Databricks Identity federation徹底整理: SSO・SCIM・組織統合をSecurity観点で固める

Databricksを組織全体で運用する場合、ユーザー管理は「Databricksに直接ユーザーを作成する」方式では破綻します。社内のIdP（Entra ID、Okta、Google Workspaceなど）でユーザーとグループを一元管理し、 Databricksにはそのアイデンティティ情報をフェデレーション（連携）する設計が標準です。

この記事では、SSO（SAML 2.0/OIDC）による認証連携、SCIMによるID自動プロビジョニング、 Account ConsoleとWorkspaceの関係、そしてUnity Catalog時代のID管理ベストプラクティスを整理します。

SSOの仕組み: SAML 2.0とOIDC

SSO（Single Sign-On）は、ユーザーがIdPで1回認証するだけでDatabricksにもログインできる仕組みです。 Databricksは2つのSSOプロトコルをサポートしています。

プロトコル	標準化団体	トークン形式	主なIdP	Databricksでの推奨度
SAML 2.0	OASIS	XMLアサーション	Entra ID, Okta, ADFS, OneLogin	従来の標準（引き続きサポート）
OIDC（OpenID Connect）	OpenID Foundation	JWTトークン	Entra ID, Okta, Google Workspace	新規構成では推奨

SAML 2.0は長年の実績がありますが、XMLベースで設定がやや複雑です。 OIDCはJWTベースで軽量かつモダンなプロトコルで、Databricksは新規セットアップではOIDCを推奨しています。既存のSAML構成を強制的に移行する必要はありません。

SSO認証フロー

SAML 2.0でのSSO認証フローは以下のステップで構成されます。

ユーザーがDatabricksワークスペースのURLにアクセス
DatabricksがSAML AuthnRequestを生成し、IdPにリダイレクト
ユーザーがIdPで認証（パスワード＋MFAなど）
IdPがSAML Responseを生成し、Databricksにリダイレクト
Databricksがアサーションを検証し、ユーザーセッションを作成

OIDC（Authorization Code Flow）の場合は、SAMLアサーションの代わりにID Token（JWT）が使われます。ユーザーから見た操作は同じで、IdPの認証画面で認証するとDatabricksに自動的にログインされます。

SCIMによる自動プロビジョニング

SCIM（System for Cross-domain Identity Management）は、IdP側のユーザー・グループの変更を Databricksに自動同期するプロトコルです。SSOが「認証（ログイン）」を統合するのに対し、 SCIMは「IDライフサイクル（作成・更新・無効化・削除）」を統合します。

IdP側の操作	SCIMによるDatabricks側の反映
ユーザーを作成	Databricksにユーザーが自動作成される
ユーザーをグループに追加	Databricksの対応グループにメンバーが追加される
ユーザーの属性を変更（表示名など）	Databricks側の属性が更新される
ユーザーをDeactivate	Databricksでユーザーが無効化される（active=false）
グループを削除	Databricksの対応グループが削除される

SCIMなしでSSOだけを使う場合、IdP側でユーザーを無効化してもDatabricksのユーザーレコードは残り続けます。 PATが有効であればAPI経由のアクセスが可能なままになるリスクがあるため、本番運用ではSSO＋SCIMの両方を構成するのが必須です。

Account Console vs Workspace: ID管理の二層構造

Databricksには「Account」と「Workspace」の2つのレベルがあり、ID管理もこの2層に対応しています。

レベル	管理対象	SSO設定	SCIMエンドポイント
Account	アカウント内の全ユーザー・グループ・ワークスペース	Account Console SSO	Account-level SCIM API
Workspace	当該ワークスペースに割り当てられたユーザー	Workspace SSO（AccountのSSOを継承可能）	Workspace-level SCIM API

Unity Catalog以降の推奨構成は、Account-level SCIMでIdPと同期し、アカウント内のユーザー・グループを一元管理する方式です。各ワークスペースにはAccountレベルのユーザー・グループを「割り当て（assign）」する形になります。Workspace-level SCIMはレガシー構成として引き続きサポートされますが、新規構成ではAccount-level SCIMを推奨します。

