SAMLを使用したSSOの構成

この記事では、SAML を使用してアカウント コンソールと Databricks ワークスペースに対して認証するようにシングル サインオン (SSO) を構成する方法について説明します。 Okta で SAML SSO を構成するデモについては、「 SAML SSO を使用して Databricks アクセスを保護する」を参照してください。

アカウントでのシングル サインオンの概要については、 「Databricks での SSO の構成」を参照してください。

SAMLを使用したSSOの有効化

次の手順では、SAML 2.0 を使用してアカウント コンソール ユーザーを認証する方法について説明します。

警告

シングル サインオン テスト中に Databricks からロックアウトされるのを防ぐために、Databricks では、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、セキュリティキーを使用して緊急アクセスを構成して、ロックアウトを防ぐこともできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

  1. アカウントコンソールのSSOページを表示し、SAML URLをコピーします。

    1. アカウント管理者としてアカウント コンソールにログインし、サイドバーの設定アイコンをクリックします。

      1. 「認証」タブをクリックします。

      2. [認証] の横にある [管理] をクリックします。

      3. [ ID プロバイダーでシングルサインオン] を選択します。

      4. 続行」をクリックします。

      5. [ID プロトコル]で、 [SAML 2.0]を選択します。

      6. [Databricks リダイレクト URL] フィールドの値をコピーします。Databricks SAML URL は、後の手順で必要になります。

    SAML SSO を設定します。
  2. 別のブラウザウィンドウまたはタブを開き、IDプロバイダーでDatabricksアプリケーションを作成します。

    1. IDプロバイダー(IdP)に移動します。

    2. 新しいクライアントアプリケーション(Web)を作成します。

      • 必要に応じて、IDプロバイダーのドキュメントを使用してください。

      • SAML URLフィールド(リダイレクトURLと呼ばれる場合もあります)には、DatabricksページからコピーしたDatabricks SAML URLを使用します。

    3. 新しいDatabricksアプリケーションから以下のオブジェクトとフィールドをコピーします。

      • x.509証明書:DatabricksとIDプロバイダー間の通信を保護するためにIDプロバイダーから提供されるデジタル証明書

      • ID プロバイダのシングルサインオン (SSO) URL。 これは、ID プロバイダーで SSO を開始する URL です。 SAML エンドポイントと呼ばれることもあります。

      • IDプロバイダー発行者:これはSAML IDプロバイダーの一意の識別子です。エンティティIDまたは発行者URLと呼ばれることもあります。

  3. IDプロバイダーを使用するようにDatabricksアカウントを設定します。

    1. ブラウザーのタブまたはウィンドウに戻り、Databricks アカウント コンソールの SSO ページを表示します。

    2. IDプロバイダーのDatabricksアプリケーションから、シングルサインオンURL、IDプロバイダーのエンティティID、x.509証明書のフィールドを入力または貼り付けます。

    3. [保存]をクリックします。

    4. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

    5. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

    6. SSOを使用したアカウントコンソールログインをテストします。

  4. すべてのアカウント ユーザーに、ID プロバイダー内の Databricks アプリケーションへのアクセス権を付与します。 アプリケーションのアクセス許可の変更が必要な場合があります。

統合ログインを構成し、Databricks にユーザーを追加する

SSO を構成した後、Databricks では、統合ログインを構成し、SCIM プロビジョニングを使用してアカウントにユーザーを追加することをお勧めします。

  1. 統合ログインの設定

    統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、すべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 統合ログインを設定するには、「 統合ログインを有効にする」を参照してください。

  2. Databricks にユーザーを追加する

    ユーザーがログインするには、Databricks にユーザーを追加する必要があります。 Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 SCIM は、ID プロバイダーを使用して Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員やチームのオンボーディングを効率化します。 「ID プロバイダからのユーザーとグループの同期」を参照してください。