OneLogin のSCIMを設定する
この記事では、Onelogin を使用して Databricks プロビジョニングを設定する方法について説明します。
Databricks では、ユーザー、サービスプリンシパル、およびグループをアカウント レベルにプロビジョニングし、 ID フェデレーションを使用してユーザーとグループをワークスペースに割り当てることをお勧めします。
ユーザーが OneLogin を使用してログインするには、OneLogin から Databricks へのシングル サインオンを構成する必要があります。 「Databricks で SSO を構成する」を参照してください。
要件
Databricks アカウントにはPremium プラン以上が必要です。
Databricks アカウント管理者である必要があります。
OneLogin アカウントはプロビジョニングをサポートしている必要があります。
OneLogin アカウントのスーパーユーザーまたはアカウント所有者である必要があります。
Databricks では、OneLogin の記事「 ユーザーのプロビジョニングとプロビジョニング解除とは何ですか?」をお読みになることをお勧めします。
OneLogin を使用してユーザーが Databricks にログインできるようにシングル サインオンを構成します。 「Databricks で SSO を構成する」を参照してください。
OneLogin を使用してアカウントレベルのSCIMセキュリティを設定する
このセクションでは、OneLogin SCIM コネクタを構成して、ユーザーとグループをアカウントにプロビジョニングする方法について説明します。
SCIMで トークンとアカウントSCIM URL を取得するDatabricks
アカウント管理者として、Databricksアカウント コンソールにログインします。
「 設定 」をクリックします 。
[ユーザープロビジョニング]をクリックします。
[ユーザー プロビジョニングの設定] をクリックします。
SCIM トークンとアカウント SCIM URL をコピーします。 これらを使用して、OneLoginでコネクタを構成します。
注:
SCIMトークンはアカウントSCIM API /api/2.1/accounts/{account_id}/scim/v2/
に制限されており、他のDatabricks REST APIsへの認証には使用できません。
OneLogin SCIMアプリを設定する
スーパーユーザーまたはアカウント所有者として OneLogin にログインし、OneLogin 管理コンソールを起動します。
「 アプリケーション 」に移動し、「 アプリの追加」をクリックします。
SCIM Provisioner with SAML (SCIM v2 Core)を検索して選択します。
「 保存」をクリックします。 新しい構成タブが左側に表示されます。
「構成」をクリックします。
Databricks サブドメインに、アカウント SCIM URL を入力します。
SCIM Bearer トークンフィールドに、 Databricks個人アクセス トークンを入力します。
[API 接続]の下で、 [有効化]をクリックします。 アプリケーションは Databricks に対して認証します。
ログオンを有効にして構成するには、「ドア」に移動します。
[ワークフロー]で、 [プロビジョニングを有効にする]を選択します。
ユーザーの作成、削除、または更新に管理者の承認が必要かどうかを構成します。
注:
Databricks では、セットアップとテストが完了する前にユーザーの自動プロビジョニングがトリガーされないように、初期の安全策としてすべての操作に対して管理者の承認を有効にすることをお勧めします。 プロビジョニングが期待どおりに機能していることをテストして検証した後、これらの設定を構成して管理者の承認を上書きできます。
OneLogin からユーザーが削除されたときの Databricks の動作を構成します。
何もしない場合、 Databricks 内のユーザーは変更されません。
一時停止すると、 Databricks でユーザーが無効になります。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。
「削除」は、 Databricks 内のユーザーを削除し、ユーザーのリソースをアーカイブします。 これは元に戻せません。
OneLogin でユーザーが停止された場合の Databricks の動作を構成します。
何もしない場合、 Databricks 内のユーザーは変更されません。
一時停止すると、 Databricks でユーザーが無効になります。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。
[権利]の下で、 [更新] をクリックします。 OneLogin では、グループはエンタイトルメントと呼ばれます。 これにより、Databricks から OneLogin にグループがインポートされます。 OneLogin 権限を Databricks にインポートすることはサポートされていません。
「保存」をクリックします。
引き続きOneLogin を使用して Databricks のユーザーとグループを管理し、 Databricks アカウントにユーザーとグループをプロビジョニングします。
OneLoginを使用してDatabricksのユーザーとグループを管理する
このセクションでは、OneLogin を使用して Databricks アカウントのユーザーとグループを管理する方法について説明します。
Databricks ワークスペース ユーザーにグループを割り当てる
Databricks で Databricks グループを作成し、それらを OneLogin フィールドと同期させるためのマッピングを作成する必要があります。 OneLogin を使用して Databricks にグループを追加することはできません。
OneLogin で、タブに移動します。
[オプション]の下で、 [グループ]をクリックします。
