ワークスペース の Microsoft Windows Active Directory を使用した SSO

ワークスペース レベルの SSO は、統合ログインが無効になっている場合にのみ構成できます。 統合ログインの場合、ワークスペースはアカウントと同じSSO構成を使用します。 Databricks では、すべてのワークスペースで統合ログインを有効にすることをお勧めします。 統合ログインを参照してください。

Microsoft Windows Active Directory (AD) は、さまざまなマイクロソフト製品に対して ID ベースのアクセス制御を提供します。 Windows AD は、Azure テナントまたはオンプレミスでホストします。 Windows AD では、Windows Active Directory フェデレーション サービス (AD FS) を使用して、Databricks などのサード パーティ製エクストラネット アプリケーションを認証できます。 AD FS は SAML 2.0 を使用します。

この記事では、AD FS を Databricks ワークスペースの ID プロバイダーとして構成する方法について説明します。 Azure テナントでホストされている Microsoft Entra ID (以前の Azure Active Directory) を Databricks を使用した SSO に使用するには、「 ワークスペースの Microsoft Entra ID (以前の Azure Active Directory) を使用した SSO 」を参照してください。

Databricks アカウントで SSO を構成するには、「 Databricks アカウント コンソールで SSO を設定する」を参照してください。

  • 次のガイドは、Windows Server 2012 R2 Active Directory フェデレーション サービス バージョン 6.3.0.0 を使用して AD FS 統合を構成するためのものです。 他のバージョンの AD FS または Azure ディレクトリ サービスのサポートが必要な既存のお客様は、 help@databricks にお問い合わせくださいcom. 新規のお客様の場合は、 sales@databricks までお問い合わせくださいcom.

  • Windows AD は通常、Eメール アドレスではなく、短い従業員 ID または従業員ユーザー名を認証プリンシパルとして使用します。 ユーザーが Databricks にログインすると、ユーザーのワークスペース ディレクトリがユーザー名に自動的に追加され、Eメール アドレスが作成されます。 たとえば、ユーザー名 john.doejohn.doe@example.comになることがあります。

  • 時刻同期の問題により、すべての AD FS ログインが無効になる状況が発生する可能性があります。 AD FS サーバーのクロックが更新されていることを確認します。

  • AD FS SSO を有効にできず、組織で複数の証明書を使用している場合は、 ヘルプ@データブリックで Databricks にお問い合わせくださいcom (既存の顧客の場合) または sales@databricks.com (新しい顧客用)。

要件

  • 次の Windows サービスをインストールして構成します。

    • Windows ドメインサーバー

    • Windows DNS Service

    • Microsoft IIS

    • Windows AD

    • Windows AD FS

    これらのサービスの構成の詳細については、 Microsoft KB c66c7f4b-6b8f-4e44-8331-63fa85f858c2 を参照してください。

  • AD FS ログイン ページの署名付き SSL 証明書と、その証明書のフィンガープリントをインストールします。

  • ADのすべてのユーザオブジェクトにEemailアドレス属性があることを確認します。 これは、AD ユーザーを Databricks ユーザーにマップするために必要です。

  • [ Databricks] で、SAML URL をメモします。

    1. ワークスペース管理者として、Databrickワークスペースにログインします。

    2. Databrickワークスペースの上部のバーにあるユーザー名をクリックし、[管理者設定]を選択します。

    3. [ ID とアクセス ] タブをクリックします。

    4. SSO設定の横にある[管理]をクリックします。

    5. シングルサインオンに移動します。

    6. Databricks SAML URL をコピーします。

AD FS を構成する

AD FS フェデレーション サービスを構成する

  1. AD FS 管理コンソールに移動します。

    アクティブディレクトリフェデレーションサービス管理コンソール
  2. 右側のアクション バーの [ フェデレーション サービスのプロパティの編集 ] をクリックします。

  3. フェデレーション サービスの名前と識別子の両方が環境の DNS エントリと一致することを確認します。 次の例では、カスタム DNS エントリを使用しません。

    フェデレーション サービスのプロパティの編集
  4. Databricks では、標準の認証メカニズムとして SAML 2.0 が使用されます。 AD FS サービスが SAML 2.0 をサポートしていることを確認するには、[ AD FS > サービス > エンドポイント ] に移動し、URL パス /adfs/ls が存在することを確認します。

    /adls/fs URL パスの確認
  5. 企業イントラネットの外部でクライアントを認証するように AD FS を初めて構成するときは、イントラネット フォーム認証を有効にする必要があります。

    1. [AD FS 管理] アプリケーション> [AD FS >認証ポリシー] に移動し>グローバル認証ポリシーを編集します。

    2. [イントラネット フォーム認証] を選択します。

    イントラネット フォーム認証
  6. 組織の SSO ページを表示するには、「 https://<your-sso-domain>.com/adfs/ls/idpinitiatedsignon」に移動します。

信頼関係を構成する

Databricks を証明書利用者信頼として追加するには:

  1. AD FS >信頼 関係>証明書利用者信頼に移動します。

  2. 指示に従って、 AD FS 証明書利用者信頼を作成します

  3. [表示名] を [Databricks] に設定します。

  4. 必要に応じて、[ メモ] に情報を入力します。

  5. [ 次へ] をクリックします。

  6. [ AD FS プロファイル] をクリックします

    AD FS プロファイルを選択する
  7. AD FS と Databricksの間で暗号化するための証明書を構成します。

    証明書を構成する
    1. [ URL の構成] で、[ SAML 2.0 WebSSO プロトコルのサポートを有効にする] をクリックします。

    2. [要件] にコピーした DatabricksSAML URL を入力します。

      URL を構成する
    3. [識別子の構成] で、 Databricks SAML URL をもう一度入力します。

      識別子の設定
    4. [ 追加 ] をクリックして、別の識別子を追加します。 https://<databricks-instance>.cloud.databricks.com などの Databricks ワークスペースの URL を入力します。

