Okta の SCIM プロビジョニングを構成する
この記事では、Okta を使用して Databricks プロビジョニングを設定する方法について説明します。 ユーザーとグループを Databricks にプロビジョニングするには、Okta テナントで Okta Lifecycle Management 機能を使用する必要があります。
Databricksユーザーは、Google Cloud Identity アカウント (または GSuite アカウント) を使用して アカウント および ワークスペース に対して認証を行います。シングル サインオンをご覧ください。 Okta を使用してアカウントまたはワークスペースにユーザーをログインする場合、そのユーザーは認証のために Google Cloud Identity アカウントも持っている必要があります。
Databricks では、ユーザー、サービスプリンシパル、およびグループをアカウント レベルにプロビジョニングし、 ID フェデレーションを使用してユーザーとグループをワークスペースに割り当てることをお勧めします。
Okta の SCIM プロビジョニングの概要
Databricks 、Okta Integration Network (OIN) の IT アプリとして利用可能であり、これにより、Okta を IT ユーザーやグループにDatabricksで自動的に使用できるようになります。
Databricks Okta アプリケーションを使用すると、次のことが可能になります。
ユーザーをDatabricksアカウントまたはワークスペースに招待する
招待されたユーザーまたはアクティブなユーザーをグループに追加する
Databricks アカウントまたはワークスペース内の既存のユーザーを非アクティブ化する
グループとグループメンバーシップを管理する
プロファイルの更新と管理
要件
Databricks アカウントにはプレミアム プランが必要です。
Okta開発者ユーザーである必要があります。
Databricks アカウント管理者である必要があります。
Okta を使用してアカウントレベルの SCIM プロビジョニングを設定する
このセクションでは、Okta SCIM コネクタを構成して、ユーザーとグループをアカウントにプロビジョニングする方法について説明します。
SCIMで トークンとアカウントSCIM URL を取得するDatabricks
アカウント管理者として、Databricksアカウント コンソールにログインします。
「 設定 」をクリックします 。
[ユーザープロビジョニング]をクリックします。
[ユーザー プロビジョニングの設定] をクリックします。
SCIM トークンとアカウント SCIM URL をコピーします。 これらを使用して、Oktaでコネクタを構成します。
注:
SCIMトークンはアカウントSCIM API /api/2.1/accounts/{account_id}/scim/v2/
に制限されており、他のDatabricks REST APIsへの認証には使用できません。
Okta でSCIMを設定する
Okta管理ポータルにログインします。
「 アプリケーション 」に移動し、「 アプリケーション・カタログの参照」をクリックします。
「アプリ統合カタログの参照」で Databricks を検索します。
[ 統合を追加] をクリックします。
Databricks の追加で、以下を構成します。
[ アプリケーションラベル] に、アプリケーションの名前を入力します。
[ アプリケーションアイコンをユーザーに表示しない]を選択します。
[ Do not display application icon in the Okta Mobile App(Oktaモバイルアプリにアプリケーションアイコンを表示しない)]を選択します。
[完了] をクリックします。
「プロビジョニング」をクリックし、以下を入力します。
プロビジョニング ベース URLに、Databricks からコピーした SCIM URL を入力します。
API[赤い トークン] に、 からコピーした トークンを入力します。SCIMDatabricks
[API 資格情報のテスト]をクリックし、接続が成功したことを確認して、 [保存]をクリックします。
プロビジョニングタブを再読み込みします。 API 資格情報のテストが成功すると、追加の設定が表示されます。
Okta の変更をDatabricksにプッシュする際の動作を構成するには、 [App にプッシュ]をクリックします。
[ 編集] をクリックします。 必要な機能を有効にします。 Databricks では、ユーザーの作成、ユーザー属性の更新、およびユーザーの非アクティブ化を有効にすることをお勧めします。
Databricks 属性マッピングで、Databricks 属性マッピングを確認します。 これらのマッピングは、上記で有効にしたオプションによって異なります。 必要に応じてマッピングを追加および編集できます。 Okta ドキュメントのプロビジョニング ページでアプリケーション属性のマップを参照してください。
