Databricks で SSO を構成する

この記事では、組織の ID プロバイダーを使用して、アカウント コンソールと Databricks ワークスペースに対して認証を行うためにシングル サインオン (SSO) を構成する方法を説明します。 ID プロバイダーからユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。 ユーザーがDatabricks E メールまたは Google や などの一般的な外部アカウントを使用してMicrosoft にログインできるようにするには、 「E メールまたは外部アカウントを使用したサインイン」を 参照してください。

SSO 設定の概要

SSO は、SAML 2.0 または OpenID Connect (OIDC) の使用をサポートします。 ID プロバイダー (IdP) は、これらのプロトコルの少なくとも 1 つをサポートしている必要があります。

アカウントコンソールでSSOを有効にすると、 統合ログインを有効にできます。 統合ログインを使用すると、アカウントと Databricks ワークスペースに使用されるアカウント内の 1 つの SSO 構成を管理できます。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、新規および既存のすべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。 Databricks では、すべてのワークスペースで統合ログインを有効にすることをお勧めします。 詳細については、「 統合ログインを有効にする」を参照してください。

統合ログインが無効になっているワークスペースでは、ワークスペースレベルの SSO を個別に構成できます。 これは従来の構成です。 詳細については、「 ワークスペースの SSO を設定する (レガシ)」を参照してください。

アカウント レベルの SSO が有効になっている場合、ユーザー (管理者を含む) は、シングル サインオンを使用して Databricks アカウントと統合ログインが有効なワークスペースにサインインする必要があります。 ロックアウトを防ぐために、アカウント管理者は最大 20 人のユーザーの緊急アクセスを設定できます。 緊急アクセス用に選択されたユーザーは、ユーザー名とパスワード、およびセキュリティキーを使用してログインできます。 ロックアウトを防ぐための緊急アクセスを参照してください。

OIDC または SAML を使用して SSO を設定する方法に関する一般的な手順、またはさまざまな ID プロバイダーの特定の手順を読むことができます。

次のデモでは、Okta を使用した SSO の構成について説明します。

統合ログインを有効にする

統合ログインを使用すると、アカウントと Databricks ワークスペースに使用される 1 つの SSO 構成をアカウントで管理できます。 アカウントで SSO が有効になっている場合は、すべてのワークスペースまたは選択したワークスペースに対して統合ログインを有効にすることを選択できます。 統合ログイン ワークスペース は アカウント レベルのSSO 構成を使用するため、 アカウント および ワークスペース 管理者を含むすべてのユーザーはDatabricks を使用してSSO にサインインする必要があります。統合ログインが有効になっているワークスペースでは、ワークスペース レベルで SSO を個別に管理することはできません。 Databricks では、すべてのワークスペースに対して統合ログインを構成することをお勧めします。

アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、新規および既存のすべてのワークスペースでアカウントで統合ログインが有効になっており、無効にすることはできません。

アカウント コンソールまたはワークスペース管理者設定ページを使用して、統合ログインを有効にできます。

統合ログインの設定のデモについては、「 統合ログイン」を参照してください。

アカウントコンソールを使用して統合ログインを有効にする

統合ログインを有効にするには、アカウントで SSO を有効にする必要があります。

  1. アカウント管理者としてアカウント コンソールにログインし、サイドバーの設定アイコンをクリックします。

  2. 「認証」タブをクリックします。

  3. [統合ログイン] で、[統合ログインを有効にする] を選択します。

  4. 「すべてのワークスペース」または「選択したワークスペース」を選択します。Databricks では、すべてのワークスペースで統合ログインを有効にすることをお勧めします。

    ユーザーからワークスペースへのプライベート接続を構成するワークスペースでの統合ログインを有効にするには、追加の設定を構成する必要があります。 「ステップ 6: (オプション) 統合ログインを使用してフロントエンド PrivateLink を構成する」を参照してください。

    統合ログインを設定します。
  5. 保存」をクリックします。

ワークスペース管理者設定ページを使用して統合ログインを有効にする

アカウント管理者が選択したワークスペースで統合ログインを有効にした場合、ワークスペース管理者は自分のワークスペースで統合ログインを有効にできます。 すべてのワークスペースで統合ログインが有効になっている場合、ワークスペース レベルでシングル サインオン構成は使用できません。

ユーザーとワークスペースのプライベート接続を構成するワークスペースで統合ログインを有効にするには、追加のステップを構成する必要があります。 「ステップ 6: (オプション) 統合ログインを使用してフロントエンド PrivateLink を構成する」を参照してください。

  1. ワークスペース管理者として、Databrickワークスペースにログインします。

  2. Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。

  3. [IDとアクセス]タブをクリックします。

  4. SSO 設定の横にある[管理] をクリックします。

  5. [統合ログイン] の横にある [有効にする] をクリックします。

統合ログインへのアップグレード

ワークスペース レベルの SSO が構成された既存のワークスペースで統合ログインを有効にする場合は、次の手順を実行します。

  1. アカウントにシングル サインオンを設定します。

  2. ワークスペース内のユーザーが、ID プロバイダーのアカウント レベルの SSO アプリケーションにアクセスできることを確認します。

    ユーザーにアカウント レベルの SSO アプリケーションへのアクセスを許可しても、Databricks での追加アクセスは許可されません。 すべての Databricks ワークスペース ユーザーは、自動的に Databricks アカウントのユーザーになります。 「管理者はどのようにしてユーザーをアカウントに割り当てるのですか?」を参照してください。

  3. 「統合ログインを有効にする」に従って、ワークスペースで統合ログインを構成します。

  4. ワークスペース ユーザーにサインインしてもらい、ワークスペースで SSO をテストします。

  5. ID プロバイダーのワークスペース レベルの SSO アプリケーションを廃止します。