Databricks で SSO を構成する

このページでは、シングル サインオン (SSO) を使用してアカウント コンソールと Databricks ワークスペースに対して認証する方法の概要について説明します。ID プロバイダーからユーザーとグループを同期するには、「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

ユーザーが Eメール または一般的な外部アカウント(Google や Microsoftなど)を使用して Databricks にログインできるようにするには、「Eメールまたは外部アカウントでログインする」を参照してください。

レガシー ワークスペース レベルの SSOに関する情報については、「 ワークスペース (レガシー) の SSO を設定する」を参照してください。

SSO 設定の概要

SSO は、SAML 2.0 または OpenID Connect (OIDC) の使用をサポートします。ID プロバイダー (IdP) は、これらのプロトコルの少なくとも 1 つをサポートする必要があります。

ほとんどのアカウントでは、 統合ログイン はデフォルトで有効になっています。つまり、アカウントとすべての Databricks ワークスペースで 1 つの SSO 構成が使用されます。アカウントが 2023 年 6 月 21 日以降に作成された場合、または 2024 年 12 月 12 日より前に SSO を設定していない場合、統合ログインはすべてのワークスペースで自動的に有効になり、無効にすることはできません。

2023 年 6 月 21 日より前に作成されたアカウントで、以前にワークスペース レベルで SSO を構成していたアカウントは、デフォルトによって統合ログインが有効になっていません。 アカウント管理者は、すべてのワークスペースまたは特定のワークスペースに対して統合ログインを有効にすることができます。Databricks では、合理化された一貫性のある認証エクスペリエンスを実現するために、すべてのワークスペースで統合ログインを使用することをお勧めします。詳細については、 情報 統合ログインを有効にするを参照してください。

アカウント レベルの SSO が有効になっている場合、管理者を含むすべてのユーザーは、シングル サインオンを使用して Databricks アカウントと統合ログイン対応ワークスペースにサインインする必要があります。ロックアウトを防ぐために、アカウント管理者は最大 20 人のユーザーに緊急アクセスを設定できます。緊急アクセス対象として選択されたユーザーは、ユーザー名とパスワード、およびセキュリティキーを使用してログインできます。ロックアウトを防ぐための緊急アクセスを参照してください。

SSO を有効にした後、Databricks では、SCIM プロビジョニングを使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。

ジャストインタイム(JIT)プロビジョニングを設定して、最初のログイン時にIDプロバイダーから新しいユーザーアカウントを自動的に作成できます。「ユーザーの自動プロビジョニング (JIT)」を参照してください。

OIDC または SAML を使用して SSO を構成する方法に関する一般的な手順、またはさまざまな ID プロバイダーに関する特定の手順を読むことができます。

• OIDC を使用した SSO の構成
• SAML を使用した SSO の構成
• Microsoft Entra ID を使用した Databricks への SSO
• Oktaを使用したDatabricksへのSSO
• OneLoginを使用したDatabricksへのSSO
• AWS IAM Identity Center を使用した Databricks への SSO
• Keycloak を使用した Databricks への SSO
• JumpCloud を使用した Databricks への SSO

次のデモでは、OktaでSSOを構成する手順を説明します。

• OIDC SSO で Databricks アクセスをセキュリティで保護する
• SAML SSO で Databricks アクセスを保護する

SSO構成をテストする

SSOの設定が完了したら、ユーザーがサインインできることを確認するために設定をテストしてください。

アカウントコンソールからSSOをテストする

SSO設定時には、SSOを有効にする前に、組み込みのテスト機能を使用して設定を確認してください。

1. Databricksアカウント コンソールに ID プロバイダーの設定を入力した後、 [保存] をクリックします。
2. 「SSOをテスト」 をクリックしてください。Databricksは新しいブラウザウィンドウを開き、IDプロバイダーを使用して認証を試みます。
3. ご利用のIDプロバイダーでサインイン手続きを完了してください。
4. テスト結果を確認してください。
   • テストが成功したら、 「SSOを有効にする」 をクリックして、アカウントのシングルサインオンを有効にしてください。
   • テストが失敗した場合は、エラーメッセージを確認し、IDプロバイダーの設定を確認してください。OIDC SSO のトラブルシューティング、またはSAML SSO のトラブルシューティングを参照してください。

テストアカウントコンソールへのログイン

SSOを有効にした後、ユーザーがアカウントコンソールにサインインできることを確認してください。

1. 新しいブラウザウィンドウを開くか、プライベート/シークレットセッションを開いてください。
2. アカウントコンソールに移動します。
3. テスト ユーザーの電子メール アドレスを入力します。 お使いのブラウザは、IDプロバイダーのサインインページにリダイレクトされます。
4. サインインの手順を完了してください。認証が完了すると、Databricksはアカウントコンソールにリダイレクトします。
5. 上部のバーにあるユーザー名をクリックして、正しいユーザーがログインしていることを確認してください。

テストワークスペースへのログイン

統合ログインが有効になっている場合は、ワークスペースへのアクセスでSSOが機能することを確認してください。

1. 新しいブラウザウィンドウを開くか、プライベート/シークレットセッションを開いてください。
2. ワークスペースのURLにアクセスしてください。お使いのブラウザは、IDプロバイダーのサインインページにリダイレクトされます。
3. テストユーザーのメールアドレスを入力し、サインイン手順を完了してください。
4. 認証が完了すると、Databricksはワークスペースにリダイレクトします。
5. ワークスペース上部のバーにあるユーザー名をクリックして、ユーザーの身元を確認してください。

統合ログインの設定については、 「統合ログインを有効にする」を参照してください。

テスト失敗のトラブルシューティング

SSOテストが失敗した場合は、以下を試してください。

• ID プロバイダーの設定 : リダイレクト URL、クライアント ID、クライアント シークレット (OIDC の場合)、または x.509 証明書 (SAML の場合) が正しいことを確認してください。

• ユーザーアクセス権限の確認 ：テストユーザーが、ご利用のIDプロバイダーでDatabricksアプリケーションに割り当てられていることを確認してください。

• エラーメッセージを確認してください 。具体的なエラーコードについては、 「OIDC SSO のトラブルシューティング」または「SAML SSO のトラブルシューティング」を参照してください。

• ロックアウト防止 ：SSOを有効にする前に、少なくとも1人の管理者ユーザーに対して緊急アクセスを設定してください。鍵の紛失を防ぐための緊急アクセスについては、「緊急アクセス」を参照してください。

• プライベートブラウザウィンドウを使用してください 。キャッシュされた認証情報がテストに干渉しないように、シークレットモードまたはプライベートセッションでテストしてください。

• ブラウザのコンソールログを確認する ：ブラウザの開発者ツールを開き、サインインフロー中に発生したリダイレクトやネットワークエラーを探します。

SSO のエラーのトラブルシューティングについては、以下を参照してください。

• OIDC SSO のトラブルシューティング
• SAML SSO のトラブルシューティング