Databricks の変更を Okta にプッシュする際の動作を構成するには、 [To Okta]をクリックします。 デフォルト設定は、Databricks プロビジョニングに適しています。 デフォルト設定と属性マッピングを更新する場合は、Okta ドキュメントの「プロビジョニングとプロビジョニング解除」を参照してください。
統合をテストする
構成をテストするには、Okta を使用してユーザーを Databricks アカウントに招待します。
Okta で、 「アプリケーション」に移動し、 「Databricks」をクリックします。
プロビジョニングをクリックします。
「 割り当て」をクリックし、「 ユーザーに割り当て」をクリックします。
Oktaユーザーを検索し、[ Assign(割り当て)]をクリックします。
ユーザーの詳細を確認し、[ 割り当てて戻る] をクリックして、[ 完了] をクリックします。
アカウントコンソールにログインし、 「ユーザー管理」をクリックし、ユーザーが追加されたことを確認します。
この簡単なテストの後、 「Okta を使用して Databricks でユーザーとグループを管理する」で説明されているように、一括操作を実行できます。
Okta を使用して Databricks のユーザーとグループを管理する
このセクションでは、Okta SCIM Databricks アカウントへのプロビジョニングを使用して実行できる一括操作について説明します。
DatabricksからOktaへのユーザーのインポート
Databricks から Okta にユーザーをインポートするには、 [インポート]タブに移動し、 [今すぐインポート]をクリックします。 電子メール アドレスによって既存の Okta ユーザーと自動的に一致しないユーザーについては、割り当てを確認して確認するように求められます。
Databricks アカウントにユーザーとグループの割り当てを追加する
ユーザーとグループの割り当てを確認または追加するには、 [割り当て]タブに移動します。 Databricks では、 Everyoneという名前の Okta グループをアカウント レベルの SCIM プロビジョニング アプリケーションに追加することをお勧めします。 これにより、組織内のすべてのユーザーが Databricks アカウントに同期されます。
グループをDatabricksにプッシュする
Okta からDatabricksにグループをプッシュするには、 [グループのプッシュ]タブに移動します。 Databricksにすでに存在するユーザーは、電子メール アドレスによって照合されます。
アカウントからユーザーまたはグループを削除する
Okta のアカウント レベルの Databricks アプリケーションからユーザーを削除すると、そのユーザーは Databricks アカウントから削除され、ワークスペースで ID フェデレーションが有効になっているかどうかに関係なく、すべてのワークスペースにアクセスできなくなります。
Okta のアカウント レベルの Databricks アプリケーションからグループを削除すると、そのグループ内のすべてのユーザーがアカウントから削除され、アクセスしていたワークスペースへのアクセス権が失われます (別のグループのメンバーである場合、またはアカウントまたはワークスペースへのアクセス権が直接付与されている場合を除く)。 Databricks では、アカウント内のすべてのワークスペースへのアクセスを失わせたくない場合を除き、アカウント レベルのグループを削除しないことをお勧めします。
ユーザーを削除すると次のような影響が生じることに注意してください。
このユーザーによって生成されたトークンを使うアプリケーションまたはスクリプトはDatabricks APIにアクセスできなくなります。
ユーザーが所有するジョブは失敗になります。
ユーザーが所有するクラスターが停止します。
このユーザーによって作成された、[所有者として実行] 資格情報を使用して共有されているクエリーまたはダッシュボードは、共有が失敗しないように新しい所有者に割り当てる必要があります。
トラブルシューティングとヒント
Databricks プロファイルに名または姓のいずれかが指定されていないユーザーは、新しいユーザーとして Okta にインポートできません。
プロビジョニングのセットアップ前に Databricks に存在していたユーザー:
Okta にすでに存在する場合は、自動的に Okta ユーザーにリンクされ、電子メール アドレス (ユーザー名) に基づいて照合されます。
既存のユーザーに手動でリンクするか、自動的に一致しない場合はOktaで新しいユーザーとして作成できます。
個別に割り当てられ、グループのメンバーシップを通じて複製されたユーザー権限は、ユーザーのグループ メンバーシップが削除された後も残ります。
Databricks ではグループの名前を変更できません。Okta でもグループの名前を変更しないでください。
Databricksユーザー名と電子メール アドレスを更新することはできません。