ワークスペース の SSO を設定する

この記事では、組織の ID プロバイダーを使用して Databricks ワークスペースに対して認証するようにシングル サインオン (SSO) を構成する方法について説明します。

ワークスペース レベルの SSO は、統合ログインが無効になっている場合にのみ構成できます。 ワークスペースで統合ログインが有効になっている場合、ワークスペースはアカウントと同じ SSO 構成を使用します。 Databricks では、すべてのワークスペースに対して統合ログインを有効にすることをお勧めします。 統合ログインを参照してください。

ワークスペース SSO 設定 の概要

ワークスペース レベルのシングル サインオン (SSO) を使用すると、組織の ID プロバイダーを使用して、Databricks ワークスペースに対してユーザーを認証できます。 ワークスペース ユーザーの SSO には 、SAML 2.0 プロトコルが必要です。

Databricks プラットフォームの E2 バージョンにないワークスペースは、デフォルトで SAML バージョン 1 になります。 バージョン 2 を使用するようにワークスペースをアップグレードするには、Databricks アカウント チームにお問い合わせください。

ワークスペースレベルのSSOは、統合ログインが無効になっている場合にのみ構成できます。

統合ログイン

プレビュー

統合ログインは現在、2023 年 6 月 21 日より前に作成されたアカウントの パブリック プレビュー 段階にあります。 統合ログインは、2023 年 6 月 21 日以降に作成されたアカウントで 一般提供されています

統合ログインを使用すると、アカウントと Databricks ワークスペースに使用されるアカウントの 1 つの SSO 構成を管理できます。 アカウントで SSO が有効になっている場合は、すべてのワークスペースまたは選択したワークスペースに対して統合ログインを有効にすることを選択できます。 統合ログイン ワークスペースはアカウント レベルの SSO 構成を使用し、アカウント管理者とワークスペース管理者を含むすべてのユーザーは、SSO を使用して Databricks にサインインする必要があります。 統合ログインが有効なワークスペースのワークスペースレベルで SSO を個別に管理することはできません。 Databricks では、すべてのワークスペースに対して統合ログインを有効にすることをお勧めします。

アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してデフォルトで有効になり、無効にすることはできません。

統合ログインを有効にするには、「 Databricks アカウント コンソールで SSO を設定する」を参照してください。

ワークスペース SSO アプリケーションの例

次の ID プロバイダーへの SSO を構成する方法の手順を読むことができます。

このプロセスは、SAML 2.0 をサポートするすべての ID プロバイダーで同様です。 ID プロバイダーが上記にリストされていない場合は、以下の手順に従ってください。

ワークスペース レベルのシングル サインオン を有効にする

ワークスペース レベルの SSO は、統合ログインが無効になっている場合にのみ構成できます。 統合ログインを参照してください。

警告

シングル サインオン テスト中に Databricks からロックアウトされないようにするには、アカウント コンソールを別のブラウザー ウィンドウで開いたままにしておくことをお勧めします。

  1. ワークスペース 管理者設定 に移動し、 [ ID とアクセス ] タブを選択します。

  2. SSO設定の横にある[管理]をクリックします。

  3. ID プロバイダーに移動し、[ Databricks SAML URL ] フィールドの情報を使用して Databricks アプリケーションを作成します。

    SAML URL
  4. [ID プロバイダーからの 情報を入力してください] フィールドに、ID プロバイダーからの 情報を Databricks SSO に貼り付けます。

  5. (オプション)ユーザーの自動作成を有効にし、[ ユーザーの自動作成を許可する] を選択します。 自動ユーザー作成により、ID プロバイダーのユーザーはワークスペースにログインできます。 ユーザーのアカウントが Databricks にまだ存在しない場合は、ログイン時に新しいアカウントがプロビジョニングされます。 これは、ジャストインタイム (JIT) プロビジョニングとも呼ばれます。 自動ユーザー作成では、ユーザーとグループは関連付けられません。

  6. SAML 2.0 フェデレーションで IAM 認証情報パススルーを設定する場合は、[Allow IAMroll entitlement auto sync] を選択します。

    [SSO] タブ
  7. [ SSO を有効にする] をクリックします。

ワークスペースのサインイン プロセス

統合ログインが有効になっている場合、サインイン動作は次のようになります。

  • 管理者を含むすべてのユーザーは、SSO を使用して統合ログイン ワークスペースにサインインする必要があります。 ユーザー名とパスワードを使用してサインインすることはできません。

  • すべての API ユーザーは、ユーザー名とパスワードを使用して REST API 呼び出しを行うことができます。 Databricks では、代わりに個人用アクセストークンを使用することをお勧めします。

