メインコンテンツまでスキップ

SAMLを使用したSSOの構成

この記事では、SAML を使用してアカウント コンソールと Databricks ワークスペースに対して認証するようにシングル サインオン (SSO) を構成する方法について説明します。Okta で SAML SSO を構成するデモについては、「 SAML SSO を使用して Databricks アクセスを保護する」を参照してください。

アカウントでのシングル サインオンの概要については、「 Databricks で SSO を構成する」を参照してください。

SAMLを使用したSSOの有効化

以下の手順は、SAML 2.0を使用してアカウントコンソールユーザーを認証する方法になります。

警告

シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

  1. アカウントコンソールのSSOページを表示し、SAML URLをコピーします。

    1. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。
      1. 「認証 」タブをクリックします。
      2. 「認証」 の横にある 「管理 」をクリックします。
      3. [ ID プロバイダーによるシングル サインオン ] を選択します。
      4. 続行 」をクリックします。
      5. [ID プロトコル ] で [SAML 2.0 ] を選択します。
      6. [Databricks リダイレクト URL ] フィールドの値をコピーします。Databricks SAML URL は、後の手順で必要になります。

    SAML SSO を設定します。

  2. 別のブラウザウィンドウまたはタブを開き、IDプロバイダーでDatabricksアプリケーションを作成します。

    1. IDプロバイダー(IdP)に移動します。

    2. 新しいクライアントアプリケーション(Web)を作成します。

      • 必要に応じて、ID プロバイダーのドキュメントを使用します。
      • SAML URLフィールド(リダイレクトURLと呼ばれる場合もあります)には、DatabricksページからコピーしたDatabricks SAML URLを使用します。

    3. 新しいDatabricksアプリケーションから以下のオブジェクトとフィールドをコピーします。

      • x.509証明書 :DatabricksとIDプロバイダー間の通信を保護するためにIDプロバイダーから提供されるデジタル証明書
      • ID プロバイダのシングルサインオン (SSO) URL 。 これは、ID プロバイダーで SSO を開始する URL です。 SAML エンドポイントと呼ばれることもあります。
      • IDプロバイダー発行者 :これはSAML IDプロバイダーの一意の識別子です。エンティティIDまたは発行者URLと呼ばれることもあります。

  3. IDプロバイダーを使用するようにDatabricksアカウントを設定します。

    1. ブラウザーのタブまたはウィンドウに戻り、Databricks アカウント コンソールの SSO ページを表示します。
    2. ID プロバイダーの Databricks アプリケーションから、シングル サインオン URL、ID プロバイダー エンティティ ID、x.509 証明書のフィールドを入力するか貼り付けます。
    3. [ 保存 ]をクリックします。
    4. [SSOのテスト] をクリックして、SSO設定が正しく機能していることを確認します。
    5. [SSOを有効にする] をクリックして、アカウントのシングルサインオンを有効にします。
    6. SSOを使用したアカウントコンソールログインをテストします。

  4. すべてのアカウントユーザーに、IDプロバイダー内のDatabricksアプリケーションへのアクセス権を付与します。アプリケーションへのアクセス権を変更する必要がある場合があります。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。

  1. 統合ログインの設定

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。

有効期限が切れる SAML 証明書を置き換える

SAML 証明書の有効期限が近づいたら、Databricks で更新する必要があります。このプロセスでは、SSO を一時的に無効にし、証明書を更新してから、SSO を再度有効にします。

SSOが無効になっている場合:

  • SSO 設定は削除されませんが、設定を編集することはできます。
  • SSO を再度有効にするまで、ユーザーは SSO を使用できません。
  • 緊急アクセス ユーザーは、引き続きパスワードと MFA を使用してログインできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

有効期限が切れる SAML 証明書を置き換えるには、次の手順を実行します。

  1. 新しいフェデレーション メタデータ XML を ID プロバイダーからエクスポートします。このファイルには、Databricks に必要な新しい x.509 証明書が含まれています。
  2. アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。
  3. 「認証 」タブをクリックします。
  4. 「認証」 の横にある 「管理 」をクリックします。
  5. [ SSO を無効にする ] をクリックします。
  6. [x.509 証明書 ] フィールドの既存のテキストを、ID プロバイダーからの新しい x.509 証明書に置き換えます。
  7. SSOを有効にする 」をクリックします。
  8. SSOを使用したアカウントコンソールログインをテストします。