[プロビジョニング] タブ (上記) で [更新] をクリックしたときに、すべてのグループ名が Databricks から[値]フィールドに正常にインポートされたことを確認し、 [ユーザー プロビジョニングに含める]フラグを選択します。
[保存]をクリックします。
属性マッピングを構成したら、Databricks ユーザーをプロビジョニングするときにグループを割り当てることができます。 グループ値を割り当てるには、OneLogin SCIM プロビジョニング アプリのユーザー ログイン レコードで手動で値を選択します。 OneLogin SCIM プロビジョニング アプリの[ユーザー]タブで、編集するユーザーを選択します。
OneLogin ルール (マッピング) を使用して、OneLogin ロールなどの別の OneLogin 属性に基づいて、ユーザーを Databricks グループに自動的に割り当てることもできます。 たとえば、OneLogin ロール「Finance」のすべてのユーザーをDatabricks の「finance」グループに配置するには、次のスクリーンショットのように、OneLoginSCIM アプリの [ルール] タブに移動し、条件 Roles – include – Finance とアクション Set Group inDatabricks to – finance で 新しいルール を作成します。
これで、OneLogin の「Finance」ロールと OneLogin SCIM プロビジョニング アプリにユーザーを追加するたびに、権限マッピングを再適用すると、そのユーザーに Databricks の「finance」グループが割り当てられるようになります。
グループの割り当てを削除または更新する
グループの割り当てを削除または更新するには、OneLogin SCIM プロビジョニング アプリの[ユーザー]タブに移動し、編集するユーザーを選択します。 グループ フィールド、カスタム IAM ロール フィールド、またはカスタム権限フィールドの現在の選択を削除または上書きします。
OneLogin ロールなどの OneLogin 属性に基づいてユーザーにグループを割り当てるルールを設定している場合は、ユーザーからその属性を削除します (たとえば、OneLogin ロールからユーザーを削除します)。 また、その OneLogin ロールのユーザーにグループ、IAM ロール、または権限を割り当てるルールを変更することもできます。
同期をトリガーする
OneLogin SCIM プロビジョニング アプリに移動し、[ その他のアクション] > [同期ログイン] を選択することで、OneLogin ユーザーと Databricks ユーザーの同期を手動でトリガーできます。 ユーザーがアプリに割り当てられている場合、そのユーザーは Databricks アカウントに追加されます。 ただし、その逆は当てはまらず、Databricks アカウントで作成されたユーザーは OneLogin SCIM プロビジョニング アプリに追加されません。
DatabricksアカウントのユーザーをOneLoginに手動で同期するには、Databricksアカウントのユーザーと同じユーザー名とEメールアドレスでOneLoginにユーザーを作成し、OneLoginでアプリに割り当てます。
ユーザーの削除
OneLogin でユーザーを削除すると、OneLogin は Databricks アカウントからそのユーザーを非アクティブ化します。
重要
OneLogin SCIM プロビジョニング アプリを構成した管理者を Databricks またはadmins
グループから削除しないでください。 そうしないと、SCIM 統合は Databricks に対して認証できません。
ユーザーを非アクティブ化するには、複数の方法があります。
OneLoginからユーザーを削除または一時停止します。
OneLogin SCIM プロビジョニング アプリの[ユーザー]タブに移動し、ユーザーを選択して[削除]ボタンをクリックし、アプリからユーザーを手動で削除します。
OneLogin ロールなどの OneLogin 属性に基づいてユーザーをアプリに割り当てるルールを設定した場合は、その属性をユーザーから削除します (たとえば、OneLogin ロールからユーザーを削除します)。 ユーザーが割り当てられている OneLogin ロールから Databricks アプリを削除することもできます (これにより、ロール内のすべてのユーザーの Databricks がプロビジョニング解除されます)。
注:
アカウント レベルの SCIM アプリケーションからユーザーを削除すると、ID フェデレーションが有効になっているかどうかに関係なく、そのユーザーはアカウントとワークスペースから非アクティブ化されます。
OneLogin で管理されているユーザーを Databricks で直接削除しても、そのユーザーは OneLogin SCIM プロビジョニング アプリでアクティブなままになります。 OneLogin SCIM プロビジョニング アプリからユーザーを削除しようとすると、ユーザーは既に Databricks で削除されているため、試行は失敗します。
トラブルシューティングとヒント
プロビジョニングのセットアップ前に Databricks に存在していたユーザー:
OneLogin にすでに存在する場合は、自動的に OneLogin ユーザーにリンクされ、電子メール アドレス (ユーザー名) に基づいて照合されます。
既存のユーザーに手動でリンクするか、自動的に一致しない場合はOneLoginで新しいユーザーとして作成できます。
個別に割り当てられ、グループのメンバーシップを通じて複製されたユーザー権限は、ユーザーのグループ メンバーシップが削除された後も残ります。
Databricks で Databricks グループを作成する必要があります。OneLogin を使用してグループを追加することはできません。
Databricksユーザー名と電子メール アドレスを更新することはできません。