OneLoginの SCIM プロビジョニングを構成する

この記事では、Onelogin を使用して Databricks プロビジョニングを設定する方法について説明します。

プロビジョニングの設定は、Databricks アカウント レベルまたは Databricks ワークスペース レベルで設定できます。

Databricks ユーザーは、Google クラウド ID アカウント (または GSuite アカウント) を使用してアカウントとワークスペースに対して認証を行います ( 「シングル サインオン」を参照)。 Onelogin を使用してユーザーをアカウントまたはワークスペースにプロビジョニングする場合、そのユーザーは認証のために Google クラウド ID アカウントも持っている必要があります。

Databricks では、ユーザー、サービスプリンシパル、およびグループをアカウント レベルにプロビジョニングし、 ID フェデレーションを使用してユーザーとグループをワークスペースに割り当てることをお勧めします。 ID フェデレーションが有効になっていないワークスペースがある場合は、引き続きユーザー、サービスプリンシパル、およびグループをそれらのワークスペースに直接プロビジョニングする必要があります。

プロビジョニングに対する ID フェデレーションの影響の説明や、アカウント レベルとワークスペース レベルのプロビジョニングを使用するタイミングに関するアドバイスなど、Databricks での SCIM プロビジョニングの詳細については、「 ID プロバイダーからユーザーとグループを同期する」を参照してください。

要件

• Databricks アカウントには Premium プランが必要です。

• Databricks アカウントのプロビジョニングを設定するには、Databricks アカウント管理者である必要があります。

• Databricks ワークスペースのプロビジョニングを設定するには、Databricks ワークスペース管理者である必要があります。

• OneLogin アカウントがプロビジョニングをサポートしている必要があります。

• OneLoginアカウントのスーパーユーザーまたはアカウント所有者である必要があります。

• Databricks では、OneLogin の記事「 ユーザー プロビジョニングとプロビジョニング解除とは」を読むことをお勧めします。

OneLoginを使用したアカウント レベルの SCIM プロビジョニングのセットアップ

このセクションでは、OneLogin SCIM コネクタを構成して、ユーザーとグループをアカウントにプロビジョニングする方法について説明します。

DatabricksでSCIMトークンとアカウントのSCIM URLを取得する

1. アカウント管理者として、Databricks アカウント コンソールにログインします。

   1. [設定 ] をクリックします 。

   2. [ ユーザー プロビジョニング] をクリックします。

   3. [ユーザー プロビジョニングの設定] をクリックします。

      SCIM トークンとアカウントの SCIM URL をコピーします。 これらを使用して、OneLogin でコネクタを構成します。

注

SCIM トークンはアカウント SCIM API /api/2.0/accounts/{account_id}/scim/v2/ に制限されており、他の Databricks REST APIsに対する認証には使用できません。

OneLogin SCIM プロビジョニング アプリを構成する

1. スーパーユーザーまたはアカウント所有者としてOneLoginにログインし、OneLogin管理コンソールを起動します。

2. [アプリケーション] に移動し、[アプリの追加] をクリックします。

3. [ SCIM プロビジョナー with SAML (SCIM v2 コア)] を検索して選択します。

4. 「 保存」をクリックします。 新しい設定タブが左側に表示されます。

5. 「 構成」をクリックします。

6. [Databricks サブドメイン] に、アカウント SCIM URL を入力します。

7. [SCIM ベアラー トークン] フィールドに、Databricks 個人用アクセス トークンを入力します。

8. 「API接続」で、「 有効化」をクリックします。アプリケーションは Databricks に対して認証されます。

9. [プロビジョニング] に移動して、プロビジョニングを有効にして構成します。

   1. [ワークフロー] で、 [プロビジョニングを有効にする] を選択します。

   2. ユーザーを作成、削除、または更新するために管理者の承認を要求するかどうかを構成します。

      注

      Databricks では、セットアップとテストが完了する前にユーザーの自動プロビジョニングをトリガーしないように、最初の保護手段としてすべての操作に対して管理者承認を有効にすることをお勧めします。 プロビジョニングが期待どおりに動作していることをテストして確認したら、これらの設定を構成して管理者の承認を上書きできます。

   3. ユーザーが OneLogin から削除された場合の Databricks の動作を構成します。

      • 何もしない と、Databricks のユーザーは変更されません。

      • 中断 は、Databricks でユーザーを無効にします。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。

      • [削除 ] を選択すると、Databricks 内のユーザーが削除され、ユーザーのリソースがアーカイブされます。 これは元に戻せません。

   4. ユーザーが OneLogin で中断された場合の Databricks での動作を構成します。

      • 何もしない と、Databricks のユーザーは変更されません。

      • 中断 は、Databricks でユーザーを無効にします。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。

   2. 「 エンタイトルメント」で、「 最新の情報に更新」をクリックします。 OneLoginでは、グループはエンタイトルメントと呼ばれます。 これにより、Databricks から OneLogin にグループがインポートされます。 OneLogin エンタイトルメントを Databricks にインポートすることはサポートされていません。

