Amazon
Web Services
Microsoft Azure
Google Cloud PlatformOneLogin のSCIMを設定する
この記事では、Onelogin を使用して Databricks プロビジョニングを設定する方法について説明します。
プロビジョニングの設定は、Databricks アカウント レベルまたは Databricks ワークスペース レベルで行うことができます。
Databricks 、アカウント レベルにユーザー、サービス プリンシパル、およびグループを割り当て、 ID フェデレーションを使用してワークスペースにユーザーとグループを割り当てることをお勧めします。 ID フェデレーションが有効になっていないワークスペースがある場合は、引き続きそれらのワークスペースにユーザー、サービス プリンシパル、およびグループを直接追加する必要があります。
ID フェデレーションがプロビジョニングに与える影響の説明や、アカウント レベルとワークスペース レベルのプロビジョニングをいつ使用するかについてのアドバイスなど、Databricks での SCIM プロビジョニングの詳細については、 「ID プロバイダーからのユーザーとグループの同期」を参照してください。
ユーザーが OneLogin を使用してログインするには、Okta から Databricks へのシングル サインオンを構成する必要があります。 シングル サインオンを構成するには、 Databricks アカウント コンソールの SSO を参照してください。
要件
Databricks アカウントにはPremium プラン以上が必要です。
Databricks アカウントのプロビジョニングを設定するには、Databricks アカウント管理者である必要があります。
Databricks ワークスペースのプロビジョニングを設定するには、Databricks ワークスペース管理者である必要があります。
OneLogin アカウントはプロビジョニングをサポートしている必要があります。
OneLogin アカウントのスーパーユーザーまたはアカウント所有者である必要があります。
Databricks では、OneLogin の記事「 ユーザーのプロビジョニングとプロビジョニング解除とは何ですか?」をお読みになることをお勧めします。
OneLogin を使用してユーザーが Databricks にログインできるようにシングル サインオンを構成します。 Databricks アカウント コンソールで SSO を参照してください。
OneLogin を使用してアカウントレベルのSCIMセキュリティを設定する
このセクションでは、OneLogin SCIM コネクタを構成して、ユーザーとグループをアカウントにプロビジョニングする方法について説明します。
SCIMで トークンとアカウントSCIM URL を取得するDatabricks
アカウント管理者として、Databricksアカウント コンソールにログインします。
「
設定 」をクリックします 。[ユーザープロビジョニング]をクリックします。
[ユーザー プロビジョニングの設定] をクリックします。
SCIM トークンとアカウント SCIM URL をコピーします。 これらを使用して、OneLoginでコネクタを構成します。
注:
SCIMトークンはアカウントSCIM API /api/2.0/accounts/{account_id}/scim/v2/ に制限されており、他のDatabricks REST APIsへの認証には使用できません。
OneLogin SCIMアプリを設定する
スーパーユーザーまたはアカウント所有者として OneLogin にログインし、OneLogin 管理コンソールを起動します。
「 アプリケーション 」に移動し、「 アプリの追加」をクリックします。
SCIM Provisioner with SAML (SCIM v2 Core)を検索して選択します。
「 保存」をクリックします。 新しい構成タブが左側に表示されます。
「構成」をクリックします。
Databricks サブドメインに、アカウント SCIM URL を入力します。
SCIM Bearer トークンフィールドに、 Databricks個人アクセス トークンを入力します。
[API 接続]の下で、 [有効化]をクリックします。 アプリケーションは Databricks に対して認証します。
ログオンを有効にして構成するには、「ドア」に移動します。
[ワークフロー]で、 [プロビジョニングを有効にする]を選択します。
ユーザーの作成、削除、または更新に管理者の承認が必要かどうかを構成します。
注:
Databricks では、セットアップとテストが完了する前にユーザーの自動プロビジョニングがトリガーされないように、初期の安全策としてすべての操作に対して管理者の承認を有効にすることをお勧めします。 プロビジョニングが期待どおりに機能していることをテストして検証した後、これらの設定を構成して管理者の承認を上書きできます。
OneLogin からユーザーが削除されたときの Databricks の動作を構成します。
何もしない場合、 Databricks 内のユーザーは変更されません。
一時停止すると、 Databricks でユーザーが無効になります。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。
「削除」は、 Databricks 内のユーザーを削除し、ユーザーのリソースをアーカイブします。 これは元に戻せません。
OneLogin でユーザーが停止された場合の Databricks の動作を構成します。
