ワークスペースにSSOを設定する

この記事では、組織の ID プロバイダーを使用して Databricks ワークスペースに認証するためのシングル サインオン (SSO) を構成する方法を説明します。 ID プロバイダーからユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。

注：

ワークスペース レベルの SSO は、統合ログインが無効になっている場合にのみ構成できます。 ワークスペースで統合ログインが有効になっている場合、ワークスペースはアカウントと同じ SSO 構成を使用します。 Databricks では、すべてのワークスペースに対して統合ログインを有効にすることをお勧めします。 「統合ログイン」を参照してください。

ワークスペースの SSO 設定の概要

ワークスペース レベルのシングル サインオン ( SSO ) を使用すると、組織の ID プロバイダーを使用して、 Databricksワークスペースに対してユーザーを認証できます。 ワークスペース ユーザーの SSO にはSAML 2.0プロトコルが必要です。

注：

Databricks プラットフォームの E2 バージョンにないワークスペースでは、デフォルトで SAML バージョン 1 が使用されます。 ワークスペースをアップグレードしてバージョン 2 を使用するには、Databricks アカウント チームにお問い合わせください。

ワークスペースレベルのSSOは、統合ログインが無効になっている場合にのみ構成できます。

統合ログイン

プレビュー

統合ログインは現在、2023 年 6 月 21 日より前に作成されたアカウントに対してパブリック プレビュー中です。 統合ログインは、2023 年 6 月 21 日以降に作成されたアカウントで一般的に利用可能になります。

統合ログインを使用すると、アカウントと Databricks ワークスペースに使用される 1 つの SSO 構成をアカウントで管理できます。 アカウントで SSO が有効になっている場合は、すべてのワークスペースまたは選択したワークスペースに対して統合ログインを有効にすることを選択できます。 統合ログイン ワークスペース は アカウント レベルのSSO 構成を使用するため、 アカウント および ワークスペース 管理者を含むすべてのユーザーはDatabricks を使用してSSO にサインインする必要があります。統合ログインが有効になっているワークスペースでは、ワークスペース レベルで SSO を個別に管理することはできません。 Databricks では、すべてのワークスペースに対して統合ログインを有効にすることをお勧めします。

アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してアカウントでデフォルトで有効になっており、無効にすることはできません。

統合ログインを有効にするには、 Databricks アカウント コンソールの SSOを参照してください。

ワークスペースSSOアプリケーションの例

以下のIDプロバイダーへのSSOを構成する方法についての手順を確認することができます。

• ワークスペースのMicrosoft Windows Active DirectoryによるSSO
• ワークスペースのAWS SSOを設定する
• ワークスペース用の Microsoft Entra ID (旧 Azure Active Directory) による SSO
• ワークスペースのGoogle Workspace（GSuite）によるSSO
• ワークスペースのOktaを使用してSSOを設定する
• ワークスペースのOneLoginを使用してSSOを設定する
• ワークスペースのPing IDを使用してSSOを設定する

このプロセスは、SAML 2.0 をサポートするどの ID プロバイダーでも同様です。 ID プロバイダーが上記に記載されていない場合は、以下の手順に従ってください。

ワークスペースレベルのシングルサインオンを有効にする

ワークスペース レベルの SSO は、統合ログインが無効になっている場合にのみ構成できます。 「統合ログイン」を参照してください。

警告

シングルサインオンのテスト中にDatabricksからロックアウトされないように、Databricksはアカウントコンソールを別のブラウザウィンドウで開いたままにしておくことを推奨しています。

1. ワークスペースの管理者設定に移動し、 「ID とアクセス」タブを選択します。

2. SSO 設定の横にある[管理] をクリックします。

3. ID プロバイダーにアクセスし、 Databricks SAML URLフィールドの情報を使用して Databricks アプリケーションを作成します。

   

4. 「ID プロバイダーからの情報を提供する」フィールドに、Databricks SSO の ID プロバイダーからの情報を貼り付けます。

5. (オプション)ユーザーの自動作成を有効にし、[ ユーザーの自動作成を許可する] を選択します。 自動ユーザー作成により、アイデンティティ プロバイダーのユーザーがワークスペースにログインできるようになります。 ユーザーのアカウントが Databricks にまだ存在しない場合は、ログイン時に新しいアカウントがプロビジョニングされます。 これは、ジャストインタイム (JIT) プロビジョニングとも呼ばれます。 自動ユーザー作成では、ユーザーはグループに関連付けられません。

6. 2.0IAM フェデレーションで 認証情報パススルーSAML を構成する場合は、 「IAM ロール権限の自動同期を許可する」 を選択します。

   

7. 「SSOを有効にする」をクリックします。

ワークスペースのサインイン プロセス

統合ログインが有効な場合、サインイン動作は次のようになります。

• 管理者を含むすべてのユーザーは、SSO を使用して統合ログイン ワークスペースにサインインする必要があります。 ユーザー名とパスワードを使用してサインインすることはできません。

