OneLogin (レガシ) を使用したワークスペース レベルの SCIM プロビジョニングの構成
このドキュメントは廃止されており、更新されない可能性があります。 ワークスペース レベルの SCIM プロビジョニングはレガシです。 Databricks では、アカウント レベルの SCIM プロビジョニングを使用することをお勧めします (「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください)。
プレビュー
この機能は パブリック プレビュー段階です。
これらの手順を実行する場合は、1 つのブラウザー タブで Databricks 管理者設定ページにログインし、別のブラウザー タブで OneLogin 管理コンソールにログインします。
Databricks の個人用アクセス トークンを生成する
Databricksワークスペース管理者として、個人用アクセストークンを生成します。 「トークン管理」を参照してください。 個人用アクセストークンを安全な場所に保管してください。 OneLogin はこの個人用アクセストークンを使用してDatabricksへの認証を行います。
この個人用アクセストークンを所有するユーザーは、OneLogin 内で管理してはなりません。 そうしないと、OneLogin からユーザーを削除すると、SCIM 統合が中断されます。
OneLogin SCIM プロビジョニング アプリを構成する
-
スーパーユーザーまたはアカウントオーナーとしてOneLoginにログインし、OneLogin管理コンソールを起動します。
-
[アプリケーション ] に移動し、[ アプリの追加 ] をクリックします。
-
[ SCIM Provisioner with SAML (SCIM v2 Core)] を検索して選択します。
-
「保存 」をクリックします。新しい設定タブが左側に表示されます。
-
「 構成 」をクリックします。
-
[Databricks サブドメイン ] に「
https://<databricks-instance>/api/2.0/preview/scim/v2」と入力します。<databricks-instance>を Databricks デプロイのワークスペース URL に置き換えます。ワークスペース オブジェクトの識別子を取得するを参照してください。 -
SCIM Bearer トークン フィールドに、Databricks個人用アクセス トークンを入力します。
-
「API 接続 」で、「 有効化」 をクリックします。アプリケーションは Databricks に対して認証されます。
-
プロビジョニングを有効にして構成するには、 プロビジョニング に移動します。
-
[ワークフロー] で、[ プロビジョニングを有効にする ] を選択します。
-
ユーザーを作成、削除、または更新するために管理者の承認が必要かどうかを構成します。
-
Databricks では、セットアップとテストが完了する前にユーザーの自動プロビジョニングをトリガーしないように、最初の保護手段としてすべての操作に対して管理者の承認を有効にすることをお勧めします。プロビジョニングが期待どおりに機能していることをテストして確認したら、管理者の承認をオーバーライドするようにこれらの設定を構成できます。
-
ユーザーが OneLogin から削除されたときの Databricks での動作を構成します。
- 何もしない で、Databricks のユーザーは変更されません。
- [中断 ] は、Databricks のユーザーを無効にします。ユーザーはログインできませんが、ユーザーのリソースは変更されません。これは元に戻せません。
- [削除 ] は、Databricks 内のユーザーを削除し、ユーザーのリソースをアーカイブします。これは元に戻せません。
-
OneLogin でユーザーが一時停止された場合の Databricks での動作を構成します。
- 何もしない で、Databricks のユーザーは変更されません。
- [中断 ] は、Databricks のユーザーを無効にします。ユーザーはログインできませんが、ユーザーのリソースは変更されません。これは元に戻せません。
-
「エンタイトルメント」 で、「 更新 」をクリックします。OneLoginでは、グループはエンタイトルメントと呼ばれます。 これにより、Databricks から OneLogin にグループがインポートされます。 OneLogin エンタイトルメントの Databricks へのインポートはサポートされていません。
-
「保存」をクリックします。
引き続き OneLogin を使用して Databricks でユーザーとグループを管理し 、Databricks ワークスペースでユーザーとグループをプロビジョニングします。
