ID プロバイダーからユーザーとグループを同期する

この記事では、ユーザー プロビジョニングを自動化できるオープン スタンダードである SCIM またはクロスドメイン ID 管理システムを使用して、ユーザーとグループを Databricks にプロビジョニングするように ID プロバイダー (IdP) と Databricks を構成する方法について説明します。

DatabricksでのSCIMプロビジョニングについて

SCIM を使用すると、ID プロバイダー (IdP) を使用して、Databricks にユーザーを作成し、適切なレベルのアクセス権を付与し、組織を離れるときや Databricks にアクセスする必要がなくなったときにアクセス権を削除 (プロビジョニング解除) できます。

IdP で SCIM プロビジョニング コネクタを使用するか、 ID およびアクセス管理 SCIM APIs を呼び出してプロビジョニングを管理できます。 これらの APIs を使用して、IdP を使用せずに Databricks の ID を直接管理することもできます。

アカウントレベルおよびワークスペースレベルのSCIMプロビジョニング

アカウント レベルの SCIM プロビジョニングを使用して ID プロバイダーから Databricks アカウントに 1 つの SCIM プロビジョニング コネクタを構成するか、ワークスペース レベルの SCIM プロビジョニングを使用して各ワークスペースに個別の SCIM プロビジョニング コネクタを構成できます。

• アカウントレベルのSCIMプロビジョニング: Databricks では、アカウント レベルの SCIM プロビジョニングを使用して、アカウントからすべてのユーザーを作成、更新、削除することをお勧めします。 Databricks 内のワークスペースへのユーザーとグループの割り当てを管理します。 ユーザーのワークスペース割り当てを管理するには、 ID フェデレーションに対してワークスペースを有効にする 必要があります。

• ワークスペース レベルのSCIMプロビジョニング (レガシーおよびパブリック プレビュー): ID フェデレーションが有効になっていないワークスペースの場合、アカウント レベルとワークスペース レベルのSCIMプロビジョニングを並行して管理する必要があります。 ID フェデレーションが有効になっているワークスペースには、ワークスペース レベルのSCIMプロビジョニングは必要ありません。

  ワークスペースにワークスペース レベルの SCIM プロビジョニングがすでに設定されている場合、Databricks では、ワークスペースで ID フェデレーションを有効にし、アカウント レベルの SCIM プロビジョニングを設定し、ワークスペース レベルの SCIM プロビジョニングをオフにすることをお勧めします。 「ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する」を参照してください。

要件

SCIM を使用してユーザーとグループを Databricks にプロビジョニングするには:

• Databricks アカウントには 、プレミアム プラン以上が必要です。

• SCIM (SCIM REST APIsを含む) を使用してユーザーを Databricks アカウントにプロビジョニングするには、Databricks アカウント管理者である必要があります。

• SCIM (SCIM REST APIs を含む) を使用して Databricksワークスペースにユーザーをプロビジョニングするには、 Databricks ワークスペース管理者である必要があります。

• Databricks では、ユーザーが IdP を使用して Databricks にログインできるようにシングル サインオンを構成することをお勧めします。 Databricks アカウント コンソールで SSO を参照してください。

管理者特権の詳細については 、「ユーザー、サービスプリンシパル、およびグループの管理」を参照してください。

アカウントには、最大 10,000 人のユーザーとサービスプリンシパル、および 5,000 個のグループを含めることができます。 各ワークスペースには、最大 10,000 人のユーザー、サービスプリンシパル、および 5000 個のグループを含めることができます。

注

SCIM プロビジョニングを使用する場合、ID プロバイダーに格納されているユーザーとグループの属性は、Databricks 管理設定ページ、アカウント コンソール、または SCIM (グループ) API を使用して行った変更をオーバーライドできます。

たとえば、ID プロバイダーでユーザーに [クラスター作成を許可する] エンタイトルメントが割り当てられていて、Databricks 管理設定を使用してそのエンタイトルメントを削除した場合、IdP がそのエンタイトルメントをプロビジョニングするように構成されている場合、IdP が次回 Databricks と同期するときに、そのエンタイトルメントが再付与されます。 同じ動作がグループにも適用されます。

