Amazon
Web Services
Microsoft Azure
Google Cloud PlatformOneLogin の SCIM プロビジョニングを構成する
この記事では、Onelogin を使用して Databricks プロビジョニングを設定する方法について説明します。
プロビジョニングの設定は、Databricks アカウント レベルまたは Databricks ワークスペース レベルで設定できます。
Databricks では、ユーザー、サービスプリンシパル、およびグループをアカウント レベルにプロビジョニングし、 ID フェデレーションを使用してユーザーとグループをワークスペースに割り当てることをお勧めします。 ID フェデレーションが有効になっていないワークスペースがある場合は、引き続きユーザー、サービスプリンシパル、およびグループをそれらのワークスペースに直接プロビジョニングする必要があります。
プロビジョニングに対する ID フェデレーションの影響の説明や、アカウント レベルとワークスペース レベルのプロビジョニングを使用するタイミングに関するアドバイスなど、Databricks での SCIM プロビジョニングの詳細については、「 ID プロバイダーからユーザーとグループを同期する」を参照してください。
OneLogin でシングル サインオンを構成するには、「 ワークスペースの SSO を設定する」を参照してください。
要件
Databricks アカウントには 、プレミアム プラン以上が必要です。
Databricks アカウントのプロビジョニングを設定するには、Databricks アカウント管理者である必要があります。
Databricks ワークスペースのプロビジョニングを設定するには、Databricks ワークスペース管理者である必要があります。
OneLogin アカウントがプロビジョニングをサポートしている必要があります。
OneLoginアカウントのスーパーユーザーまたはアカウント所有者である必要があります。
Databricks では、OneLogin の記事「 ユーザー プロビジョニングとプロビジョニング解除とは」を読むことをお勧めします。
OneLogin を使用したアカウント レベルの SCIM プロビジョニングのセットアップ
このセクションでは、OneLogin SCIM コネクタを構成して、ユーザーとグループをアカウントにプロビジョニングする方法について説明します。
Databricks でSCIMトークンとアカウントのSCIM URLを取得する
アカウント管理者として、Databricks アカウント コンソールにログインします。
[設定 ] をクリックします 。
[ ユーザー プロビジョニング] をクリックします。
[ ユーザー プロビジョニングを有効にする] をクリックします。
SCIM トークンとアカウントの SCIM URL をコピーします。 これらを使用して、OneLogin でコネクタを構成します。
注
SCIM トークンはアカウント SCIM API /api/2.0/accounts/{account_id}/scim/v2/ に制限されており、他の Databricks REST APIsに対する認証には使用できません。
OneLogin SCIM プロビジョニング アプリ を構成する
スーパーユーザーまたはアカウント所有者としてOneLoginにログインし、OneLogin管理コンソールを起動します。
[アプリケーション] に移動し、[アプリの追加] をクリックします。
[ SCIM プロビジョナー with SAML (SCIM v2 コア)] を検索して選択します。
「 保存」をクリックします。 新しい設定タブが左側に表示されます。
「 構成」をクリックします。
[Databricks サブドメイン] に、アカウント SCIM URL を入力します。
[SCIM ベアラー トークン] フィールドに、Databricks 個人用アクセス トークンを入力します。
「API接続」で、「 有効化」をクリックします。アプリケーションは Databricks に対して認証されます。
[プロビジョニング] に移動して、プロビジョニングを有効にして構成します。
[ワークフロー] で、 [プロビジョニングを有効にする] を選択します。
ユーザーを作成、削除、または更新するために管理者の承認を要求するかどうかを構成します。
注
Databricks では、セットアップとテストが完了する前にユーザーの自動プロビジョニングをトリガーしないように、最初の保護手段としてすべての操作に対して管理者承認を有効にすることをお勧めします。 プロビジョニングが期待どおりに動作していることをテストして確認したら、これらの設定を構成して管理者の承認を上書きできます。
ユーザーが OneLogin から削除された場合の Databricks の動作を構成します。
何もしない と、Databricks のユーザーは変更されません。
中断 は、Databricks でユーザーを無効にします。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。
[削除 ] を選択すると、Databricks 内のユーザーが削除され、ユーザーのリソースがアーカイブされます。 これは元に戻せません。
ユーザーが OneLogin で中断された場合の Databricks での動作を構成します。
何もしない と、Databricks のユーザーは変更されません。
中断 は、Databricks でユーザーを無効にします。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。