10. 「保存」をクリックします。

引き続き「OneLogin を使用して Databricks でユーザーとグループを管理する」を参照して、 Databricks アカウントのユーザーとグループ をプロビジョニングします。

OneLogin (レガシー) を使用してワークスペース レベルの SCIM プロビジョニングをセットアップする

プレビュー

この機能はパブリックプレビュー段階です。

これらのステップに従うと、1 つのブラウザー タブで Databricks 管理設定ページにログインし、別のブラウザー タブで OneLogin 管理コンソールにログインします。

データブリックの個人用アクセストークンを生成する

Databricks ワークスペース管理者として、個人用アクセス トークンを生成します。 「トークン管理」を参照してください。個人用アクセストークンは安全な場所に保管してください。 OneLogin は、この個人用アクセストークンを使用して Databricks に対する認証を行います。

重要

この個人用アクセストークンを所有するユーザーは、OneLogin 内で管理することはできません。 そうしないと、OneLoginからユーザーを削除すると、SCIM統合が中断されます。

OneLogin SCIM プロビジョニング アプリを構成する

1. スーパーユーザーまたはアカウント所有者としてOneLoginにログインし、OneLogin管理コンソールを起動します。

2. [アプリケーション] に移動し、[アプリの追加] をクリックします。

3. [ SCIM プロビジョナー with SAML (SCIM v2 コア)] を検索して選択します。

4. 「 保存」をクリックします。 新しい設定タブが左側に表示されます。

5. 「 構成」をクリックします。

6. [Databricks サブドメイン] に「https://<databricks-instance>/api/2.0/preview/scim/v2」と入力します。<databricks-instance> を Databricks デプロイのワークスペース URL に置き換えます。「ワークスペース オブジェクトの識別子を取得する」を参照してください。

7. [SCIM ベアラー トークン] フィールドに、Databricks 個人用アクセス トークンを入力します。

8. 「API接続」で、「 有効化」をクリックします。アプリケーションは Databricks に対して認証されます。

9. [プロビジョニング] に移動して、プロビジョニングを有効にして構成します。

   1. [ワークフロー] で、 [プロビジョニングを有効にする] を選択します。

   2. ユーザーを作成、削除、または更新するために管理者の承認を要求するかどうかを構成します。

      注

      Databricks では、セットアップとテストが完了する前にユーザーの自動プロビジョニングをトリガーしないように、最初の保護手段としてすべての操作に対して管理者承認を有効にすることをお勧めします。 プロビジョニングが期待どおりに動作していることをテストして確認したら、これらの設定を構成して管理者の承認を上書きできます。

   3. ユーザーが OneLogin から削除された場合の Databricks の動作を構成します。

      • 何もしない と、Databricks のユーザーは変更されません。

      • 中断 は、Databricks でユーザーを無効にします。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。

      • [削除 ] を選択すると、Databricks 内のユーザーが削除され、ユーザーのリソースがアーカイブされます。 これは元に戻せません。

   4. ユーザーが OneLogin で中断された場合の Databricks での動作を構成します。

      • 何もしない と、Databricks のユーザーは変更されません。

      • 中断 は、Databricks でユーザーを無効にします。 ユーザーはログインできませんが、ユーザーのリソースは変更されません。 これは可逆的です。

   2. 「 エンタイトルメント」で、「 最新の情報に更新」をクリックします。 OneLoginでは、グループはエンタイトルメントと呼ばれます。 これにより、Databricks から OneLogin にグループがインポートされます。 OneLogin エンタイトルメントを Databricks にインポートすることはサポートされていません。

10. 「保存」をクリックします。

引き続き「 OneLogin を使用して Databricks でユーザーとグループを管理し、Databricks ワークスペースでユーザーとグループを プロビジョニングする」を参照してください。

OneLogin を使用して Databricksのユーザーとグループを管理する

このセクションでは、OneLogin を使用して、Databricks アカウントまたはワークスペースのユーザーとグループを管理する方法について説明します。

Databricks ワークスペース ユーザーにグループを割り当てる

Databricks でデータブリック グループを作成し、OneLogin フィールドとの同期を維持するためのマッピングを作成する必要があります。 OneLogin を使用して Databricks にグループを追加することはできません。

1. OneLoginで、[ パラメーター ]タブに移動します。

2. [省略可能なパラメーター] で、[グループ] をクリックします。

3. [プロビジョニング] タブ (上記) の [更新] をクリックしたときに、すべてのグループ名が Databricks から [ 値 ] フィールドに正常にインポートされたことを確認し、[ ユーザー プロビジョニングに含める ] フラグを選択します。

4. [保存]をクリックします。

属性マッピングを構成したら、プロビジョニング時に Databricks ユーザーにグループを割り当てることができます。 グループ値を割り当てるには、OneLogin SCIM プロビジョニング アプリのユーザー ログイン レコードで手動で選択します。 OneLogin SCIM プロビジョニング アプリの [ユーザー] タブで、編集する ユーザー を選択します。

