Databricks アカウント コンソール で SSO を設定する
この記事では、組織の ID プロバイダーを使用してアカウント コンソールと Databricks ワークスペースに対して認証するようにシングル サインオン (SSO) を構成する方法について説明します。
SSO セットアップ の概要
SSO では、SAML 2.0 または OpenID Connect (OIDC) のいずれかの使用がサポートされています。 ID プロバイダー (IdP) は、これらのプロトコルの少なくとも 1 つをサポートしている必要があります。
アカウントコンソールでSSOを有効にしたら、 統合ログインを有効にすることを選択できます。 統合ログインを使用すると、アカウントと Databricks ワークスペースに使用されるアカウント内の 1 つの SSO 構成を管理できます。 アカウントが 2023 年 6 月 21 日以降に作成された場合、新規および既存のすべてのワークスペースに対して、デフォルトによってアカウントで統合ログインが有効になり、無効にすることはできません。 詳細については、「 統合ログインを有効にする」を参照してください。
統合ログインが無効になっているワークスペースでは、ワークスペース レベルの SSO を個別に構成する必要があります。 詳細については、「 ワークスペースの SSO を設定する」を参照してください。
以下のIDプロバイダーへのSSOを構成する方法についての手順を確認することができます。
このプロセスは、OIDC または SAML 2.0 をサポートするすべての ID プロバイダーでも同様です。 ID プロバイダーが上記にない場合は、 以下の OIDC または SAML の手順に従ってください。
OIDCを使用したアカウントのシングルサインオン認証を有効にする
警告
シングルサインオンのテスト中にDatabricksからロックアウトされないように、Databricksはアカウントコンソールを別のブラウザウィンドウで開いたままにしておくことを推奨しています。
アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。
「シングルサインオン」タブをクリックします。
このタブの上部にあるドロップダウンから、「OpenID Connect」を選択します。
「シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。
IDプロバイダーに移動し、新しいクライアントアプリケーション(Web)を作成して、IDプロバイダー構成インターフェイスの適切なフィールドにDatabricksリダイレクトURIの値を入力します。
IDプロバイダーがこのプロセスを説明するドキュメントを用意しているはずです。
IDプロバイダーがアプリケーション用に生成したクライアントID、クライアントシークレット、OpenID発行者URLをコピーします。
クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。これは、アプリケーションIDと呼ばれることもあります。
クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。
OpenID発行者URLは、IDプロバイダーのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、
{issuer-url}/.well-known/openid-configuration
にある必要があります。
Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。
「保存」をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
すべてのアカウント ユーザーに、ID プロバイダーの Databricks アプリケーションへのアクセス権を付与します。 アプリケーションのアクセス許可の変更が必要な場合があります。
SAMLを使用したアカウントのシングルサインオン認証を有効にする
次の手順では、SAML 2.0 を使用してアカウントコンソールユーザーを認証する方法について説明します。
警告
シングルサインオンのテスト中にDatabricksからロックアウトされないように、Databricksはアカウントコンソールを別のブラウザウィンドウで開いたままにしておくことを推奨しています。
アカウントコンソールのSSOページを表示し、SAML URLをコピーします。
アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。
「シングルサインオン」タブをクリックします。
このタブの上部にあるドロップダウンから、「SAML 2.0」を選択します。
Databricks リダイレクト URIフィールドの値をコピーします。 後のステップでは Databricks SAML URL が必要になります。
別のブラウザウィンドウまたはタブを開き、IDプロバイダーでDatabricksアプリケーションを作成します。
IDプロバイダー(IdP)に移動します。
新しいクライアントアプリケーション(Web)を作成します。
必要に応じて、IDプロバイダーのドキュメントを使用してください。
SAML URLフィールド(リダイレクトURLと呼ばれる場合もあります)には、DatabricksページからコピーしたDatabricks SAML URLを使用します。
新しいDatabricksアプリケーションから以下のオブジェクトとフィールドをコピーします。
x.509証明書:DatabricksとIDプロバイダー間の通信を保護するためにIDプロバイダーから提供されるデジタル証明書
IDプロバイダーのシングルサインオン(SSO)URL :これはIDプロバイダーとのシングルサインオンを開始するURLです。SAMLエンドポイントと呼ばれることもあります。
IDプロバイダー発行者:これはSAML IDプロバイダーの一意の識別子です。エンティティIDまたは発行者URLと呼ばれることもあります。
