SAMLを使用してアカウントのSSOを構成する

この記事では、SAML を使用してアカウントコンソールと Databricks ワークスペースに認証するためのシングルサインオン (SSO) の一般的な構成方法について説明します。次の ID プロバイダーに対して OIDC を使用して SSO を構成する方法に関する具体的な手順も参照してください。

アカウントでのシングルサインオンの概要については、 Databricks アカウントコンソールの SSOを参照してください。

SAMLを使用したアカウントのシングルサインオン認証を有効にする

次の手順では、SAML 2.0 を使用してアカウントコンソールユーザーを認証する方法について説明します。

警告

シングルサインオンのテスト中にDatabricksからロックアウトされないようにするには、アカウントDatabricksを別のブラウザーウィンドウで開いたままにしておくことをお勧めします。また、ロックアウトを防ぐために、セキュリティキーを使用して緊急アクセスを構成することもできます。「緊急アクセスの構成」を参照してください。

アカウントコンソールのSSOページを表示し、SAML URLをコピーします。
1. アカウント管理者としてアカウントコンソールにログインし、サイドバーの設定アイコンをクリックします。
2. 「シングルサインオン」タブをクリックします。
3. このタブの上部にあるドロップダウンから、「SAML 2.0」を選択します。
4. Databricks リダイレクト URIフィールドの値をコピーします。後のステップでDatabricks SAML URL が必要になります。
別のブラウザウィンドウまたはタブを開き、IDプロバイダーでDatabricksアプリケーションを作成します。
1. IDプロバイダー（IdP）に移動します。
2. 新しいクライアントアプリケーション（Web）を作成します。
  - 必要に応じて、IDプロバイダーのドキュメントを使用してください。
  - SAML URLフィールド（リダイレクトURLと呼ばれる場合もあります）には、DatabricksページからコピーしたDatabricks SAML URLを使用します。
3. 新しいDatabricksアプリケーションから以下のオブジェクトとフィールドをコピーします。
  - x.509証明書：DatabricksとIDプロバイダー間の通信を保護するためにIDプロバイダーから提供されるデジタル証明書
  - IDプロバイダーのシングルサインオン（SSO）URL ：これはIDプロバイダーとのシングルサインオンを開始するURLです。SAMLエンドポイントと呼ばれることもあります。
  - IDプロバイダー発行者：これはSAML IDプロバイダーの一意の識別子です。エンティティIDまたは発行者URLと呼ばれることもあります。
IDプロバイダーを使用するようにDatabricksアカウントを設定します。
1. ブラウザタブまたはウィンドウに戻り、DatabricksアカウントコンソールのSSOページを表示します。
2. IDプロバイダーのDatabricksアプリケーションから、シングルサインオンURL、IDプロバイダーのエンティティID、x.509証明書のフィールドを入力または貼り付けます。
3. [保存]をクリックします。
4. 「SSOのテスト」をクリックして、SSO設定が正しく機能していることを確認します。
5. 「SSOを有効にする」をクリックして、アカウントのシングルサインオンを有効にします。
6. SSOを使用したアカウントコンソールログインをテストします。
すべてのアカウントユーザーに、ID プロバイダー内の Databricks アプリケーションへのアクセス権を付与します。アプリケーションのアクセス許可の変更が必要な場合があります。

統合ログインの構成

アカウントコンソールで SSO を有効にしたら、Databricks では統合ログインを有効にすることをお勧めします。統合ログインを使用すると、Databricks ワークスペースでアカウントコンソールの SSO 構成を使用できます。アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してアカウントでデフォルトで有効になっており、無効にすることはできません。統合ログインを構成するには、「統合ログインを有効にする」を参照してください。