「 エンタイトルメント」で、「 最新の情報に更新」をクリックします。 OneLoginでは、グループはエンタイトルメントと呼ばれます。 これにより、Databricks から OneLogin にグループがインポートされます。 OneLogin エンタイトルメントを Databricks にインポートすることはサポートされていません。
「保存」をクリックします。
引き続き「OneLogin を使用して Databricks でユーザーとグループを管理する」を参照して、 Databricks アカウントのユーザーとグループ をプロビジョニングします。
OneLogin (レガシー) を使用してワークスペース レベルの SCIM プロビジョニングをセットアップする
プレビュー
この機能はパブリックプレビュー段階です。
これらのステップに従うと、1 つのブラウザー タブで Databricks 管理設定ページにログインし、別のブラウザー タブで OneLogin 管理コンソールにログインします。
データブリックの個人用アクセストークン を生成する
Databricks ワークスペース管理者として、個人用アクセストークンを生成します。 トークン管理を参照してください。個人用アクセストークンは安全な場所に保管してください。 OneLogin は、この個人用アクセストークンを使用して Databricks に対する認証を行います。
重要
この個人用アクセストークンを所有するユーザーは、OneLogin 内で管理することはできません。 そうしないと、OneLoginからユーザーを削除すると、SCIM統合が中断されます。
OneLogin SCIM プロビジョニング アプリ を構成する
スーパーユーザーまたはアカウント所有者としてOneLoginにログインし、OneLogin管理コンソールを起動します。
[アプリケーション] に移動し、[アプリの追加] をクリックします。
[ SCIM プロビジョナー with SAML (SCIM v2 コア)] を検索して選択します。
「 保存」をクリックします。 新しい設定タブが左側に表示されます。
「 構成」をクリックします。
[Databricks サブドメイン] に「
https://<databricks-instance>/api/2.0/preview/scim/v2」と入力します。<databricks-instance>を Databricks デプロイのワークスペース URL に置き換えます。「ワークスペース オブジェクトの識別子を取得する」を参照してください。[SCIM ベアラー トークン] フィールドに、Databricks 個人用アクセス トークンを入力します。
「API接続」で、「 有効化」をクリックします。アプリケーションは Databricks に対して認証されます。
[プロビジョニング] に移動して、プロビジョニングを有効にして構成します。
[ワークフロー] で、 [プロビジョニングを有効にする] を選択します。
ユーザーを作成、削除、または更新するために管理者の承認を要求するかどうかを構成します。
注
Databricks では、セットアップとテストが完了する前にユーザーの自動プロビジョニングをトリガーしないように、最初の保護手段としてすべての操作に対して管理者承認を有効にすることをお勧めします。 プロビジョニングが期待どおりに動作していることをテストして確認したら、これらの設定を構成して管理者の承認を上書きできます。
ユーザーが OneLogin から削除された場合の Databricks の動作を構成します。
何もしない と、Databricks のユーザーは変更されません。
中断 は、Databricks でユーザーを無効にします。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。
[削除 ] を選択すると、Databricks 内のユーザーが削除され、ユーザーのリソースがアーカイブされます。 これは元に戻せません。
ユーザーが OneLogin で中断された場合の Databricks での動作を構成します。
何もしない と、Databricks のユーザーは変更されません。
中断 は、Databricks でユーザーを無効にします。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。
「 エンタイトルメント」で、「 最新の情報に更新」をクリックします。 OneLoginでは、グループはエンタイトルメントと呼ばれます。 これにより、Databricks から OneLogin にグループがインポートされます。 OneLogin エンタイトルメントを Databricks にインポートすることはサポートされていません。
「保存」をクリックします。
引き続き「 OneLogin を使用して Databricks でユーザーとグループを管理し、Databricks ワークスペースでユーザーとグループを プロビジョニングする」を参照してください。
OneLogin を使用して Databricks のユーザーとグループを管理する
このセクションでは、OneLogin を使用して、Databricks アカウントまたはワークスペースのユーザーとグループを管理する方法について説明します。
Databricks ワークスペース ユーザーに グループを割り当てる
Databricks でデータブリック グループを作成し、OneLogin フィールドとの同期を維持するためのマッピングを作成する必要があります。 OneLogin を使用して Databricks にグループを追加することはできません。
OneLoginで、[ パラメーター ]タブに移動します。
[省略可能なパラメーター] で、[グループ] をクリックします。