SAML SSO のトラブルシューティング

次の表に、SSO 認証中に発生する可能性のある SAML エラー コードを示します。各エントリには、機械で読み取り可能なエラー名、詳細な説明、およびトラブルシューティングの推奨される次の手順が記載されています。この情報を使用して、ワークスペース内の SAML 認証の問題を迅速に特定して解決します。

エラー名

詳細

次のステップ

user_not_registered_error

入力されたユーザー名は、このワークスペースまたはアカウントに関連付けられていません。

ユーザーが Databricks ワークスペースまたはアカウントに追加されていることを確認します。ユーザー プロビジョニングが自動化されている場合 (SCIM の使用など)、SCIM が機能していることを確認します。 エラーメッセージ、ユーザーのEメールアドレス、ログイン試行のタイムスタンプを添えて Databricks サポートに連絡してください。

saml_not_enabled

この Databricks ワークスペースでは SAML 認証が有効になっていません。

ワークスペース設定で SAML を有効にします。 Databricks 管理者または Databricks サポートに、エラー メッセージと共に連絡してください。

saml_invalid_idp_settings

IdP メタデータまたは設定が無効であるため、SAML リクエストを作成できませんでした。

IdP メタデータで欠落しているフィールドや無効なフィールドがないか確認します。ACS URL とエンティティ ID の設定を確認します。 エラーメッセージ、メタデータファイル、および ACS URL を使用して IdP サポートに連絡してください。

saml_expired_error

SAML アサーションの有効期限が切れているか、まだ有効ではありません。

IdP と Databricks のシステム クロックが同期されていることを確認します (NTP を使用)。 エラーメッセージ、ブラウザのHAR、およびIdPログを使用してIdPサポートに連絡してください。

saml_response_not_signed_error

SAML 応答は署名されていませんが、署名が必要です。

IdP で SAML 応答の署名を有効にします。 エラーメッセージとIdP設定の詳細をIdPサポートに問い合わせてください。

saml_assertion_not_signed_error

SAML アサーションは署名されていませんが、署名が必要です。

IdP が SAML 設定でアサーションに署名していることを確認します。 エラーメッセージとIdP設定の詳細をIdPサポートに問い合わせてください。

saml_no_signature_error

SAML レスポンスまたはアサーションに署名が見つかりませんでした。

SAML レスポンスまたはアサーションが署名されていることを確認します。 エラーメッセージと完全なSAML応答を添えてIdPサポートに連絡してください。

saml_invalid_signature_error

SAML レスポンスまたはアサーションの署名が無効です。

Databricks で正しい公開キーが構成されていることを確認します。 エラーメッセージとIdP設定の詳細をIdPサポートに問い合わせてください。

saml_nameid_missing_error

ログインに必要な NameID が SAML アサーションにありません。

IdP を更新して、アサーションに NameID を含めます。 エラーメッセージ、IdP 設定の詳細、および SAML 属性マッピング設定を IdP サポートに問い合わせてください。

saml_generic_request_error

SAML 要求を初期化できません。Databricks は、エンティティ ID または SSO URL が正しくないか見つからないため、IdP に中継する SAML 要求を作成できませんでした。

Databricks の構成が IdP と一致していることを確認します。エンティティID(IdP発行者IDまたはURL)とSSO URLを確認します。 Databricks と IdP のサポートに、エラーメッセージと IdP 設定の詳細を問い合わせてください。

saml_generic_response_validation_error

SAML 応答の検証に失敗しました。Databricks は IdP からの SAML 応答を検証できませんでした。

SAML 応答を調べて、検証エラーを確認します。 エラーメッセージ、SAML応答、および検証エラーメッセージを使用してIdPサポートに連絡してください。

最終更新