SAMLを使用したSSOの構成

この記事では、SAML を使用してアカウント コンソールと Databricks ワークスペースに対して認証するようにシングル サインオン (SSO) を構成する方法について説明します。 また、次の ID プロバイダーに対して SAML を使用して SSO を構成する方法に関する具体的な手順も読むことができます。

次のデモでは、Okta で SAML SSO を設定する手順を説明します。

アカウントでのシングル サインオンの概要については、 「Databricks での SSO の構成」を参照してください。

SAMLを使用したSSOの有効化

次の手順では、SAML 2.0 を使用してアカウント コンソール ユーザーを認証する方法について説明します。

警告

シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

  1. アカウントコンソールのSSOページを表示し、SAML URLをコピーします。

    1. アカウント管理者としてアカウント コンソールにログインし、サイドバーの設定アイコンをクリックします。

      1. 「認証」タブをクリックします。

      2. [認証] の横にある [管理] をクリックします。

      3. [ ID プロバイダーでシングルサインオン] を選択します。

      4. 続行」をクリックします。

      5. [ID プロトコル]で、 [SAML 2.0]を選択します。

      6. [Databricks リダイレクト URL] フィールドの値をコピーします。Databricks SAML URL は、後の手順で必要になります。

    SAML SSO を設定します。
  2. 別のブラウザウィンドウまたはタブを開き、IDプロバイダーでDatabricksアプリケーションを作成します。

    1. IDプロバイダー(IdP)に移動します。

    2. 新しいクライアントアプリケーション(Web)を作成します。

      • 必要に応じて、IDプロバイダーのドキュメントを使用してください。

      • SAML URLフィールド(リダイレクトURLと呼ばれる場合もあります)には、DatabricksページからコピーしたDatabricks SAML URLを使用します。

    3. 新しいDatabricksアプリケーションから以下のオブジェクトとフィールドをコピーします。

      • x.509証明書:DatabricksとIDプロバイダー間の通信を保護するためにIDプロバイダーから提供されるデジタル証明書

      • ID プロバイダのシングルサインオン (SSO) URL。 これは、ID プロバイダーで SSO を開始する URL です。 SAML エンドポイントと呼ばれることもあります。

      • IDプロバイダー発行者:これはSAML IDプロバイダーの一意の識別子です。エンティティIDまたは発行者URLと呼ばれることもあります。

  3. IDプロバイダーを使用するようにDatabricksアカウントを設定します。

    1. ブラウザーのタブまたはウィンドウに戻り、Databricks アカウント コンソールの SSO ページを表示します。

    2. IDプロバイダーのDatabricksアプリケーションから、シングルサインオンURL、IDプロバイダーのエンティティID、x.509証明書のフィールドを入力または貼り付けます。

    3. [保存]をクリックします。

    4. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

    5. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

    6. SSOを使用したアカウントコンソールログインをテストします。

  4. すべてのアカウント ユーザーに、ID プロバイダー内の Databricks アプリケーションへのアクセス権を付与します。 アプリケーションのアクセス許可の変更が必要な場合があります。

統合ログインの構成

アカウント コンソールで SSO を有効にしたら、Databricks では統合ログインを有効にすることをお勧めします。 統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してアカウントでデフォルトで有効になっており、無効にすることはできません。 統合ログインを構成するには、「 統合ログインを有効にする」を参照してください。