ワークスペースの Microsoft Entra ID (旧称 Azure Active Directory) を使用した SSO

ワークスペース レベルの SSO は、統合ログインが無効になっている場合にのみ構成できます。 統合ログインの場合、ワークスペースはアカウントと同じSSO構成を使用します。 Databricks では、すべてのワークスペースで統合ログインを有効にすることをお勧めします。 統合ログインを参照してください。

この記事では、Databricks を使用し、ユーザーとグループが Microsoft Entra ID (以前の Azure Active Directory) で管理されている場合に、シングル サインオン (SSO) を構成する方法について説明します。 Microsoft Entra ID は Azure テナントで実行され、SAML 2.0 をサポートしています。 Azure テナントまたはオンプレミスでホストしている Microsoft Windows Active Directory を使用する場合は、この記事ではなく、 ワークスペースの Microsoft Windows Active Directory を使用した SSO に関するページを参照してください。

この記事では Microsoft Entra ID を Databricks ワークスペースの ID プロバイダーとして構成する方法について説明します。 Databricks アカウントで SSO を構成するには、「 Databricks アカウント コンソールで SSO を設定する」を参照してください。

必要な情報 の収集

  1. ワークスペース管理者として、Databrickワークスペースにログインします。

  2. Databrickワークスペースの上部のバーにあるユーザー名をクリックし、[管理者設定]を選択します。

  3. [ ID とアクセス ] タブをクリックします。

  4. SSO設定の横にある[管理]をクリックします。

  5. Databricks SAML URL をコピーします。

このブラウザタブを閉じないでください。

Microsoft Entra ID (旧称 Azure Active Directory) の構成

Azure ポータル アプリケーションを作成する

ギャラリー以外の Azure ポータル SAML アプリケーションを作成するには、次の手順に従います。

  1. Azure ポータルのメニューで、[ すべてのサービス] をクリックします。 [ID] セクションで、[エンタープライズ アプリケーション ] をクリックします。

  2. [ 新しいアプリケーション] をクリックし、[ 独自のアプリケーションの作成] をクリックします。

  3. アプリケーションの名前を入力します。 [アプリケーションで何をするか] というメッセージが表示されたら、[ギャラリーにない他のアプリケーションを統合する] を選択します。

  4. [作成]をクリックします。

Azure ポータル アプリケーションを構成する

  1. Azure ポータル メニューで、[ ユーザーとグループ] をクリックします。

  2. [ ユーザー/グループの追加 ] をクリックし、ユーザーまたはグループを選択して、この SAML アプリケーションへのアクセス権を付与します。 SSO を使用して Databricks ワークスペースにログインするには、ユーザーがこの SAML アプリケーションにアクセスできる必要があります。

  3. Azure ポータル メニューで、[ シングル サインオン] をクリックします。

  4. [SAML] タイルをクリックして、SAML 認証用にアプリケーションを構成します。

  5. [ 基本的な SAML 構成] の横にある [ 編集] をクリックします。

  6. [ SAML 署名証明書] の横にある [ 編集] をクリックします。

  7. [ 署名オプション ] ドロップダウン リストで、[ SAML 応答とアサーションに署名する] を選択します。

  8. [属性と要求] で、[編集] をクリックします。

  9. [一意のユーザー ID (名前 ID)] フィールドを user.mailに設定します。

  10. [SAML 証明書] の [証明書 (Base64)] の横にある [ダウンロード] をクリックします。証明書は、 .cer 拡張子を持つファイルとしてローカルにダウンロードされます。

  11. .cer ファイルをテキスト エディターで開きます。macOSのデフォルトであるmacOSキーチェーンを使用して開かないでください。 このファイルは、 Microsoft Entra ID SAML アプリケーションの x.509 証明書全体で構成されます。

    重要

    証明書は機密データです。 ダウンロードする場所に注意し、できるだけ早くローカルストレージから削除してください。

  12. ファイルの内容をコピーします。

  13. [Microsoft Entra ID SAML Toolkit のセットアップ] で、ログイン URL と Microsoft Entra ID 識別子をコピーします。

Databricks の構成

  1. ワークスペース管理者として、Databrickワークスペースにログインします。

  2. Databrickワークスペースの上部のバーにあるユーザー名をクリックし、[管理者設定]を選択します。

  3. [ ID とアクセス ] タブをクリックします。

  4. SSO設定の横にある[管理]をクリックします。

  5. シングルサインオン URL を「 Azure ポータル アプリケーションの構成」の「ログイン URL」に設定します。

  6. [ID プロバイダー エンティティ ID] を [Azure portal アプリケーションの構成] の Microsoft Entra ID 識別子に設定します。

  7. Azure ポータル アプリケーションの構成」 の証明書を [X.509 証明書 ] フィールドに貼り付けます。

  8. [ SSO を有効にする] をクリックします。

  9. 必要に応じて、[ ユーザーの自動作成を許可] をクリックします。

構成 をテストする

  1. シークレット ブラウザー ウィンドウで、Databricks ワークスペースに移動します。

  2. [ シングルサインオン] をクリックします。 エントラ ID Microsoft にリダイレクトされます。

  3. Microsoft Entra ID の資格情報を入力します。SSO が正しく構成されている場合は、Databricks にリダイレクトされます。

テストが失敗した場合は、「 トラブルシューティング」を参照してください。