• すべての API ユーザーは、ユーザー名とパスワードを使用して REST API 呼び出しを行うことができます。 Databricks 、代わりに個人用のアクセストークンを使用することをお勧めします。

  注：

  アカウントが 2023 年 6 月 21 日以降に作成されており、ユーザーが認証にユーザー名とパスワードを使用することを制限する場合は、Databricks アカウント チームにお問い合わせください。

統合ログインが無効で、ワークスペース レベルの SSO が有効になっている場合、サインインのデフォルトの動作は次のようになります。

• 管理者以外のユーザーは、SSO を使用して Databricks にサインインする必要があります。 ユーザー名とパスワードを使用してサインインすることはできません。

• ワークスペース管理者ユーザーは、SSO またはユーザー名とパスワードを使用してサインインできます。

• API ユーザーはユーザー名とパスワードを使用して REST API 呼び出しを行うことができます。 Databricks 、代わりに個人用のアクセストークンを使用することをお勧めします。

Databricks アカウントが Premium プラン以上であり、統合ログインが無効になっている場合は、パスワード アクセス制御を使用して権限を構成することで、ワークスペース管理者ユーザーと API ユーザーがユーザー名とパスワードを使用して認証する機能を制限できます。 「パスワードの権限」を参照してください。

SSO有効になっている場合のアカウント サインイン プロセスの詳細については、 「アカウント サインイン プロセス」を参照してください。

既存のユーザーをSSOに移行する

注：

自動ユーザー作成が有効になっていて、 Databricksでのユーザーの現在の電子メール アドレス (ユーザー名) が ID プロバイダーのものと同じである場合、移行は自動的に行われるため、この手順をスキップできます。

アイデンティティ プロバイダーのユーザーの E メール アドレスがDatabricksのものと異なる場合、ログイン時に、アイデンティティ プロバイダーの E メール に基づく新しいユーザーがDatabricksに表示されます。 管理者以外のユーザーは古い電子メール アドレスとパスワードを使用してログインできなくなるため、既存のユーザー フォルダ内のファイルにアクセスできなくなります。

古い Users フォルダーから新しい Users フォルダーにファイルを移行するには、次の手順を実行することをお勧めします。

1. ワークスペース管理者は古いユーザーを削除できます。 これにより、ユーザーのフォルダー ディレクトリが無効としてマークされ、そのディレクトリはワークスペース フォルダー リスト内のすべてのアクティブなユーザーに従います。 ワークスペース管理者は引き続きすべてのノートブックとライブラリにアクセスできます。 ユーザーが作成したすべてのクラスターとジョブはそのまま残ります。 ユーザーに他の ACL が設定されている場合、SSO を有効にするとそれらの ACL がリセットされ、ワークスペース管理者が新しいユーザーに対してそれらの ACL を手動で設定する必要があります。

2. ワークスペース管理者は、次の図に示すように、古いユーザーのフォルダーを新しいフォルダーに移動できます。

   

トラブルシューティング

Databricks では、 ChromeまたはFirefox用の SAML Tracer 拡張機能をインストールすることをお勧めします。 SAML Tracer を使用すると、Databricks から IdP に送信された SAML 要求と、IdP から Databricks に送信された SAML 応答を調べることができます。

次のトラブルシューティングのヒントを使用しても問題を解決できない場合は、Databricks サポート チームにお問い合わせください。

SSOバージョンとURLを確認する

1. 管理者設定に移動し、 「IDとアクセス」タブをクリックします。

2. SSO 設定の横にある[管理] をクリックします。

3. singlesignon の横の括弧内に表示されるSSO バージョンを確認します。

4. Databricks SAML URL を確認します。 この URL を IdP に提供します。 ワークスペースを Databricks プラットフォームの E2 バージョンにアップグレードするか、ワークスペースを SSO バージョン 2 にアップグレードすると、この URL は変更されます。

SAMLレスポンスが署名されていることを確認する

SAMLレスポンスが署名されていない場合、次のようなエラーでログインに失敗する可能性があります。 We encountered an error logging you in. Databricks support has been alerted and will begin looking into this issue right away.

ブラウザにSAML Tracer をインストールして、次の手順に従います。

1. シークレット ウィンドウで、 [ツール] > [SAML Tracer]に移動して SAML Tracer を開きます。

2. Databricks ワークスペースに移動し、SSO を使用してログインを試みます。

3. SAML Tracer で、 [レスポンス]タブに移動します。

   • 応答が署名されている場合、 <saml2p:Response> 要素には子要素 <ds:signature> があります。 応答が署名されていない場合は、SAML 応答に署名するように IdP を構成します。 IdP を構成する方法の詳細については、ワークスペースSSOアプリケーション例の IdP のリンクに従ってください。