IDプロバイダーを使用するようにDatabricksアカウントを設定します。
ブラウザタブまたはウィンドウに戻り、DatabricksアカウントコンソールのSSOページを表示します。
IDプロバイダーのDatabricksアプリケーションから、シングルサインオンURL、IDプロバイダーのエンティティID、x.509証明書のフィールドを入力または貼り付けます。
「保存」をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
すべてのアカウント ユーザーに、ID プロバイダーの Databricks アプリケーションへのアクセス権を付与します。 アプリケーションのアクセス許可の変更が必要な場合があります。
統合ログイン を有効にする
プレビュー
統合ログインは現在、2023 年 6 月 21 日より前に作成されたアカウントの パブリック プレビュー 段階にあります。 統合ログインは、2023 年 6 月 21 日以降に作成されたアカウントで 一般提供されています 。
統合ログインを使用すると、アカウントと Databricks ワークスペースに使用されるアカウントの 1 つの SSO 構成を管理できます。 アカウントで SSO が有効になっている場合は、すべてのワークスペースまたは選択したワークスペースに対して統合ログインを有効にすることを選択できます。 統合ログイン ワークスペースはアカウント レベルの SSO 構成を使用し、アカウント管理者とワークスペース管理者を含むすべてのユーザーは、SSO を使用して Databricks にサインインする必要があります。 統合ログインが有効なワークスペースのワークスペースレベルで SSO を個別に管理することはできません。 Databricks では、すべてのワークスペースに対して統合ログインを構成することをお勧めします。
アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してデフォルトで有効になり、無効にすることはできません。
統合ログインを有効にするには、アカウントコンソールまたはワークスペース管理設定ページを使用します。
アカウントコンソール を使用した統合ログインの有効化
統合ログインを有効にするには、アカウントで SSO を有効にする必要があります。
アカウント管理者として、 アカウントコンソール にログインし、サイドバーの [設定 ]アイコンをクリックします。
「シングルサインオン」タブをクリックします。
統合ログインで、[開始する] をクリックします。
すべてのワークスペースユーザーが、アカウントレベルの SSO 設定で ID プロバイダーにアクセスできることを確認します。 [ 確認] をクリックします。
統合ログインを [すべてのワークスペース ] または [ 選択したワークスペース] のどちらに適用するかを選択します。 Databricks では、すべてのワークスペースに対して統合ログインを有効にすることをお勧めします。
[ 選択したワークスペース] を選択した場合は、新しく作成したワークスペースに設定を適用することを選択し、設定を適用する既存のワークスペースを選択します。
「 保存」をクリックします。
ワークスペース管理設定ページ を使用した統合ログインの有効化
アカウント管理者が選択したワークスペースで統合ログインを有効にしている場合、ワークスペース管理者は自分のワークスペースで統合ログインを有効にできます。 すべてのワークスペースで統合ログインが有効になっている場合、シングルサインオン構成はワークスペースレベルでは使用できません。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[ ID とアクセス ] タブをクリックします。
SSO設定の横にある[管理]をクリックします。
[統合ログイン] の横にある [有効にする] をクリックします。
統合ログインへのアップグレード
ワークスペースレベルの SSO が構成されている既存のワークスペースで統合ログインを有効にする場合は、次の手順を実行します。
アカウントでシングル サインオンを構成します。
ワークスペース内のユーザーが ID プロバイダーのアカウントレベルの SSO アプリケーションにアクセスできることを確認します。
アカウント レベルの SSO アプリケーションへのアクセス権をユーザーに付与しても、Databricks での追加のアクセス権は付与されません。 すべての Databricks ワークスペース ユーザーは、自動的に Databricks アカウントのユーザーになります。 「 管理者がアカウントにユーザーを割り当てる方法」を参照してください。
「統合ログインを有効にする」に従って、ワークスペースで 統合ログインを構成します。
ワークスペース ユーザーにサインインして、ワークスペースで SSO をテストします。
ID プロバイダーでワークスペースレベルの SSO アプリケーションを使用停止にします。
アカウントサインインプロセス
アカウントレベルの SSO が有効になっている場合、サインイン動作は次のようになります。
管理者を含むすべてのユーザーは、シングル サインオンを使用して Databricks アカウントと統合ログイン対応ワークスペースにサインインする必要があります。 ユーザー名とパスワードを使用してサインインすることはできません。
注:
アカウントが 2023 年 6 月 21 日より前に作成された場合、アカウント所有者はユーザー名とパスワードを使用して Databricks アカウントにログインできます。
アカウント管理者は、ユーザー名とパスワードを使用して、アカウントレベルのREST APIコールを行うことができます。
すべてのユーザーは、ユーザー名とパスワードを使用して、ワークスペース レベルの REST API 呼び出しを行うことができます。 Databricks では、代わりに個人用アクセストークンを使用することをお勧めします。
SSO が有効な場合のワークスペースのサインイン プロセスについては、「 ワークスペースのサインイン プロセス」を参照してください。