Databricks アカウントにID をプロビジョニングする

SCIM を使用すると、SCIM プロビジョニング コネクタを使用するか、SCIM APIsを直接使用して、ID プロバイダーから Databricks アカウントにユーザーとグループをプロビジョニングできます。

IdP プロビジョニング コネクタを使用して Databricks アカウントにユーザーとグループを追加する

SCIM プロビジョニング コネクタを使用して、IdP から Databricks アカウントにユーザーとグループを同期できます。

重要

ID をワークスペースに直接同期する SCIM コネクタが既にある場合は、アカウント レベルの SCIM コネクタが有効になっているときに、それらの SCIM コネクタを無効にする必要があります。 「 ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する」を参照してください。

アカウントにユーザーとグループをプロビジョニングするようにSCIMコネクタを構成するには:

1. アカウント管理者として、Databricks アカウント コンソールにログインします。

2. サイドバーで、[ 設定]をクリックします。

3. [ ユーザー プロビジョニング] をクリックします。

4. [ ユーザー プロビジョニングを有効にする] をクリックします。

   SCIM トークンとアカウントの SCIM URL をコピーします。 これらを使用して IdP を構成します。

5. ユーザーをプロビジョニングするように SCIM コネクタを設定できるユーザーとして IdP にログインします。

6. IdP の SCIM コネクタに次の値を入力します。

   • SAML プロビジョニング URL には、 Databricksからコピーした SCIM URL を入力します。

   • プロビジョニング API トークンには、Databricks からコピーした SCIM トークンを入力します。

IdP の次の IdP 固有の手順に従うこともできます。

• Microsoft Entra ID (Azure Active Directory) を使用して SCIM プロビジョニングを構成する

• OktaのSCIMプロビジョニングを構成する

• OneLogin の SCIM プロビジョニングを構成する

注

アカウントレベルのSCIMコネクタからユーザーを削除すると、IDフェデレーションが有効になっているかどうかに関係なく、そのユーザーはアカウントとそのすべてのワークスペースから非アクティブ化されます。 アカウントレベルのSCIMコネクタからグループを削除すると、そのグループ内のすべてのユーザーが、アカウントおよびアクセス権を持っていたワークスペースから非アクティブ化されます(別のグループのメンバーであるか、アカウントレベルのSCIMコネクタへのアクセスが直接許可されている場合を除く)。

SCIM APIを使用して、ユーザー、サービスプリンシパル、およびグループをアカウントに追加する

アカウント管理者は、Account SCIM API を使用して、ユーザー、サービスプリンシパル、グループを Databricks アカウントに追加できます。 アカウント管理者は accounts.cloud.databricks.com ({account_domain}/api/2.0/accounts/{account_id}/scim/v2/) で API を呼び出し、SCIM トークンまたは OAuth を使用して認証できます。

注

SCIM トークンはアカウント SCIM API /api/2.0/accounts/{account_id}/scim/v2/ に制限されており、他の Databricks REST APIsに対する認証には使用できません。

SCIM トークンを取得するには、次の手順を実行します。

1. アカウント管理者として、アカウントコンソールにログインします。

2. サイドバーで、[ 設定]をクリックします。

3. [ ユーザー プロビジョニング] をクリックします。

   プロビジョニングが有効になっていない場合は、 「ユーザー プロビジョニングの設定」をクリックしてトークンをコピーします。

   プロビジョニングが既に有効になっている場合は、[ トークンの再生成 ] をクリックしてトークンをコピーします。

OAuthを使用して認証するには、「 OAuthマシン間(M2M)認証」を参照してください。

ワークスペース管理者は、同じ API を使用してユーザーとサービスプリンシパルを追加できます。 ワークスペース管理者は、ワークスペース ドメイン {workspace-domain}/api/2.0/account/scim/v2/で API を呼び出します。

アカウントレベルのSCIMトークンをローテーションする

アカウントレベルのSCIMトークンが侵害された場合、または認証トークンを定期的にローテーションするビジネス要件がある場合は、SCIMトークンをローテーションできます。