    アカウントが 2023 年 6 月 21 日以降に作成され、ユーザーが認証にユーザー名とパスワードを使用することを制限する場合は、Databricks アカウント チームにお問い合わせください。

統合ログインが無効で、ワークスペース レベルの SSO が有効になっている場合、サインインの既定の動作は次のようになります。

  • 管理者以外のユーザーは、SSO を使用して Databricks にサインインする必要があります。 ユーザー名とパスワードを使用してサインインすることはできません。

  • ワークスペース管理者ユーザーは、SSO またはユーザー名とパスワードを使用してサインインできます。

  • API ユーザーは、ユーザー名とパスワードを使用して REST API 呼び出しを行うことができます。 Databricks では、代わりに個人用アクセストークンを使用することをお勧めします。

Databricks アカウントが Premium プラン以上で、統合ログインが無効になっている場合は、パスワードのアクセス制御を使用してアクセス許可を構成することで、ワークスペース管理者ユーザーと API ユーザーがユーザー名とパスワードを使用して認証する機能を制限できます ( 「パスワードのアクセス許可」を参照)。

SSO が有効な場合のアカウントのサインイン プロセスの詳細については、「 アカウントのサインイン プロセス」を参照してください。

既存のユーザーを SSO に移行する

自動ユーザー作成が有効で、Databricks を使用したユーザーの現在の Eメール アドレス (ユーザー名) が ID プロバイダーと同じ場合、移行は自動的に行われるため、この手順をスキップできます。

ID プロバイダーを使用したユーザーの電子メールアドレスが Databricks を使用したアドレスと異なる場合、ID プロバイダーの EMail に基づく新しいユーザーがログイン時に Databricks に表示されます。 管理者以外のユーザーは、古い電子メールアドレスとパスワードを使用してログインできなくなるため、既存のユーザーフォルダー内のファイルにアクセスできなくなります。

古い Users フォルダーから新しい Users フォルダーにファイルを移行するには、次の手順をお勧めします。

  1. ワークスペース管理者は、古いユーザーを削除できます。 これにより、ユーザーのフォルダーディレクトリが機能していないとマークされ、ディレクトリはワークスペースフォルダーリスト内のすべてのアクティブなユーザーの後に続きます。 すべてのノートブックとライブラリには、ワークスペース管理者が引き続きアクセスできます。 ユーザーが作成したすべてのクラスターとジョブはそのまま残ります。 ユーザーが他の ACL を設定していた場合、SSO を有効にするとそれらがリセットされ、ワークスペース管理者は新しいユーザーに対してそれらの ACL を手動で設定する必要があります。

  2. ワークスペース管理者は、次の図に示すように、古いユーザーのフォルダーを新しいフォルダーに移動できます。

    SSO の移動

トラブルシューティング

Databricks では、 ChromeまたはFirefox用の SAML Tracer 拡張機能をインストールすることをお勧めします。 SAML Tracer を使用すると、Databricks から IdP に送信された SAML リクエストと、IdP から Databricks に送信された SAML 応答を検査できます。

次のトラブルシューティングのヒントを使用して問題を解決できない場合は、Databricks サポート チームにお問い合わせください。

SSO のバージョンと URL を確認する

  1. 管理者設定に移動し、[ ID とアクセス ] タブをクリックします。

  2. SSO設定の横にある[管理]をクリックします。

  3. シングル サインオンの横にある括弧内のSSOバージョンを確認します。

  4. Databricks SAML URL を確認します。この URL を IdP に提供します。 この URL は、ワークスペースを Databricks プラットフォームの E2 バージョンにアップグレードする場合、またはワークスペースが SSO バージョン 2 にアップグレードされた場合に変更されます。

SAML 応答が署名されている ことを確認する

SAML 応答が署名されていない場合、ログインは次のようなエラーで失敗する可能性があります。 We encountered an error logging you in. Databricks support has been alerted and will begin looking into this issue right away.

ブラウザにインストールされたSAMLトレーサーを使用して、これらのステップに従ってください。

  1. シークレット ウィンドウで、[ ツール] > [SAML トレーサー] に移動して SAML トレーサーを開きます。

  2. Databricks ワークスペースに移動し、SSO を使用してログインを試みます。

  3. SAML トレーサーで、[ 応答 ] タブに移動します。

    • 応答が署名されている場合、 <saml2p:Response> 要素には子 <ds:signature> 要素があります。 応答が署名されていない場合は、SAML 応答に署名するように IdP を構成します。 IdP の設定方法の詳細については、 ワークスペース SSO アプリケーション例の IdP のリンクを参照してください。