OIDC を使用してアカウント SSO を構成する

この記事では、OIDC を使用してアカウント コンソールと Databricks ワークスペースに認証するためのシングル サインオン (SSO) の一般的な構成方法について説明します。 次の ID プロバイダーに対して OIDC を使用して SSO を構成する方法に関する具体的な手順も参照してください。

• Microsoft Entra ID (旧 Azure Active Directory)

• Okta(オクタ)

• 1回のログイン

アカウントでのシングル サインオンの概要については、 Databricks アカウント コンソールの SSOを参照してください。

OIDCを使用したアカウントのシングルサインオン認証を有効にする

警告

シングル サインオンのテスト中にDatabricksからロックアウトされないようにするには、アカウントDatabricksを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。 「 緊急アクセスの構成」を参照してください。

1. アカウント管理者としてアカウント コンソールにログインし、サイドバーの設定アイコンをクリックします。

2. 「シングルサインオン」タブをクリックします。

3. このタブの上部にあるドロップダウンから、「OpenID Connect」を選択します。

4. Databricks リダイレクト URIフィールドの値をコピーします。

5. IDプロバイダーに移動し、新しいクライアントアプリケーション（Web）を作成して、IDプロバイダー構成インターフェイスの適切なフィールドにDatabricksリダイレクトURIの値を入力します。

   IDプロバイダーがこのプロセスを説明するドキュメントを用意しているはずです。

6. IDプロバイダーがアプリケーション用に生成したクライアントID、クライアントシークレット、OpenID発行者URLをコピーします。

   • クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。これは、アプリケーションIDと呼ばれることもあります。

   • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

   • OpenID発行者URLは、IDプロバイダーのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、{issuer-url}/.well-known/openid-configurationにある必要があります。

7. Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。

   

8. [保存]をクリックします。

9. 「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

10. 「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

11. SSOを使用したアカウントコンソールログインをテストします。

12. すべてのアカウント ユーザーに、ID プロバイダー内の Databricks アプリケーションへのアクセス権を付与します。 アプリケーションのアクセス許可の変更が必要な場合があります。

統合ログインの構成

アカウント コンソールで SSO を有効にしたら、Databricks では統合ログインを有効にすることをお勧めします。 統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してアカウントでデフォルトで有効になっており、無効にすることはできません。 統合ログインを構成するには、「 統合ログインを有効にする」を参照してください。