  8. [ 多要素認証の構成...] の横にある [ 構成しない...] を選択します。

    多要素認証を構成する
  9. [ 発行承認規則の選択] で、[ すべてのユーザーにこの証明書利用者へのアクセスを許可する] を選択します。 テスト期間が終了したら、この設定を更新して、Active Directory グループまたはメンバーが Databricks にアクセスすることを選択的に許可できます。

    発行承認規則の選択

    [ 次へ] をクリックします。

  10. 構成を確認します。

    構成の確認
  11. [ 要求規則の編集を開く ] を選択したまま、[ 閉じる ] をクリックして中継側信頼の追加を完了します。

    証明書利用者信頼の追加を完了する

    このダイアログを開いたまま、「 変換要求規則の追加」に進みます。

変換要求規則を追加する

AD FS の要求規則は、Windows AD のユーザー オブジェクトを Databricksのユーザーにマップします。 Eメール アドレスに基づいてユーザーをマップする要求規則を作成するには:

  1. 必要に応じて、[ パーティ信頼の中継 ] をクリックし、[ Databricks] をクリックします。

  2. 右側のアクション バーで、[ 要求規則の編集] をクリックし、[ 規則の追加] をクリックします。

  3. [ LDAP 属性を要求として送信] をクリックします。

    LDAP 属性を要求として送信する
    1. 要求規則名を [ 送信 Databricks LDAP 電子メール] に設定します。

    2. 属性ストアを [アクティブ ディレクトリ] に設定します。

    3. 会社で Eメール アドレスに使用する LDAP 属性を選択します。 デフォルトは [電子メール アドレス] です。 名前 ID電子メール アドレスにマップします。

    要求規則名を構成する
  4. [ 完了] をクリックします。

  5. [ ルールの追加] をクリックして、別のルールを追加します。

  6. 入力 方向の 要求を変換する 要求規則テンプレートを設定します。

    ルールの追加
    1. [要求規則名][受信 Databricks LDAP eメール] に設定します。

    2. [入力方向の要求の種類] を [電子メール アドレス] に設定します。

    3. [受信名 ID の形式] を [指定なし] に設定します。

    4. [出力方向の要求の種類] を [名前 ID] に設定します。

    5. [発信名 ID の形式] を [Eメール] に設定します。

  7. [ すべての要求値をパススルーする] をクリックします。

    すべての要求値をパススルーする
  8. [ 完了] をクリックします。

  9. [ 適用]、[OK ]の順にクリックして、メイン画面に戻ります。

署名を SHA-256 に変更する

  1. [AD FS 証明書利用者信頼] 画面で、[ Databricks] を選択します。

  2. アクション バーの [ プロパティ ] をクリックします。

    Databricks プロパティの構成
  3. [ 詳細設定 ]タブに移動します。

  4. [セキュア ハッシュ アルゴリズム] を [SHA-256] に設定します。

    セキュアハッシュアルゴリズムを設定する

AD FS サービス証明書をコピーする

  1. AD FS 管理コンソールから [AD FS >サービス >証明書] に移動します。

  2. トークン署名証明書を見つけます。 アクションサイドバーの [ 証明書の表示 ] をクリックします。 証明書の表示

    1. [ 詳細 ] タブをクリックします。

    2. [ ファイルにコピー] をクリックします。

    3. Base-64 でエンコードされた X.509 (.CER) プロンプトが表示されたら。

    4. メモ帳または別のテキスト エディターでファイルを開きます。

    5. -----BEGIN CERTIFICATE----------END CERTIFICATE-----の間でテキストをコピーします。

(必須)SAML 応答の署名を構成する

SAML 応答とその中の SAML アサーションの署名を構成するには、次の PowerShell コマンドを使用します。 証明書利用者信頼の名前が Databricks でない場合は、それに応じて -TargetName を設定します。

Set-ADFSRelyingPartyTrust -TargetName Databricks -SamlResponseSignature “MessageAndAssertion”

この要件の詳細については、「 SAML 応答が署名されていることを確認する」を参照してください。

Databricks の構成

Databricks 管理者として:

  1. 管理者設定ページに移動し、[ID とアクセス] タブをクリックします。

  2. SSO設定の横にある[管理]をクリックします。

    [SSO] タブ
  3. シングルサインオン URLhttps://<your-sso-domain>.com/adfs/ls/に設定します。

  4. [ID プロバイダーのエンティティ ID] を [https://<your-sso-domain>.com/adfs/services/trust] に設定します。

  5. [ AD FS サービス証明書をコピーする ] の証明書を [X.509 証明書 ] フィールドに貼り付けます。

  6. [ SSO を有効にする] をクリックします。

  7. 必要に応じて、[ ユーザーの自動作成を許可] をクリックします。

構成 をテストする

  1. シークレット ブラウザー ウィンドウで、Databricks ワークスペースに移動します。

  2. [ シングルサインオン] をクリックします。 AD FS にリダイレクトされます。

  3. AD FS の資格情報を入力します。 SSO が正しく構成されている場合は、Databricks にリダイレクトされます。

テストが失敗した場合は、「 トラブルシューティング」を参照してください。