何もしない場合、 Databricks 内のユーザーは変更されません。
一時停止すると、 Databricks でユーザーが無効になります。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。
[権利]の下で、 [更新] をクリックします。 OneLogin では、グループはエンタイトルメントと呼ばれます。 これにより、Databricks から OneLogin にグループがインポートされます。 OneLogin 権限を Databricks にインポートすることはサポートされていません。
「保存」をクリックします。
引き続きOneLogin を使用して Databricks のユーザーとグループを管理し、 Databricks アカウントにユーザーとグループをプロビジョニングします。
OneLogin (レガシー) を使用してワークスペース レベルの SCIM プロビジョニングを設定する
プレビュー
この機能はパブリックプレビュー段階です。
これらの手順に従う場合は、1 つのブラウザー タブでDatabricks管理設定ページにログインし、別のブラウザー タブで OneLogin 管理コンソールにログインします。
Databricks個人用アクセストークンを生成する
Databricksワークスペース管理者として、個人用アクセストークンを生成します。 トークン管理を参照してください。 個人用アクセストークンを安全な場所に保管してください。 OneLogin はこの個人用アクセストークンを使用してDatabricksへの認証を行います。
重要
この個人用アクセストークンを所有するユーザーは、OneLogin 内で管理してはなりません。 そうしないと、OneLogin からユーザーを削除すると、SCIM 統合が中断されます。
OneLogin SCIMアプリを設定する
スーパーユーザーまたはアカウント所有者として OneLogin にログインし、OneLogin 管理コンソールを起動します。
「 アプリケーション 」に移動し、「 アプリの追加」をクリックします。
SCIM Provisioner with SAML (SCIM v2 Core)を検索して選択します。
「 保存」をクリックします。 新しい構成タブが左側に表示されます。
「構成」をクリックします。
Databricks サブドメインに
https://<databricks-instance>/api/2.0/preview/scim/v2と入力します。<databricks-instance>を Databricks デプロイメントのワークスペース URLに置き換えます。 「ワークスペース オブジェクトの識別子を取得する」を参照してください。SCIM Bearer トークンフィールドに、 Databricks個人アクセス トークンを入力します。
[API 接続]の下で、 [有効化]をクリックします。 アプリケーションは Databricks に対して認証します。
ログオンを有効にして構成するには、「ドア」に移動します。
[ワークフロー]で、 [プロビジョニングを有効にする]を選択します。
ユーザーの作成、削除、または更新に管理者の承認が必要かどうかを構成します。
注:
Databricks では、セットアップとテストが完了する前にユーザーの自動プロビジョニングがトリガーされないように、初期の安全策としてすべての操作に対して管理者の承認を有効にすることをお勧めします。 プロビジョニングが期待どおりに機能していることをテストして検証した後、これらの設定を構成して管理者の承認を上書きできます。
OneLogin からユーザーが削除されたときの Databricks の動作を構成します。
何もしない場合、 Databricks 内のユーザーは変更されません。
一時停止すると、 Databricks でユーザーが無効になります。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。
「削除」は、 Databricks 内のユーザーを削除し、ユーザーのリソースをアーカイブします。 これは元に戻せません。
OneLogin でユーザーが停止された場合の Databricks の動作を構成します。
何もしない場合、 Databricks 内のユーザーは変更されません。
一時停止すると、 Databricks でユーザーが無効になります。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。
[権利]の下で、 [更新] をクリックします。 OneLogin では、グループはエンタイトルメントと呼ばれます。 これにより、Databricks から OneLogin にグループがインポートされます。 OneLogin 権限を Databricks にインポートすることはサポートされていません。
「保存」をクリックします。
引き続きOneLogin を使用して Databricks のユーザーとグループを管理し、Databricks ワークスペースでユーザーとグループをプロビジョニングします。
OneLoginを使用してDatabricksのユーザーとグループを管理する
このセクションでは、OneLogin を使用して Databricks アカウントまたはワークスペースのユーザーとグループを管理する方法について説明します。
Databricks ワークスペース ユーザーにグループを割り当てる
Databricks で Databricks グループを作成し、それらを OneLogin フィールドと同期させるためのマッピングを作成する必要があります。 OneLogin を使用して Databricks にグループを追加することはできません。
