Okta を使用した Databricks への SSO
この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Okta を構成する方法を説明します。 Okta は OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 Okta からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。
警告
シングル サインオンのテスト中にDatabricksからロックアウトされないようにするには、アカウントDatabricksを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 また、ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。 「 緊急アクセスの構成」を参照してください。
OIDCを使用したアカウントのシングルサインオン認証を有効にする
アカウント所有者またはアカウント管理者として、 アカウントコンソール にログインし、サイドバーの [ 設定 ] アイコンをクリックします。
「シングルサインオン」タブをクリックします。
このタブの上部にあるドロップダウンから、「OpenID Connect」を選択します。
「シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。
新しいブラウザタブで、管理者としてOktaにログインします。
ホームページで、「アプリケーション」>「アプリケーション」をクリックします。
「アプリ統合を作成」をクリックします。
「OIDC-OpenID Connect」と「Webアプリケーション」を選択し、「次へ」をクリックします。
「新しいWebアプリの統合」の「サインインリダイレクトURI」で、手順4の「DatabricksリダイレクトURI」を入力します。他の設定を構成することも、デフォルト値のままにすることもできます。
「保存」をクリックします。
「全般」タブで、Oktaがアプリケーション用に生成したクライアントIDとクライアントシークレットをコピーします。
クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。
クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。
「サインオン」タブの「OpenID Connect IDトークン」の「発行者」フィールドにOkta URLをコピーします。
発行者フィールドに「動的」と表示されている場合は、「編集」をクリックし、ドロップダウンで「Okta URL (url)」を選択します。
このURLは、OktaのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、
{issuer-url}/.well-known/openid-configuration
にある必要があります。[ 割り当て ] タブをクリックします。 Databricks では、 Everyone という名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。
Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。
[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。
SAMLを使用したアカウントのシングルサインオン認証を有効にする
以下の手順に従って、Databricksアカウントコンソールで使用するOkta SAMLアプリケーションを作成してください。
Databricks SAML URL を取得するには、アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインします。 サイドバーの「設定」をクリックし、 「シングル サインオン」タブをクリックします。 ピッカーからSAML 2.0を選択します。 Databricks リダイレクト URIフィールドの値をコピーします。
新しいブラウザタブで、管理者としてOktaにログインします。
ホームページで、「アプリケーション」>「アプリケーション」をクリックします。
「アプリ統合を作成」をクリックします。
「SAML 2.0」を選択し、「次へ」をクリックします。
「アプリ名」を「Databricks SSO」に設定し、「次へ」をクリックします。
以下の設定を使用してアプリケーションを構成します。
シングルサインオンURL:「必要な情報を収集する」のDatabricks SAML URL
オーディエンスURI:「必要な情報を収集する」のDatabricks SAML URL
名前ID形式:EmailAddress
アプリケーションユーザー名:Eメールアドレス
「高度な設定」をクリックします。「応答」が「署名済み」(デフォルト)に設定されていることを確認します。アサーションへの署名はオプションです。
重要
他の高度な設定は変更しないでください。たとえば、アサーションの暗号化は「暗号化しない」に設定する必要があります。
「高度な設定を非表示にする」をクリックします。
「次へ」をクリックします。
「私は内部アプリを追加しているOkta顧客です」を選択します。
「完了」をクリックします。Databricks SAMLアプリが表示されます。
「SAML 2.0はセットアップ手順を完了するまで構成されません」で「セットアップ手順を表示」をクリックします。
以下の値をコピーします。
IDプロバイダーのシングルサインオンURL
IDプロバイダーの発行者
x.509証明書
[ 割り当て ] タブをクリックします。 Databricks では、 Everyone という名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。
Databricks アカウント コンソールの [SSO] ページでデータブリックを構成します。 オプションのフィールドの詳細については、「 SAML を使用したアカウントのシングルサインオン認証を有効にする 」を参照してください。
「シングルサインオン」をクリックします。
SSOタイプドロップダウンをSAML 2.0に設定します。
シングルサインオンURLを[ログインURL]というOktaフィールドに設定します。
IDプロバイダーのエンティティIDを「IDプロバイダー発行者」というOktaフィールドに設定します。
x.509証明書を、証明書の開始と終了のマーカーを含めて、Okta x.509証明書に設定します。
[保存]をクリックします。
「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
SSOを使用したアカウントコンソールログインをテストします。