneLogin SAMLアプリケーションを作成してください。
アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。
「認証」タブをクリックします。
[認証] の横にある [管理] をクリックします。
[ ID プロバイダーでシングルサインオン] を選択します。
「続行」をクリックします。
[ID プロトコル]で、 [SAML 2.0]を選択します。
[ 認証 ] タブで、 Databricks リダイレクト URI の値をメモします。
新しいブラウザタブで、OneLoginにログインします。
「管理」をクリックします。
「アプリケーション」をクリックします。
「アプリの追加」をクリックします。
「SAMLカスタムコネクタ(高度)」を検索し、OneLogin, Inc.の結果をクリックします。
「表示名」を「Databricks」に設定します。
「保存」をクリックします。アプリケーションの「情報」タブがロードされます。
「構成」をクリックします。
「必要な情報を収集する」で、以下の各フィールドをDatabricks SAML URLに設定します。
オーディエンス
受信者
ACS(コンシューマ)URLバリデータ
ACS(コンシューマ)URL
シングルログアウトURL
ログインURL
「SAML署名要素」を「両方」に設定します。
「パラメーター」をクリックします。
「認証情報」を「管理者が設定し、すべてのユーザーが共有」に設定します。
「Eメール」をクリックします。値をEメールに設定し、「SAMLアサーションに含める」を有効にします。
「SSO」タブをクリックします。
以下の値をコピーします。
x.509証明書
発行者URL
SAML 2.0エンドポイント(HTTP)
「SAML署名要素」が「応答」または「両方」に設定されていることを確認します。
「アサーションを暗号化」が無効になっていることを確認します。
DatabricksアカウントコンソールのSSOページでDatabricksを設定します。
SSOタイプドロップダウンをSAML 2.0に設定します。
シングルサインオンURLをOneLogin SAML 2.0エンドポイントに設定します。
IDプロバイダーエンティティIDをOneLogin発行者URLに設定します。
x.509証明書を、証明書の開始と終了のマーカーを含めて、OneLogin x.509証明書に設定します。
[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
統合ログインの設定
統合ログインを使用すると、DatabricksワークスペースでアカウントコンソールのSSO設定を使用できます。アカウントが2023年6月21日以降に作成された場合は、新規および既存のすべてのワークスペースに対して、アカウントでの統合ログインがデフォルトで有効になり、無効にすることができません。統合ログインを設定するには、「統合ログインを有効にする」を参照してください。