Microsoft Windows Active Directory を用いたワークスペースの SSO
注:
ワークスペース レベルの SSO は、統合ログインが無効になっている場合にのみ構成できます。 統合ログインの場合、ワークスペースはアカウントと同じ SSO 構成を使用します。 Databricks では、すべてのワークスペースで統合ログインを有効にすることをお勧めします。 「統合ログイン」を参照してください。
Microsoft Windows Active Directory (AD) は、幅広い Microsoft 製品に対して ID ベースのアクセス制御を提供します。 Windows AD は、Azure テナント内またはオンプレミスでホストします。 Windows AD を使用すると、Windows Active Directory フェデレーション サービス (AD FS) を使用して、Databricks などのサードパーティのエクストラネット アプリケーションを認証できます。 AD FS は SAML 2.0 を使用します。
この記事では、Databricks ワークスペースの ID プロバイダーとして AD FS を構成する方法を説明します。 Databricks での SSO に Azure テナントでホストされている Microsoft Entra ID (旧称 Azure Active Directory) を使用するには、 「ワークスペースでの Microsoft Entra ID (旧称 Azure Active Directory) を使用した SSO」を参照してください。
Databricks アカウントで SSO を構成するには、 Databricks アカウント コンソールの SSOを参照してください。
注:
次のガイドは、 Windows Server 2012 R2 Active Directory Federation サービス バージョン 6.3.0.0 を使用して AD FS 統合を構成するためのものです。 AD FS またはAzure Directory サービスの他のバージョンのサポートが必要な既存のお客様は、 help @ databricks . com までお問い合わせください。 新規顧客の場合は、 sales @ databricks . com までお問い合わせください。
Windows AD では通常、電子メール アドレスではなく、短い従業員 ID または従業員ユーザー名を認証プリンシパルとして使用します。 ユーザーがDatabricksにログインすると、ユーザーの ワークスペース ディレクトリがユーザー名に自動的に追加され、電子メール アドレスが作成されます。 たとえば、ユーザー名
john.doe
はjohn.doe@example.com
になります。時刻同期の問題により、すべての AD FS ログインが無効になる場合があります。 AD FS サーバーの時計が更新されていることを確認します。
AD FS SSOを有効にする際に問題があり、組織で複数の証明書を使用している場合は、 Databricks (help @ databricks . com (既存の顧客の場合) またはsales @ databricks . com (新規顧客の場合)) にお問い合わせください。
要件
次の Windows サービスをインストールして構成します。
Windows ドメインサーバー
Windows DNS Service
Microsoft
Windows AD
Windows AD FS
これらのサービスの構成の詳細については、 Microsoft KB c66c7f4b-6b8f-4e44-8331-63fa85f858c2を参照してください。
AD FS ログイン ページ用の署名済み SSL 証明書とその証明書のフィンガープリントをインストールします。
AD 内のすべてのユーザー オブジェクトに電子メール アドレス属性があることを確認します。 これは、AD ユーザーを Databricks ユーザーにマップするために必要です。
Databricks で、SAML URL をメモします。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[IDとアクセス]タブをクリックします。
SSO 設定の横にある[管理] をクリックします。
シングルサインオンに移動します。
Databricks SAML URLをコピーします。
AD FS の構成
このセクションの内容:
AD FSフェデレーションサービスを構成する
AD FS 管理コンソールに移動します。
右側のアクション バーで[フェデレーション サービスのプロパティの編集] をクリックします。
フェデレーション サービス名と識別子の両方が環境の DNS エントリと一致していることを確認します。 次の例では、カスタム DNS エントリは使用していません。
Databricks は標準認証メカニズムとして SAML 2.0 を使用します。 AD FS サービスがSAML 2.0 をサポートしていることを確認するには、 [AD FS] > [サービス] > [エンドポイント]に移動し、URL パス
/adfs/ls
が存在することを確認します。企業イントラネットの外部でクライアントを認証するように AD FS を初めて構成するときは、イントラネット フォーム認証を有効にする必要があります。
AD FS 管理アプリケーション > AD FS > 認証ポリシー > グローバル認証ポリシーの編集に移動します。
[イントラネット フォーム認証] を選択します。
組織の SSO ページを表示するには、
https://<your-sso-domain>.com/adfs/ls/idpinitiatedsignon
にアクセスしてください。
信頼関係を構成する
Databricks を証明書利用者信頼として追加するには:
「AD FS > 信頼関係>証明書利用者信頼」に移動します。
指示に従って 、AD FS 証明書利用者信頼を作成します。
表示名を「Databricks」に設定します。
必要に応じて、 「メモ」に情報を入力します。