OneLogin で、タブに移動します。
[オプション]の下で、 [グループ]をクリックします。
[プロビジョニング] タブ (上記) で [更新] をクリックしたときに、すべてのグループ名が Databricks から[値]フィールドに正常にインポートされたことを確認し、 [ユーザー プロビジョニングに含める]フラグを選択します。
[保存]をクリックします。
属性マッピングを構成したら、Databricks ユーザーをプロビジョニングするときにグループを割り当てることができます。 グループ値を割り当てるには、OneLogin SCIM プロビジョニング アプリのユーザー ログイン レコードで手動で値を選択します。 OneLogin SCIM プロビジョニング アプリの[ユーザー]タブで、編集するユーザーを選択します。
OneLogin ルール (マッピング) を使用して、OneLogin ロールなどの別の OneLogin 属性に基づいて、ユーザーを Databricks グループに自動的に割り当てることもできます。 たとえば、OneLogin ロール「Finance」のすべてのユーザーをDatabricks の「finance」グループに配置するには、次のスクリーンショットのように、OneLoginSCIM アプリの [ルール] タブに移動し、条件 Roles – include – Finance とアクション Set Group inDatabricks to – finance で 新しいルール を作成します。
これで、OneLogin の「Finance」ロールと OneLogin SCIM プロビジョニング アプリにユーザーを追加するたびに、権限マッピングを再適用すると、そのユーザーに Databricks の「finance」グループが割り当てられるようになります。
OneLogin ワークスペース レベルの SCIM プロビジョニング アプリのadminsグループに追加されたユーザーは、Databricks ワークスペース管理者になります。
グループの割り当てを削除または更新する
グループの割り当てを削除または更新するには、OneLogin SCIM プロビジョニング アプリの[ユーザー]タブに移動し、編集するユーザーを選択します。 グループ フィールド、カスタム IAM ロール フィールド、またはカスタム権限フィールドの現在の選択を削除または上書きします。
OneLogin ロールなどの OneLogin 属性に基づいてユーザーにグループを割り当てるルールを設定している場合は、ユーザーからその属性を削除します (たとえば、OneLogin ロールからユーザーを削除します)。 また、その OneLogin ロールのユーザーにグループ、IAM ロール、または権限を割り当てるルールを変更することもできます。
OneLogin のadminsグループからユーザーを削除し、その変更が Databricks に同期されると、そのユーザーは Databricks ワークスペース管理者ではなくなります。
重要
OneLogin SCIM プロビジョニング アプリを設定した管理者を削除しないでください。また、その管理者をadminsグループから削除しないでください。 そうしないと、SCIM 統合は Databricks に対して認証できません。
同期をトリガーする
OneLogin SCIM プロビジョニング アプリに移動し、 [その他のアクション] -> [ログインの同期]を選択すると、OneLogin ユーザーと Databricks ユーザーの同期を手動でトリガーできます。 ユーザーがアプリに割り当てられると、そのユーザーは Databricks アカウントまたはワークスペースに追加されます。 ただし、その逆は当てはまりません。Databricks アカウントまたはワークスペースで作成されたユーザーは、OneLogin SCIM プロビジョニング アプリに追加されません。
Databricksアカウントまたはワークスペースから OneLogin にユーザーを手動で同期するには、 Databricksまたはワークスペースのユーザーと同じユーザー名と電子メール アドレスを持つユーザーを OneLogin に作成し、そのユーザーを OneLogin のアプリに割り当てます。
ユーザーの削除
OneLogin でユーザーを削除すると、OneLogin によってそのユーザーが Databricks アカウントまたはワークスペースから非アクティブ化されます。
重要
OneLogin SCIM プロビジョニング アプリを構成した管理者を Databricks またはadminsグループから削除しないでください。 そうしないと、SCIM 統合は Databricks に対して認証できません。
ユーザーを非アクティブ化するには、複数の方法があります。
OneLoginからユーザーを削除または一時停止します。
OneLogin SCIM プロビジョニング アプリの[ユーザー]タブに移動し、ユーザーを選択して[削除]ボタンをクリックし、アプリからユーザーを手動で削除します。
OneLogin ロールなどの OneLogin 属性に基づいてユーザーをアプリに割り当てるルールを設定した場合は、その属性をユーザーから削除します (たとえば、OneLogin ロールからユーザーを削除します)。 ユーザーが割り当てられている OneLogin ロールから Databricks アプリを削除することもできます (これにより、ロール内のすべてのユーザーの Databricks がプロビジョニング解除されます)。
注:
アカウント レベルの SCIM アプリケーションからユーザーを削除すると、ID フェデレーションが有効になっているかどうかに関係なく、そのユーザーはアカウントとワークスペースから非アクティブ化されます。
