Okta を使用した Databricks への SSO

この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Okta を構成する方法を説明します。 Okta は OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 Okta からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。

警告

シングル サインオンのテスト中にDatabricksからロックアウトされないようにするには、アカウントDatabricksを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。 「 緊急アクセスの構成」を参照してください。

OIDCを使用したアカウントのシングルサインオン認証を有効にする

  1. アカウント所有者またはアカウント管理者として、 アカウントコンソール にログインし、サイドバーの [ 設定 ] アイコンをクリックします。

  2. シングルサインオン」タブをクリックします。

  3. このタブの上部にあるドロップダウンから、「OpenID Connect」を選択します。

  4. シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。

  5. 新しいブラウザタブで、管理者としてOktaにログインします。

  6. ホームページで、「アプリケーション」>「アプリケーション」をクリックします。

  7. アプリ統合を作成」をクリックします。

  8. OIDC-OpenID Connect」と「Webアプリケーション」を選択し、「次へ」をクリックします。

  9. 新しいWebアプリの統合」の「サインインリダイレクトURI」で、手順4の「DatabricksリダイレクトURI」を入力します。他の設定を構成することも、デフォルト値のままにすることもできます。

  10. 保存」をクリックします。

  11. 全般」タブで、Oktaがアプリケーション用に生成したクライアントIDとクライアントシークレットをコピーします。

    • クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。

    • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

  12. サインオン」タブの「OpenID Connect IDトークン」の「発行者」フィールドにOkta URLをコピーします。

    発行者フィールドに「動的」と表示されている場合は、「編集」をクリックし、ドロップダウンで「Okta URL (url)」を選択します。

    このURLは、OktaのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、{issuer-url}/.well-known/openid-configurationにある必要があります。

  13. [ 割り当て ] タブをクリックします。 Databricks では、 Everyone という名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

  14. Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。

    すべての値が入力されたときの「シングルサインオン」タブ

  15. [保存]をクリックします。

  16. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

  17. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

  18. SSOを使用したアカウントコンソールログインをテストします。

SAMLを使用したアカウントのシングルサインオン認証を有効にする

以下の手順に従って、Databricksアカウントコンソールで使用するOkta SAMLアプリケーションを作成してください。

  1. Databricks SAML URL を取得するには、アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインします。 サイドバーの「設定」をクリックし、 「シングル サインオン」タブをクリックします。 ピッカーからSAML 2.0を選択します。 Databricks リダイレクト URIフィールドの値をコピーします。

  2. 新しいブラウザタブで、管理者としてOktaにログインします。

  3. ホームページで、「アプリケーション」>「アプリケーション」をクリックします。

  4. アプリ統合を作成」をクリックします。

  5. SAML 2.0」を選択し、「次へ」をクリックします。

  6. アプリ名」を「Databricks SSO」に設定し、「次へ」をクリックします。

  7. 以下の設定を使用してアプリケーションを構成します。

    • シングルサインオンURL:「必要な情報を収集する」のDatabricks SAML URL

    • オーディエンスURI:「必要な情報を収集する」のDatabricks SAML URL

    • 名前ID形式:EmailAddress

    • アプリケーションユーザー名:Eメールアドレス

  8. 高度な設定」をクリックします。「応答」が「署名済み」(デフォルト)に設定されていることを確認します。アサーションへの署名はオプションです。

    重要

    他の高度な設定は変更しないでください。たとえば、アサーションの暗号化は「暗号化しない」に設定する必要があります。

  9. 高度な設定を非表示にする」をクリックします。

  10. 次へ」をクリックします。

  11. 私は内部アプリを追加しているOkta顧客です」を選択します。

  12. 完了」をクリックします。Databricks SAMLアプリが表示されます。

  13. SAML 2.0はセットアップ手順を完了するまで構成されません」で「セットアップ手順を表示」をクリックします。

  14. 以下の値をコピーします。

    • IDプロバイダーのシングルサインオンURL

    • IDプロバイダーの発行者

    • x.509証明書

  15. [ 割り当て ] タブをクリックします。 Databricks では、 Everyone という名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

  16. Databricks アカウント コンソールの [SSO] ページでデータブリックを構成します。 オプションのフィールドの詳細については、「 SAML を使用したアカウントのシングルサインオン認証を有効にする 」を参照してください。

    1. シングルサインオン」をクリックします。

    2. SSOタイプドロップダウンをSAML 2.0に設定します。

    3. シングルサインオンURLを[ログインURL]というOktaフィールドに設定します。

    4. IDプロバイダーのエンティティIDを「IDプロバイダー発行者」というOktaフィールドに設定します。

    5. x.509証明書を、証明書の開始と終了のマーカーを含めて、Okta x.509証明書に設定します。

    6. [保存]をクリックします。

    7. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

    8. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

    9. SSOを使用したアカウントコンソールログインをテストします。