OIDC を使用してアカウント SSO を構成する
この記事では、OIDC を使用してアカウント コンソールと Databricks ワークスペースに認証するためのシングル サインオン (SSO) の一般的な構成方法について説明します。 次の ID プロバイダーに対して OIDC を使用して SSO を構成する方法に関する具体的な手順も参照してください。
アカウントでのシングル サインオンの概要については、 Databricks アカウント コンソールの SSOを参照してください。
OIDCを使用したアカウントのシングルサインオン認証を有効にする
警告
シングル サインオンのテスト中にDatabricksからロックアウトされないようにするには、アカウントDatabricksを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。 「 緊急アクセスの構成」を参照してください。
アカウント管理者としてアカウント コンソールにログインし、サイドバーの設定アイコンをクリックします。
「シングルサインオン」タブをクリックします。
このタブの上部にあるドロップダウンから、「OpenID Connect」を選択します。
Databricks リダイレクト URIフィールドの値をコピーします。
IDプロバイダーに移動し、新しいクライアントアプリケーション(Web)を作成して、IDプロバイダー構成インターフェイスの適切なフィールドにDatabricksリダイレクトURIの値を入力します。
IDプロバイダーがこのプロセスを説明するドキュメントを用意しているはずです。
IDプロバイダーがアプリケーション用に生成したクライアントID、クライアントシークレット、OpenID発行者URLをコピーします。
クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。これは、アプリケーションIDと呼ばれることもあります。
クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。
OpenID発行者URLは、IDプロバイダーのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、
{issuer-url}/.well-known/openid-configuration
にある必要があります。
Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。
[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
すべてのアカウント ユーザーに、ID プロバイダー内の Databricks アプリケーションへのアクセス権を付与します。 アプリケーションのアクセス許可の変更が必要な場合があります。
統合ログインの構成
アカウント コンソールで SSO を有効にしたら、Databricks では統合ログインを有効にすることをお勧めします。 統合ログインを使用すると、Databricks ワークスペースでアカウント コンソールの SSO 構成を使用できます。 アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してアカウントでデフォルトで有効になっており、無効にすることはできません。 統合ログインを構成するには、「 統合ログインを有効にする」を参照してください。