OneLogin で管理されているユーザーを Databricks ワークスペースで直接削除した場合、そのユーザーは OneLogin SCIM プロビジョニング アプリでアクティブなままになります。 OneLogin SCIM プロビジョニング アプリからユーザーを削除しようとすると、そのユーザーはワークスペース内ですでに削除されているため、削除は失敗します。
OneLoginを使用して権限とIAMロールを管理する
Databricks 、OneLogin のワークスペース レベルのDatabricksアプリケーションからの IAM ロールおよびワークスペース 権限の割り当てをサポートしています。 OneLogin のアカウント レベルの Databricks アプリケーションでは、ロールと権限の割り当てはサポートされていません。 OneLogin から IAM ロールとワークスペースの権限を割り当てる場合は、そのワークスペースに対して OneLogin でワークスペース レベルのDatabricksアプリケーションを作成する必要があります。
Databricks では、代わりに OneLogin のアカウント レベルの Databricks アプリケーションを使用して、ユーザーとグループをアカウント レベルでプロビジョニングすることをお勧めします。 ID フェデレーションを使用してユーザーとグループをワークスペースに割り当て、 Databricks内でその権限と IAM ロールを管理します。
Databricks 属性を OneLogin 属性にマッピングする
OneLogin から IAM ロールと権限を管理するには、まずマッピングを作成して、 Databricksの IAM ロールと権限を Apple ユーザーの OneLogin フィールドと同期させる必要があります。
OneLoginで、[ ユーザ]>[カスタムユーザフィールド ]に移動し、2つのカスタムフィールドを作成します。
1 つはユーザーのallow-cluster-create 権限を保持します。 この例では、これを
databricksEntitlementsという名前を付けます。ユーザーのDatabricks IAM ロールを保持するもの。 この例では、これを
IAM Roleという名前を付けます。
これらのフィールドを作成したら、OneLogin ユーザー レコードのカスタム フィールド セクションで任意のユーザーの IAM ロールと
allow-cluster-create権限を指定できます。OneLogin SCIM プロビジョニング アプリに戻り、 [パラメーター]タブに移動して、資格、グループ、およびロール属性 (すべてオプション) をマップします。
フィールド名をクリックすると編集ダイアログが開き、OneLogin フィールド (値) を Databricks フィールドにマップするように設定できます。
権限:値を、ステップ 1 で作成したカスタム ユーザー フィールドに設定します。
役割:値を、ステップ 1 で作成したカスタム ユーザー フィールドに設定します。
[保存]をクリックします。
追加の IAM ロールまたは権限を割り当てるには、この手順を繰り返します。
Databricksワークスペース ユーザーに IAM ロールと権限を割り当てる
カスタム ユーザー フィールドを作成し、属性マッピングを構成したら、 Databricksユーザーに IAM ロールと権限を割り当てることができます。
ユーザー レコード ( [ユーザー] > [すべてのユーザー] > ) の権限と IAM ロールのカスタム <username>フィールドに値を入力すると、ユーザーを にリダイレクトするときに権限と IAM ロールが自動的に追加されます。DatabricksOneLogin ルール (マッピング) を使用して、OneLogin ロールなどの別の OneLogin 属性に基づいて、IAM ロールと権限を自動的に割り当てることもできます。
OneLoginSCIM アカウント アプリの 「ユーザー」 タブに移動し、編集するユーザーを選択すると、IAMロールまたは権限の割り当てを削除または更新できます。カスタム IAMroll フィールドまたはカスタム資格フィールドの現在の選択を削除または上書きします。 OneLogin 属性に基づいて IAM ロールまたは権限をユーザーに割り当てるルールを設定している場合は、その属性をユーザーから削除します。 また、その OneLogin ロールのユーザーに IAM ロールまたは権限を割り当てるルールを変更することもできます。
トラブルシューティングとヒント
プロビジョニングのセットアップ前に Databricks に存在していたユーザー:
OneLogin にすでに存在する場合は、自動的に OneLogin ユーザーにリンクされ、電子メール アドレス (ユーザー名) に基づいて照合されます。
既存のユーザーに手動でリンクするか、自動的に一致しない場合はOneLoginで新しいユーザーとして作成できます。
個別に割り当てられ、グループのメンバーシップを通じて複製されたユーザー権限は、ユーザーのグループ メンバーシップが削除された後も残ります。
Databricksワークスペースから削除されたユーザーはそのワークスペースにアクセスできなくなりますが、他のDatabricksワークスペースには引き続きアクセスできる場合があります。
Databricks で Databricks グループを作成する必要があります。OneLogin を使用してグループを追加することはできません。
Databricksユーザー名と電子メール アドレスを更新することはできません。
