Databricks アカウント コンソール で Okta を使用して SSO を構成する

この記事では、Databricksアカウントでシングルサインオン(SSO)のIDプロバイダーとしてOktaを構成する方法について説明します。 Oktaは、OpenID Connect(OIDC)とSAML 2.0の両方をサポートしています。

警告

シングルサインオンのテスト中にDatabricksからロックアウトされないように、Databricksはアカウントコンソールを別のブラウザウィンドウで開いたままにしておくことを推奨しています。

OIDCを使用したアカウントのシングルサインオン認証を有効にする

  1. アカウント所有者またはアカウント管理者として、 アカウントコンソール にログインし、サイドバーの [ 設定 ] アイコンをクリックします。

  2. シングルサインオン」タブをクリックします。

  3. このタブの上部にあるドロップダウンから、「OpenID Connect」を選択します。

  4. シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。

  5. 新しいブラウザタブで、管理者としてOktaにログインします。

  6. ホームページで、「アプリケーション」>「アプリケーション」をクリックします。

  7. アプリ統合を作成」をクリックします。

  8. OIDC-OpenID Connect」と「Webアプリケーション」を選択し、「次へ」をクリックします。

  9. 新しいWebアプリの統合」の「サインインリダイレクトURI」で、手順4の「DatabricksリダイレクトURI」を入力します。他の設定を構成することも、デフォルト値のままにすることもできます。

  10. 保存」をクリックします。

  11. 全般」タブで、Oktaがアプリケーション用に生成したクライアントIDとクライアントシークレットをコピーします。

    • クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。

    • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

  12. サインオン」タブの「OpenID Connect IDトークン」の「発行者」フィールドにOkta URLをコピーします。

    発行者フィールドに「動的」と表示されている場合は、「編集」をクリックし、ドロップダウンで「Okta URL (url)」を選択します。

    このURLは、OktaのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、{issuer-url}/.well-known/openid-configurationにある必要があります。

  13. [ 割り当て ] タブをクリックします。 Databricks では、 Everyone という名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

  14. Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。

    すべての値が入力されたときの「シングルサインオン」タブ
  15. [保存]をクリックします。

  16. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

  17. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

  18. SSOを使用したアカウントコンソールログインをテストします。

SAMLを使用したアカウントのシングルサインオン認証を有効にする

以下の手順に従って、Databricksアカウントコンソールで使用するOkta SAMLアプリケーションを作成してください。

  1. Databricks SAML URL を取得するには、アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインします。 サイドバーの「設定」をクリックし、 「シングル サインオン」タブをクリックします。 ピッカーからSAML 2.0を選択します。 Databricks リダイレクト URIフィールドの値をコピーします。

  2. 新しいブラウザタブで、管理者としてOktaにログインします。

  3. ホームページで、「アプリケーション」>「アプリケーション」をクリックします。

  4. アプリ統合を作成」をクリックします。

  5. SAML 2.0」を選択し、「次へ」をクリックします。

  6. アプリ名」を「Databricks SSO」に設定し、「次へ」をクリックします。

  7. 以下の設定を使用してアプリケーションを構成します。

    • シングルサインオンURL:「必要な情報を収集する」のDatabricks SAML URL

    • オーディエンスURI:「必要な情報を収集する」のDatabricks SAML URL

    • 名前ID形式:EmailAddress

    • アプリケーションユーザー名:Eメールアドレス

  8. 高度な設定」をクリックします。「応答」が「署名済み」(デフォルト)に設定されていることを確認します。アサーションへの署名はオプションです。

    重要

    他の高度な設定は変更しないでください。たとえば、アサーションの暗号化は「暗号化しない」に設定する必要があります。

  9. 高度な設定を非表示にする」をクリックします。

  10. 次へ」をクリックします。

  11. 私は内部アプリを追加しているOkta顧客です」を選択します。

  12. 完了」をクリックします。Databricks SAMLアプリが表示されます。

  13. SAML 2.0はセットアップ手順を完了するまで構成されません」で「セットアップ手順を表示」をクリックします。

  14. 以下の値をコピーします。

    • IDプロバイダーのシングルサインオンURL

    • IDプロバイダーの発行者

    • x.509証明書

  15. [ 割り当て ] タブをクリックします。 Databricks では、 Everyone という名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

  16. Databricks アカウント コンソールの [SSO] ページでデータブリックを構成します。 オプションのフィールドの詳細については、「 SAML を使用したアカウントのシングルサインオン認証を有効にする 」を参照してください。

    1. シングルサインオン」をクリックします。

    2. SSOタイプドロップダウンをSAML 2.0に設定します。

    3. シングルサインオンURLを[ログインURL]というOktaフィールドに設定します。

    4. IDプロバイダーのエンティティIDを「IDプロバイダー発行者」というOktaフィールドに設定します。

    5. x.509証明書を、証明書の開始と終了のマーカーを含めて、Okta x.509証明書に設定します。

    6. [保存]をクリックします。

    7. SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

    8. SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

    9. SSOを使用したアカウントコンソールログインをテストします。