[プロビジョニング] タブ (上記) の [更新] をクリックしたときに、すべてのグループ名が Databricks から [ 値 ] フィールドに正常にインポートされたことを確認し、[ ユーザー プロビジョニングに含める ] フラグを選択します。
[保存]をクリックします。
属性マッピングを構成したら、プロビジョニング時に Databricks ユーザーにグループを割り当てることができます。 グループ値を割り当てるには、OneLogin SCIM プロビジョニング アプリのユーザー ログイン レコードで手動で選択します。 OneLogin SCIM プロビジョニング アプリの [ユーザー] タブで、編集する ユーザー を選択します。
また、OneLogin ルール (マッピング) を使用して、OneLogin ロールなどの別の OneLogin 属性に基づいて、ユーザーを Databricks グループに自動的に割り当てることもできます。 たとえば、OneLogin ロール "財務" に属するすべてのユーザーを Databricks "財務" グループに配置するには、OneLogin SCIM プロビジョニング アプリの [ルール] タブに移動し、次のスクリーンショットのように、[ロール – 含める – 財務] と [Databricks のグループを財務に設定 する] アクションを使用して 新しいルール を作成します。
![[ルール] タブ](../../../_images/onelogin-rule.png)
これで、OneLogin "財務" ロールと OneLogin SCIM プロビジョニング アプリにユーザーを追加するたびに、権利マッピングを再適用するときに、Databricks の "財務" グループが割り当てられます。
OneLogin ワークスペース レベルの SCIM プロビジョニング アプリで admins グループに追加されたユーザーは、Databricks ワークスペース管理者になります。
グループの割り当てを削除または更新する
グループの割り当てを削除または更新するには、OneLogin SCIM プロビジョニング アプリの [ユーザー] タブに移動し、編集する ユーザー を選択します。 グループフィールド、カスタムIAMロールフィールド、またはカスタムエンタイトルメントフィールドの現在の選択を削除または上書きします。
OneLogin ロールなどの OneLogin 属性に基づいてユーザーにグループを割り当てるルールを設定した場合は、その属性をユーザーから削除します (たとえば、OneLogin ロールからユーザーを削除します)。 また、その OneLogin ロールのユーザーにグループ、IAMロール、または資格を割り当てるルールを変更することもできます。
OneLogin の admins グループからユーザーを削除し、その変更が Databricks に同期されると、そのユーザーは Databricks ワークスペース管理者ではなくなります。
重要
OneLogin SCIM プロビジョニング アプリを構成した管理者を削除したり、 admins グループから削除したりしないでください。 そうしないと、SCIM 統合は Databricks に対して認証できません。
同期 をトリガーする
OneLogin SCIM プロビジョニング アプリに移動し、[ その他のアクション] -[> ログインの同期] を選択することで、OneLogin ユーザーと Databricks ユーザーの同期を手動でトリガーできます。 ユーザーがアプリに割り当てられている場合、そのユーザーは Databricks アカウントまたはワークスペースに追加されます。 ただし、その逆は当てはまりません: Databricks アカウントまたはワークスペースで作成されたユーザーは、OneLogin SCIM プロビジョニング アプリに追加されません。
Databricks アカウントまたはワークスペースから OneLogin にユーザーを手動で同期するには、Databricks アカウントまたはワークスペースのユーザーと同じユーザー名と Eメール アドレスを使用して OneLogin でユーザーを作成し、OneLogin でそのユーザーをアプリに割り当てます。
ユーザー を削除する
OneLogin でユーザーを削除すると、OneLogin によって Databricks アカウントまたはワークスペースからユーザーが非アクティブ化されます。
重要
OneLogin SCIM プロビジョニング アプリを構成した管理者を Databricks または admins グループから削除しないでください。 そうしないと、SCIM 統合は Databricks に対して認証できません。
ユーザーを非アクティブ化するには、次の複数の方法があります。
OneLogin からユーザーを削除または一時停止します。
OneLogin SCIM プロビジョニング アプリの [ユーザー] タブに移動し、ユーザーを選択して [削除] ボタンをクリックして、アプリから ユーザー を手動で 削除 します。
OneLogin ロールなどの OneLogin 属性に基づいてユーザーをアプリに割り当てるルールを設定した場合は、その属性をユーザーから削除します (たとえば、OneLogin ロールからユーザーを削除します)。 また、ユーザーが割り当てられている OneLogin ロールから Databricks アプリを削除することもできます (これにより、ロール内のすべてのユーザーの Databricks のプロビジョニングが解除されます)。
注
アカウントレベルのSCIMアプリケーションからユーザーを削除すると、IDフェデレーションが有効になっているかどうかに関係なく、そのユーザーはアカウントとそのワークスペースから非アクティブ化されます。