また、OneLogin ルール (マッピング) を使用して、OneLogin ロールなどの別の OneLogin 属性に基づいて、ユーザーを Databricks グループに自動的に割り当てることもできます。 たとえば、OneLogin ロール "財務" に属するすべてのユーザーを Databricks "財務" グループに配置するには、OneLogin SCIM プロビジョニング アプリの [ルール] タブに移動し、次のスクリーンショットのように、[ロール – 含める – 財務] と [Databricks のグループを財務に設定 する] アクションを使用して 新しいルール を作成します。

これで、OneLogin "財務" ロールと OneLogin SCIM プロビジョニング アプリにユーザーを追加するたびに、権利マッピングを再適用するときに、Databricks の "財務" グループが割り当てられます。

OneLogin ワークスペース レベルの SCIM プロビジョニング アプリで admins グループに追加されたユーザーは、Databricks ワークスペース管理者になります。

グループの割り当てを削除または更新する

グループの割り当てを削除または更新するには、OneLogin SCIM プロビジョニング アプリの [ユーザー] タブに移動し、編集する ユーザー を選択します。 グループフィールド、カスタムIAMロールフィールド、またはカスタムエンタイトルメントフィールドの現在の選択を削除または上書きします。

OneLogin ロールなどの OneLogin 属性に基づいてユーザーにグループを割り当てるルールを設定した場合は、その属性をユーザーから削除します (たとえば、OneLogin ロールからユーザーを削除します)。 また、その OneLogin ロールのユーザーにグループ、IAMロール、または資格を割り当てるルールを変更することもできます。

OneLogin の admins グループからユーザーを削除し、その変更が Databricks に同期されると、そのユーザーは Databricks ワークスペース管理者ではなくなります。

重要

OneLogin SCIM プロビジョニング アプリを構成した管理者を削除したり、 admins グループから削除したりしないでください。 そうしないと、SCIM 統合は Databricks に対して認証できません。

同期をトリガーする

OneLogin SCIM プロビジョニング アプリに移動し、[ その他のアクション] -[> ログインの同期] を選択することで、OneLogin ユーザーと Databricks ユーザーの同期を手動でトリガーできます。 ユーザーがアプリに割り当てられている場合、そのユーザーは Databricks アカウントまたはワークスペースに追加されます。 ただし、その逆は当てはまりません: Databricks アカウントまたはワークスペースで作成されたユーザーは、OneLogin SCIM プロビジョニング アプリに追加されません。

Databricks アカウントまたはワークスペースから OneLogin にユーザーを手動で同期するには、Databricks アカウントまたはワークスペースのユーザーと同じユーザー名と Eメール アドレスを使用して OneLogin でユーザーを作成し、OneLogin でそのユーザーをアプリに割り当てます。

ユーザーを削除する

OneLogin でユーザーを削除すると、OneLogin によって Databricks アカウントまたはワークスペースからユーザーが非アクティブ化されます。

重要

OneLogin SCIM プロビジョニング アプリを構成した管理者を Databricks または admins グループから削除しないでください。 そうしないと、SCIM 統合は Databricks に対して認証できません。

ユーザーを非アクティブ化するには、次の複数の方法があります。

• OneLogin からユーザーを削除または一時停止します。

• OneLogin SCIM プロビジョニング アプリの [ユーザー] タブに移動し、ユーザーを選択して [削除] ボタンをクリックして、アプリから ユーザー を手動で 削除 します。

• OneLogin ロールなどの OneLogin 属性に基づいてユーザーをアプリに割り当てるルールを設定した場合は、その属性をユーザーから削除します (たとえば、OneLogin ロールからユーザーを削除します)。 また、ユーザーが割り当てられている OneLogin ロールから Databricks アプリを削除することもできます (これにより、ロール内のすべてのユーザーの Databricks のプロビジョニングが解除されます)。

注

アカウントレベルのSCIMアプリケーションからユーザーを削除すると、IDフェデレーションが有効になっているかどうかに関係なく、そのユーザーはアカウントとそのワークスペースから非アクティブ化されます。

Databricks ワークスペースで OneLogin で管理されているユーザーを直接削除した場合、そのユーザーは OneLogin SCIM プロビジョニング アプリでアクティブなままになります。 OneLogin SCIM プロビジョニング アプリからユーザーを削除しようとすると、ユーザーはワークスペースで既に削除されているため、試行は失敗します。

トラブルシューティングとヒント

• プロビジョニングのセットアップ前に Databricks に存在していたユーザー:

  • OneLoginユーザーにすでに存在し、Eメールアドレス(ユーザー名)に基づいて一致する場合は、OneLoginユーザーに自動的にリンクされます。

  • 既存のユーザーに手動でリンクするか、自動的に一致しない場合はOneLoginで新しいユーザーとして作成できます。

• 個別に割り当てられ、グループのメンバーシップを通じて複製されたユーザー権限は、ユーザーのグループ メンバーシップが削除された後も残ります。

• Databricks ワークスペースから削除されたユーザーは、そのワークスペースにアクセスできなくなりますが、他の Databricks ワークスペースには引き続きアクセスできます。

• Databricks で Databricksグループを作成する必要があります。OneLogin を使用してグループを追加することはできません。

• Databricks のユーザー名と Eメール アドレスを更新することはできません。