「次へ」をクリックします。
[ AD FS プロファイル] をクリックします。
AD FS と Databricks 間の暗号化用の証明書を構成します。
[URL の構成]の下で、 [SAML 2.0 WebSSO プロトコルのサポートを有効にする]をクリックします。
要件でコピーした Databricks SAML URL を入力します。
「識別子の構成」で、Databricks SAML URL を再度入力します。
[ 追加 ] をクリックして、別の識別子を追加します。 Databricks ワークスペース URL (例:
https://<databricks-instance>.cloud.databricks.com
) を入力します。
[Configure Multi-Factor Authentication ...] の横にある [I do not want to configure ...] を選択します。
[発行承認規則の選択] で、[すべてのユーザーにこの証明書利用者へのアクセスを許可する] を選択します。テスト期間終了後、この設定を更新して、Active Directory グループまたはメンバーが Databricks にアクセスできるように選択的に許可することができます。
「次へ」をクリックします。
構成を確認します。
[ Edit Claim Rules ... ] を選択したままにして、[ Close ] をクリックしてリレーパーティ信頼の追加を終了します。
このダイアログを開いたままにして、「 変換要求規則の追加」に進みます。
変換要求規則を追加する
AD FS のクレーム ルールは、Windows AD のユーザー オブジェクトを Databricks のユーザーにマップします。 電子メール アドレスに基づいてユーザーをマップするクレーム ルールを作成するには:
必要に応じて、 [リレー パーティ信頼]をクリックし、 [Databricks]をクリックします。
右側のアクション バーで、[ Edit Claim Rules] をクリックし、[ Add Rule] をクリックします。
[ Send LDAP Attributes as Claims] をクリックします。
クレーム ルール名をOutgoing Databricks LDAP E メールに設定します。
[属性ストア] を [Active Directory] に設定します。
会社で電子メール アドレスに使用する LDAP 属性を選択します。 デフォルトは電子メール アドレスです。 名前 ID と電子メール アドレスにマップします。
[完了]をクリックします。
[ ルールの追加 ] をクリックして、別のルールを追加します。
[要求規則テンプレート] を設定して、入力方向の要求を変換します。
クレーム ルール名をIncoming Databricks LDAP E メールに設定します。
[入力方向の要求の種類] を [電子メール アドレス] に設定します。
[受信名 ID の形式] を [未指定] に設定します。
[出力方向の要求の種類] を [名前 ID] に設定します。
送信名IDの形式をEメールに設定します。
[ すべての要求値をパススルーする] をクリックします。
[完了]をクリックします。
「 適用」をクリックし、「OK」 をクリックしてメイン画面に戻ります。
署名を SHA-256 に変更
AD FS 証明書利用者信頼画面で、 Databricksを選択します。
アクションバーの 「プロパティ ー」をクリックします。
[詳細設定]タブに移動します。
[ セキュア ハッシュ アルゴリズム ] を [SHA-256] に設定します。
AD FS サービス証明書をコピーする
AD FS 管理コンソールから、[AD FS] > [サービス] > [証明書]に移動します。
トークン署名証明書を見つけます。 アクションサイドバーの「 証明書の表示 」をクリックします。
[詳細]タブをクリックします。
「 ファイルにコピー」をクリックします。
[Base-64 でエンコードされた X.509 (.CER) を呼び出します。
メモ帳または別のテキストエディタでファイルを開きます。
-----BEGIN CERTIFICATE-----
と-----END CERTIFICATE-----
の間のテキストをコピーします。
(必須) SAMLレスポンスの署名を構成する
SAML 応答とその中の SAML アサーションの署名を構成するには、次の PowerShell コマンドを使用します。 証明書利用者信頼の名前がDatabricksでない場合は、それに応じて-TargetName
を設定します。
Set-ADFSRelyingPartyTrust -TargetName Databricks -SamlResponseSignature “MessageAndAssertion”
この要件の詳細については、 「 SAML応答が署名されていることを確認する」を参照してください。
Databricksの設定
Databricks 管理者として:
設定ページに移動し、 「IDとアクセス」タブをクリックします。
SSO 設定の横にある[管理] をクリックします。
シングルサインオン URL を
https://<your-sso-domain>.com/adfs/ls/
に設定します。[ID プロバイダー エンティティ ID] を [
https://<your-sso-domain>.com/adfs/services/trust
] に設定します。AD FS サービス証明書のコピーから証明書をX.509 証明書フィールドに貼り付けます。
「SSOを有効にする」をクリックします。
必要に応じて、「ユーザーの自動作成を許可する」をクリックします。
設定をテストする
シークレットブラウザウィンドウで、Databricksワークスペースに移動します。
シングルオンをクリックします。 AD FS にリダイレクトされます。
AD FS の資格情報を入力します。 SSO が正しく構成されている場合は、Databricks にリダイレクトされます。
テストが失敗した場合は、「 トラブルシューティング」を確認してください。