SSO to Databricks with Microsoft Entra ID (旧称 Azure Active Directory)

この記事では、Databricks アカウントでシングルサインオン (SSO) の ID プロバイダーとして Microsoft Entra ID (旧称 Azure Active Directory) を構成する方法について説明します。 Azure Active Directory では、OpenID Connect (OIDC) と SAML 2.0 の両方がサポートされています。

警告

シングルサインオンのテスト中にDatabricksからロックアウトされないように、Databricksはアカウントコンソールを別のブラウザウィンドウで開いたままにしておくことを推奨しています。

OIDCを使用したアカウントのシングルサインオン認証を有効にする

アカウント所有者またはアカウント管理者として、アカウントコンソールにログインし、サイドバーの [ 設定 ] アイコンをクリックします。
「シングルサインオン」タブをクリックします。
このタブの上部にあるドロップダウンから、「OpenID接続」を選択します。
「シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。
別のブラウザータブで、Microsoft Entra ID アプリケーションを作成します。
1. Azureポータルに管理者としてログインします。
2. [Azure サービス] ウィンドウで [Microsoft Entra ID] をクリックし、左側のプランで [アプリの登録] をクリックします。
3. 「新規登録」をクリックします。
4. 名前を入力してください。
5. 「 サポートされているアカウントタイプ 」で、「この組織ディレクトリにあるアカウントのみ」を選択します。
6. 「リダイレクトURI」で「Web」を選択し、「DatabricksリダイレクトURI」の値を貼り付けます。
7. 「登録」をクリックします。
Microsoft Entra ID アプリケーションから必要な情報を収集します。
1. 「Essentials」で、「アプリケーション（クライアント）ID」をコピーします。
2. 「エンドポイント」をクリックします。
3. 「OpenID Connectメタデータドキュメント」のURLをコピーします。
4. 左側のペインで、「証明書とシークレット」をクリックします。
5. 「+ 新しいクライアントのシークレット」をクリックします。
6. 説明を入力し、有効期限を選択します。
7. 「追加」をクリックします。
8. シークレットの値をコピーします。
Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。URLから末尾の/.well-known/openid-configurationを削除します。
「保存」をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。

SAMLを使用したアカウントのシングルサインオン認証を有効にする

以下の手順に従って、Databricksアカウントコンソールで使用するギャラリー以外のAzure ポータルSAMLアプリケーションを作成します。

アカウント所有者またはアカウント管理者として Databricks SAML URL を取得するには、アカウントコンソールにログインします。サイドバーの「設定」をクリックし、 「シングルサインオン」タブをクリックします。ピッカーからSAML 2.0を選択します。 Databricks リダイレクト URIフィールドの値をコピーします。
別のブラウザータブで、Microsoft Entra ID アプリケーションを作成します。
1. Azureポータルに管理者としてログインします。
2. [Azure サービス] ウィンドウで [Microsoft Entra ID] をクリックし、左側のプランで [エンタープライズアプリケーション] をクリックします。[すべてのアプリケーション] ウィンドウが開き、Microsoft Entra ID テナント内のアプリケーションのランダムなサンプルが表示されます。
3. 「新しいアプリケーション」をクリックします。
4. 「独自のアプリケーションの作成」をクリックします。
5. 名前を入力してください。
6. 「アプリケーションでどのような操作を行いたいですか？」で「ギャラリーに見つからないその他のアプリケーションを統合します」を選択します。
Microsoft Entra ID アプリケーションを構成します。
1. [ プロパティ] をクリックします。
2. [割り当てが必要] を [いいえ] に設定します。Databricks では、すべてのユーザーが Databricks アカウントにサインインできるこのオプションを推奨しています。ユーザーが SSO を使用して Databricks アカウントにログインするには、この SAML アプリケーションにアクセスできる必要があります。
3. アプリケーションのプロパティウィンドウで、[ シングルサインオンの設定] をクリックします。
4. 「SAML」をクリックして、アプリケーションをSAM認証用に構成します。「SAMLプロパティ」ペインが表示されます。
5. 「基本的なSAML構成」の横にある「編集」をクリックします。
6. [エンティティ ID] を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。
7. [応答 URL] を、Databricks SSO 構成ページから取得した Databricks SAML URL に設定します。
8. 「SAML署名証明書」の横にある「編集」をクリックします。
9. 「署名オプション」ドロップダウンリストで、「SAML応答とアサーションに署名」を選択します。
10. [属性と要求] で、[編集] をクリックします。
11. [一意のユーザー ID (名前 ID)] フィールドを user.mailに設定します。
12. [SAML 証明書] の [証明書 (Base64)] の横にある [ダウンロード] をクリックします。証明書は、 .cer 拡張子を持つファイルとしてローカルにダウンロードされます。
13. テキストエディターで .cer ファイルを開き、ファイルの内容をコピーします。このファイルは、Microsoft Entra ID SAML アプリケーションの x.509 証明書全体です。
  重要
  - macOSのキーチェーンを使用してファイルを開かないでください。macOSでは、このファイルタイプのデフォルトアプリケーションがmacOSのキーチェーンになっています。
  - 証明書は機密データです。ダウンロードする場所には注意してください。できるだけ早くローカルストレージから削除するようにしてください。
14. Azure ポータルの [Microsoft Entra ID SAML Toolkit のセットアップ] で、 ログイン URL と Microsoft Entra ID 識別子をコピーして保存します。
Databricks アカウントコンソールの [SSO] ページでデータブリックを構成します。オプションのフィールドの詳細については、「 SAML を使用したアカウントのシングルサインオン認証を有効にする」を参照してください。
1. 「シングルサインオン」をクリックします。
2. 「SSOタイプ」ドロップダウンをSAML 2.0に設定します。
3. シングルサインオン URL を [ログイン URL] という Microsoft Entra ID フィールドに設定します。
4. [ID プロバイダーエンティティ ID] を [Microsoft Entra ID 識別子] という [Microsoft Entra ID] フィールドに設定します。
5. x.509 証明書を、証明書の開始と終了のマーカーを含めて、Microsoft Entra ID x.509 証明書に設定します。
6. 「保存」をクリックします。
7. 「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
8. 「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
9. SSOを使用したアカウントコンソールログインをテストします。