Databricks ワークスペースで OneLogin で管理されているユーザーを直接削除した場合、そのユーザーは OneLogin SCIM プロビジョニング アプリでアクティブなままになります。 OneLogin SCIM プロビジョニング アプリからユーザーを削除しようとすると、ユーザーはワークスペースで既に削除されているため、試行は失敗します。
OneLogin を使用してエンタイトルメントと IAM ロール を管理する
Databricks では、OneLogin のワークスペース レベルの Databricks アプリケーションからの IAMロール とワークスペースの権利の割り当てがサポートされています。 ロールと権利の割り当ては、OneLogin のアカウント レベルの Databricks アプリケーションではサポートされていません。 OneLogin から IAMロールとワークスペースの権利を割り当てる場合は、OneLogin でワークスペース レベルの Databricks アプリケーションをそのワークスペースに作成する必要があります。
Databricks では、代わりに OneLogin のアカウント レベルの Databricks アプリケーションを使用して、ユーザーとグループをアカウント レベルにプロビジョニングすることをお勧めします。 ID フェデレーション を使用してユーザーとグループをワークスペースに割り当て、Databricks 内でそれらの権利と IAMロールを管理します。
Databricks 属性を OneLogin 属性 にマップする
OneLogin から IAMロール とエンタイトルメントを管理するには、まずマッピングを作成して、Databricks IAMロールとエンタイトルメントをプロビジョニングされたユーザーの OneLogin フィールドと同期させる必要があります。
OneLogin で、[ユーザー] > [カスタム ユーザー フィールド] に移動し、次の 2 つのカスタム フィールドを作成します。
1 つはユーザーのallowed-cluster-create 権限を保持します。 この例では、これを
databricksEntitlementsという名前を付けます。ユーザーのデータブリック IAMロールを保持するための 1 つ。 この例では、この
IAM Roleに名前を付けます。
これらのフィールドを作成したら、OneLogin ユーザーレコードの [カスタムフィールド] セクションで、任意のユーザーの IAMロール と
allow-cluster-create資格を指定できます。OneLogin SCIM プロビジョニング アプリに戻り、[ パラメーター ] タブに移動して、エンタイトルメント、グループ、およびロール属性 (すべてオプション) をマップします。
フィールド名をクリックして編集ダイアログを開き、Databricks フィールドにマップするように OneLogin フィールド (値) を設定できます。
エンタイトルメント: [ 値 ] をステップ 1 で作成したカスタム ユーザー フィールドに設定します。
役割:ステップ1で作成したカスタムユーザーフィールドに 値 を設定します。
[保存]をクリックします。
この手順を繰り返して、追加の IAMロールまたはエンタイトルメントを割り当てます。
IAMロールとエンタイトルメントを Databricks ワークスペース ユーザー に割り当てる
カスタム ユーザー フィールドを作成し、属性マッピングを構成したら、プロビジョニング時に IAMロール と権利を Databricks ユーザーに割り当てることができます。
ユーザー レコードの権利と IAMロール カスタム フィールド (すべてのユーザー > ) > 値を入力すると、ユーザーを Databricks にプロビジョニングするときに、権利と IAMロールが自動的に含まれます。<username>また、OneLogin ルール (マッピング) を使用して、OneLogin ロールなどの別の OneLogin 属性に基づいて IAMロールとエンタイトルメントを自動的に割り当てることもできます。
IAMロールまたはエンタイトルメントの割り当てを削除または更新するには、OneLogin SCIM プロビジョニング アプリの [ユーザー] タブに移動し、編集する ユーザー を選択します。 カスタム IAMロール フィールドまたはカスタム資格フィールドの現在の選択を削除または上書きします。 OneLogin 属性に基づいて IAMロールまたはエンタイトルメントをユーザーに割り当てるルールを設定した場合は、その属性をユーザーから削除します。 また、その OneLogin ロールのユーザーに IAMロールまたはエンタイトルメントを割り当てるルールを変更することもできます。
トラブルシューティングとヒント
プロビジョニングのセットアップ前に Databricks に存在していたユーザー:
OneLoginユーザーにすでに存在し、Eメールアドレス(ユーザー名)に基づいて一致する場合は、OneLoginユーザーに自動的にリンクされます。
既存のユーザーに手動でリンクするか、自動的に一致しない場合はOneLoginで新しいユーザーとして作成できます。
個別に割り当てられ、グループのメンバーシップを通じて複製されたユーザー権限は、ユーザーのグループ メンバーシップが削除された後も残ります。
Databricks ワークスペースから削除されたユーザーは、そのワークスペースにアクセスできなくなりますが、他の Databricks ワークスペースには引き続きアクセスできます。
Databricks で Databricksグループを作成する必要があります。OneLogin を使用してグループを追加することはできません。
Databricks のユーザー名と Eメール アドレスを更新することはできません。