1. Databricks アカウント管理者として、アカウント コンソールにログインします。

2. サイドバーで、[ 設定]をクリックします。

3. [ ユーザー プロビジョニング] をクリックします。

4. [ トークンの再生成] をクリックします。 新しいトークンをメモします。 以前のトークンは引き続き 24 時間動作します。

5. 24時間以内に、新しいSCIMトークンを使用するようにSCIMアプリケーションを更新します。

ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する

アカウントSCIM SCIMレベルの を有効にしていて、一部のワークスペースに対してワークスペース レベルのDatabricks が既に設定されている場合は、ワークスペース レベルの プロビジョSCIM をオフにして、代わりにユーザーとグループをアカウント レベルに同期することをお勧めします。

1. ワークスペース レベルの SCIM コネクタを使用して Databricks に現在プロビジョニングしているすべてのユーザーとグループを含むグループを ID プロバイダーに作成します。

   Databricks では、このグループには、アカウント内のすべてのワークスペースのすべてのユーザーを含めることをお勧めします。

2. 「 Databricks アカウントに ID をプロビジョニングする」の手順を使用して、ユーザーとグループをアカウントにプロビジョニングするように新しい SCIM プロビジョニング コネクタを構成します。

   ステップ 1 で作成したグループを使用します。 既存のアカウント ユーザーとユーザー名 (電子メール アドレス) を共有するユーザーを追加すると、それらのユーザーは結合されます。 アカウント内の既存のグループは影響を受けません。

3. 新しい SCIM プロビジョニング コネクタが、ユーザーとグループをアカウントに正常にプロビジョニングしていることを確認します。

4. ユーザーとグループをワークスペースにプロビジョニングしていた古いワークスペース レベルの SCIM コネクタをシャットダウンします。

   シャットダウンする前に、ワークスペース レベルの SCIM コネクタからユーザーとグループを削除しないでください。 SCIM コネクタからのアクセスを取り消すと、Databricks ワークスペースでユーザーが非アクティブ化されます。 詳細については、 「Databricks ワークスペースでユーザーを非アクティブ化する」を参照してください。

5. ワークスペースローカルグループをアカウントグループに移行します。

   ワークスペースにレガシ グループがある場合、それらは ワークスペース ローカル グループと呼ばれます。 アカウントレベルのインターフェイスを使用してワークスペースローカルグループを管理することはできません。 Databricks では、それらをアカウント グループに変換することをお勧めします。 「ワークスペースローカル グループをアカウント グループに移行する」を参照してください。

Databricks ワークスペースへの ID のプロビジョニング (レガシー)

プレビュー

この機能はパブリックプレビュー段階です。

IdP コネクタを使用してユーザーとグループをプロビジョニングする場合で、ID フェデレーションされていないワークスペースがある場合は、ワークスペース レベルで SCIM プロビジョニングを構成する必要があります。

注

ワークスペースレベルのSCIMは、IDフェデレーションワークスペースに割り当てられているアカウントグループを認識せず、ワークスペースレベルのSCIM API呼び出しがアカウントグループを含む場合、失敗します。 ワークスペースで ID フェデレーションが有効になっている場合、Databricks では、ワークスペース レベルの SCIM API ではなくアカウント レベルの SCIM API を使用し、アカウント レベルの SCIM プロビジョニングを設定し、ワークスペース レベルの SCIM プロビジョナーをオフにすることをお勧めします。 詳細な手順については、「 ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する」を参照してください。

IdP プロビジョニングコネクタを使用してワークスペースにユーザーとグループを追加する

該当する IdP 固有の記事の手順に従います。

• Microsoft Entra ID (Azure Active Directory) を使用して SCIM プロビジョニングを構成する

• OktaのSCIMプロビジョニングを構成する

• OneLogin の SCIM プロビジョニングを構成する

SCIM APIを使用して、ユーザー、グループ、およびサービスプリンシパルをワークスペースに追加する

ワークスペース管理者は、ワークスペース レベルの を使用して、ユーザー、グループ、サービスプリンシパルを アカウントに追加できます。DatabricksSCIMAPIsワークスペース ユーザーAPI 、ワークスペース グループAPI 、およびワークスペース サービスプリンシパルAPIを参照してください。