ワークスペース用の Microsoft Entra ID (旧 Azure Active Directory) による SSO

注：

ワークスペース レベルの SSO は、統合ログインが無効になっている場合にのみ構成できます。 統合ログインの場合、ワークスペースはアカウントと同じ SSO 構成を使用します。 Databricks では、すべてのワークスペースで統合ログインを有効にすることをお勧めします。 「統合ログイン」を参照してください。

この記事では、Databricks を使用し、ユーザーとグループが Microsoft Entra ID (以前の Azure Active Directory) で管理されている場合に、シングル サインオン (SSO) を構成する方法について説明します。 Microsoft Entra ID は Azure テナントで実行され、SAML 2.0 をサポートしています。 Azure テナントまたはオンプレミスでホストしている Microsoft Windows Active Directory を使用する場合は、この記事ではなく、 Microsoft Windows Active Directory を用いたワークスペースの SSO に関するページを参照してください。

この記事では、Databricks ワークスペースの ID プロバイダーとして Microsoft Entra ID を構成する方法を説明します。 Databricks アカウントで SSO を構成するには、 Databricks アカウント コンソールの SSOを参照してください。

必要な情報を収集する

1. ワークスペース管理者として、Databrickワークスペースにログインします。

2. Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。

3. [IDとアクセス]タブをクリックします。

4. SSO 設定の横にある[管理] をクリックします。

5. Databricks SAML URLをコピーします。

このブラウザタブを閉じないでください。

Microsoft Entra ID (旧 Azure Active Directory) を構成する

Azure ポータル アプリケーションを作成する

ギャラリー以外のAzureポータルSAMLアプリケーションを作成するには、次の手順に従います。

1. Azure ポータル メニューで、 [すべてのサービス]をクリックします。 「 ID 」セクションで、「 エンタープライズ・アプリケーション」をクリックします。

2. 「 新規アプリケーション」をクリックし、「 独自のアプリケーションの作成」をクリックします。

3. アプリケーションの名前を入力します。 [ アプリケーションで何をしますか?] という質問が表示されたら、[ ギャラリーにない他のアプリケーションを統合する] を選択します。

4. [作成]をクリックします。

Azure ポータル アプリケーションを構成する

1. Azure ポータル メニューで、 [ユーザーとグループ]をクリックします。

2. [ユーザー/グループの追加]をクリックし、このSAMLアプリケーションへのアクセスを許可するユーザーまたはグループを選択します。 SSO を使用して Databricks ワークスペースにログインするには、ユーザーはこの SAML アプリケーションにアクセスできる必要があります。

3. Azure ポータル メニューで、 [シングル サインオン]をクリックします。

4. SAMLタイルをクリックして、SAML 認証用にアプリケーションを構成します。

5. 「基本的なSAML構成」の横にある「編集」をクリックします。

   • 必要な情報を収集して 、 エンティティ ID を Databricks SAML URL に設定します。

   • 必要な情報を収集し て、 応答 URL を Databricks SAML URL に設定します。

6. 「SAML署名証明書」の横にある「編集」をクリックします。

7. 「署名オプション」ドロップダウンリストで、「SAML応答とアサーションに署名」を選択します。

8. [ Attributes & Claims] で [Edit] をクリックします。

9. [ 一意のユーザー識別子(名前 ID)] フィールドを user.mailに設定します。

10. [SAML 証明書]の下にある[証明書 (Base64)]の横にある[ダウンロード]をクリックします。 証明書は、拡張子が .cer のファイルとしてローカルにダウンロードされます。

11. テキストエディタで .cer ファイルを開きます。 macOS のデフォルトである macOS キーチェーンを使用して開かないでください。 このファイルは、Microsoft Entra ID SAML アプリケーションの x.509 証明書全体で構成されています。

    重要

    証明書は機密データです。 ダウンロードする場所に注意し、できるだけ早くローカルストレージから削除してください。

12. ファイルの内容をコピーします。

13. Microsoft Entra ID SAML ツールキットのセットアップで、ログイン URL と Microsoft Entra ID 識別子をコピーします。

Databricksの設定

1. ワークスペース管理者として、Databrickワークスペースにログインします。

2. Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。

3. [IDとアクセス]タブをクリックします。

4. SSO 設定の横にある[管理] をクリックします。

5. ポータル アプリケーションの構成 から 、シングルAzure サインオン URL をログイン URL に設定します。

6. Azure ポータル アプリケーションの構成 から 、ID プロバイダー エンティティ ID を Microsoft Entra ID 識別子に設定します。

7. Azure ポータル アプリケーションの構成からの証明書を[X.509 証明書]フィールドに貼り付けます。

8. 「SSOを有効にする」をクリックします。

9. 必要に応じて、「ユーザーの自動作成を許可する」をクリックします。

設定をテストする

1. シークレットブラウザウィンドウで、Databricksワークスペースに移動します。

2. シングルオンをクリックします。 Microsoft Entra ID にリダイレクトされます。

3. Microsoft Entra ID の資格情報を入力します。 SSO が正しく構成されている場合は、Databricks にリダイレクトされます。

テストが失敗した場合は、「 トラブルシューティング」を確認してください。