OneLogin の admins グループからユーザーを削除し、変更が Databricks に同期されると、そのユーザーは Databricks ワークスペース管理者ではなくなります。
OneLoginを使用してエンタイトルメントとIAMロールを管理する
Databricks では、OneLogin のワークスペース レベルの Databricks アプリケーションからの IAMロール とワークスペースのエンタイトルメントの割り当てがサポートされています。 ロールとエンタイトルメントの割り当ては、OneLogin のアカウント レベルの Databricks アプリケーションではサポートされていません。 OneLogin から IAMロールとワークスペースのエンタイトルメントを割り当てる場合は、OneLogin でワークスペース レベルの Databricks アプリケーションをそのワークスペースに作成する必要があります。
Databricks では、代わりに OneLogin でアカウント レベルの Databricks アプリケーションを使用して、ユーザーとグループをアカウント レベルにプロビジョニングすることをお勧めします。 ID フェデレーション を使用してユーザーとグループをワークスペースに割り当て、 内でその権限とロールIAM Databricks管理します。
Databricks 属性を OneLogin 属性にマッピングする
OneLoginから IAMロールとエンタイトルメントを管理するには、まず、プロビジョニングユーザーのOneLoginフィールドと同期 Databricks IAMロールとエンタイトルメントを維持するためのマッピングを作成する必要があります。
-
OneLoginで、[ ユーザー]>[カスタムユーザーフィールド ]に移動し、2つのカスタムフィールドを作成します。
- 1 つは、ユーザーの allow-cluster-create パーミッションを保持するためのものです。 この例では、これを
databricksEntitlementsと名付けます。 - 1 つはユーザーの Databricks IAMロールを保持するためのものです。 この例では、これを
IAM Roleと名付けます。
これらのフィールドを作成したら、OneLoginユーザーレコードのカスタムフィールドセクションで、任意のユーザーの IAMロールと
allow-cluster-createエンタイトルメントを指定できます。 - 1 つは、ユーザーの allow-cluster-create パーミッションを保持するためのものです。 この例では、これを
-
OneLogin SCIM プロビジョニング アプリに戻り、[ パラメーター ] タブに移動して、エンタイトルメント、グループ、ロールの各属性 (すべてオプション) をマップします。
フィールド名をクリックして編集ダイアログを開き、OneLogin フィールド (値) を Databricks フィールドにマップするように設定できます。
- エンタイトルメント : ステップ 1 で作成したカスタムユーザーフィールドに 値 を設定します。
- ロール : ステップ 1 で作成したカスタムユーザーフィールドに 値 を設定します。
-
[ 保存 ]をクリックします。
この手順を繰り返して、追加の IAMロールまたは資格を割り当てます。
IAMロールと権限をDatabricksワークスペースユーザーに割り当てる
カスタムユーザーフィールドを作成し、属性マッピングを設定したら、Databricksユーザーのプロビジョニング時にIAMロールとエンタイトルメントをDatabricksユーザーに割り当てることができます。
ユーザーレコードのエンタイトルメントとIAM ロールのカスタムフィールド ([ユーザー] > [すべてのユーザー] > \) に値を入力すると、ユーザーを [] <username> IAMにプロビジョニングするときに、エンタイトルメントと ロールが自動的に含まれます。Databricksまた、OneLoginルール(マッピング)を使用して、OneLoginロールなどの別のOneLogin属性に基づいて、 IAMロールとエンタイトルメントを自動的に割り当てることもできます。
IAMロールまたはエンタイトルメントの割り当てを削除または更新するにはOneLoginSCIM プロビジョニングアプリの[ユーザー]タブに移動し、編集するユーザーを選択します。カスタム IAMロールフィールドまたはカスタムエンタイトルメントフィールドの現在の選択を削除または上書きします。 OneLogin属性に基づいてユーザーに IAMロールまたは権限を割り当てるルールを設定した場合は、その属性をユーザーから削除します。 また、その OneLogin ロールのユーザーに IAMロールまたは権限を割り当てるルールを変更することもできます。