Okta を使用した Databricks への SSO

この記事では、Databricks アカウントでシングル サインオン (SSO) の ID プロバイダーとして Okta を構成する方法を説明します。 Okta は OpenID Connect (OIDC) と SAML 2.0 の両方をサポートしています。 Okta からユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。

次のデモでは、Okta を使用した SSO の構成について説明します。

• OIDC SSO で Databricks へのアクセスを保護する

• SAML SSOでDatabricksへのアクセスを保護する

警告

シングル サインオンのテスト中にDatabricksからロックアウトされないようにするには、アカウントDatabricksを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。 ロックアウトを防ぐために、セキュリティ キーを使用して緊急アクセスを構成することもできます。 SSO の緊急アクセスを参照してください。

OIDCを使用したアカウントのシングルサインオン認証を有効にする

1. アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。

2. 「シングルサインオン」タブをクリックします。

3. [認証] の横にある [管理] をクリックします。

4. [ ID プロバイダーでシングルサインオン] を選択します。

5. 「続行」をクリックします。

6. [ID プロトコル] で、 [OpenID Connect] を選択します。

7. 「シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。

8. 新しいブラウザタブで、管理者としてOktaにログインします。

9. ホームページで、「アプリケーション」>「アプリケーション」をクリックします。

10. 「アプリ統合を作成」をクリックします。

11. 「OIDC-OpenID Connect」と「Webアプリケーション」を選択し、「次へ」をクリックします。

12. 「新しいWebアプリの統合」の「サインインリダイレクトURI」で、手順4の「DatabricksリダイレクトURI」を入力します。他の設定を構成することも、デフォルト値のままにすることもできます。

13. 「保存」をクリックします。

14. 「全般」タブで、Oktaがアプリケーション用に生成したクライアントIDとクライアントシークレットをコピーします。

    • クライアントIDは、IDプロバイダーで作成されたDatabricksアプリケーションの一意の識別子です。

    • クライアントシークレットは、作成したDatabricksアプリケーション用に生成されたシークレットまたはパスワードです。これは、IDプロバイダーでDatabricksを承認するために使用されます。

15. 「サインオン」タブの「OpenID Connect IDトークン」の「発行者」フィールドにOkta URLをコピーします。

    発行者フィールドに「動的」と表示されている場合は、「編集」をクリックし、ドロップダウンで「Okta URL (url)」を選択します。

    このURLは、OktaのOpenID構成ドキュメントを参照するためのURLです。OpenID構成ドキュメントは、{issuer-url}/.well-known/openid-configurationにある必要があります。

16. [割り当て]タブをクリックします。 Databricks では、 Everyoneという名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

17. Databricksアカウントコンソールの「シングルサインオン」タブに戻り、IDプロバイダーアプリケーションからコピーした値を「クライアントID」、「クライアントシークレット、「OpenID発行者URL」フィールドに入力します。

    

18. [保存]をクリックします。

19. 「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

20. 「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

21. SSOを使用したアカウントコンソールログインをテストします。

SAMLを使用したアカウントのシングルサインオン認証を有効にする

以下の手順に従って、Databricksアカウントコンソールで使用するOkta SAMLアプリケーションを作成してください。

1. アカウント所有者またはアカウント管理者として、 アカウント コンソールにログインし、サイドバーの[設定]アイコンをクリックします。

2. 「シングルサインオン」タブをクリックします。

3. [認証] の横にある [管理] をクリックします。

4. [ ID プロバイダーでシングルサインオン] を選択します。

5. 「続行」をクリックします。

6. [ID プロトコル]で、 [SAML 2.0]を選択します。

7. 「シングルサインオン」タブで、「DatabricksリダイレクトURI」の値をメモします。

8. 新しいブラウザタブで、管理者としてOktaにログインします。

9. ホームページで、「アプリケーション」>「アプリケーション」をクリックします。

10. 「アプリ統合を作成」をクリックします。

11. 「SAML 2.0」を選択し、「次へ」をクリックします。

12. 「アプリ名」を「Databricks SSO」に設定し、「次へ」をクリックします。

13. 以下の設定を使用してアプリケーションを構成します。

    • シングルサインオンURL：「必要な情報を収集する」のDatabricks SAML URL

    • オーディエンスURI：「必要な情報を収集する」のDatabricks SAML URL

    • 名前ID形式：EmailAddress

    • アプリケーションユーザー名：Eメールアドレス

14. 「高度な設定」をクリックします。「応答」が「署名済み」（デフォルト）に設定されていることを確認します。アサーションへの署名はオプションです。

    重要

    他の高度な設定は変更しないでください。たとえば、アサーションの暗号化は「暗号化しない」に設定する必要があります。

15. 「高度な設定を非表示にする」をクリックします。

16. 「次へ」をクリックします。

17. 「私は内部アプリを追加しているOkta顧客です」を選択します。

18. 「完了」をクリックします。Databricks SAMLアプリが表示されます。

19. 「SAML 2.0はセットアップ手順を完了するまで構成されません」で「セットアップ手順を表示」をクリックします。

20. 以下の値をコピーします。

    • IDプロバイダーのシングルサインオンURL

    • IDプロバイダーの発行者

    • x.509証明書

21. [割り当て]タブをクリックします。 Databricks では、 Everyoneという名前の Okta グループをアプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントにアクセスできるようになります。

22. DatabricksアカウントコンソールのSSOページでDatabricksを設定します。

    1. SSOタイプドロップダウンをSAML 2.0に設定します。

    2. シングルサインオン URLを、ログイン URLという Okta フィールドに設定します。

    3. IDプロバイダーのエンティティIDを「IDプロバイダー発行者」というOktaフィールドに設定します。

    4. x.509証明書を、証明書の開始と終了のマーカーを含めて、Okta x.509証明書に設定します。

    5. [保存]をクリックします。

    6. 「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。

    7. 「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。

    8. SSOを使用したアカウントコンソールログインをテストします。