Identity Federationの全体フロー

典型的な企業でのIdentity Federation構成のフローを整理します。

IdPでDatabricksアプリケーションを登録: Entra IDやOktaでSAML/OIDCアプリケーションを作成し、Databricks側のACS URL/Redirect URIを設定
DatabricksでSSOを設定: Account ConsoleでIdPのメタデータ（Entity ID、Login URL、証明書）を登録
SCIMプロビジョニングを設定: IdP側でSCIMコネクタを有効にし、DatabricksのSCIM APIエンドポイントとBearerトークンを設定
グループマッピングを構成: IdP側のグループ（data-engineers, ml-teamなど）をDatabricksに同期するよう設定
ワークスペースにユーザーを割り当て: Account ConsoleからユーザーやグループをワークスペースにAssign
動作検証: テストユーザーでSSOログインし、SCIM同期でユーザーが正しく作成されることを確認

グループ管理のベストプラクティス

Identity Federationでのグループ管理は、Unity Catalogの権限管理と直結するため重要です。

IdPのグループ＝Databricksのグループ: IdP側でdata-engineers、data-scientists、 platform-adminsなどのグループを定義し、SCIM経由でDatabricksに同期する
Databricksローカルグループは最小限に: SCIMで同期されないローカルグループは管理が分散するため、特殊な用途（workspace adminsなど）に限定する
ネストグループの制限に注意: SCIMプロバイダによってはネストグループの同期に制限がある。フラットなグループ構造を推奨
Unity Catalogの権限はグループベースで付与: 個人ユーザーではなくグループにGRANT文で権限を付与し、メンバーの入れ替えをIdP側で完結させる

主要IdPごとの設定ポイント

IdP	SSOプロトコル	SCIM対応	設定上の注意点
Entra ID（Azure AD）	SAML 2.0 / OIDC	ギャラリーアプリで対応	ギャラリーから「Databricks」を検索して追加。SCIMトークンはAccount Consoleで生成
Okta	SAML 2.0 / OIDC	OINカタログで対応	Okta Integration Networkの「Databricks」アプリを使用。Provisioning設定でAPI Tokenを登録
Google Workspace	SAML 2.0	カスタムSCIMアプリで対応	Google Admin ConsoleでSAMLアプリを手動追加。SCIM連携はサードパーティツール活用を検討
OneLogin	SAML 2.0 / OIDC	コネクタで対応	OneLoginアプリカタログから「Databricks」を追加。SCIMコネクタでProvisioning設定

試験で問われるポイント

「IdPのユーザーを無効化した場合のDatabricks側の挙動」→ SCIMが設定されていればactive=falseに自動更新
「SSOを設定したがユーザーがDatabricksに自動作成されない」→ SSO JITプロビジョニングまたはSCIMの設定が必要
「複数ワークスペースのユーザーを一元管理するには」→ Account-level SCIM
「SSOの認証プロトコルとして正しいのは」→ SAML 2.0またはOIDC
「グループベースのアクセス制御のメリット」→ メンバーの入れ替えがIdP側で完結し、権限の個別管理が不要

問題で確認

Security & Governance

問題 1

ある企業がOktaをIdPとして使用し、DatabricksとSSO（SAML 2.0）を構成済みである。先日退職した社員のOktaアカウントを無効化したが、その社員が以前に発行したPersonal Access Token（PAT）でDatabricks REST APIに引き続きアクセスできている。この問題を構造的に解決する方法はどれか。

Account-level SCIMプロビジョニングを設定し、OktaでのDeactivateがDatabricksのユーザー無効化に自動反映されるようにする
IP Access Listを設定して退職者のIPアドレスをブロックする
SSOの設定をSAML 2.0からOIDCに変更する
PATの有効期限を7日間に設定する全社ポリシーを導入する

正解: A

SSOだけではログイン時の認証を統合するに留まり、PATのようなAPIトークンのライフサイクルは管理されません。SCIMを設定すると、IdPでのDeactivateがDatabricksのユーザー無効化に反映され、無効化されたユーザーのPATも無効になります。IP制限は退職者のIPが変わる可能性があり確実ではなく、OIDCへの変更はプロトコルの違いであり問題の解決にはなりません。PAT有効期限は緩和策にはなりますが構造的な解決ではありません。

よくある質問

SCIMプロビジョニングとSSO（SAML/OIDC）の違いは何ですか？

SSOは「認証」の仕組みで、ユーザーがIdP経由でDatabricksにログインする際のプロトコル（SAML 2.0またはOIDC）です。SCIMは「IDライフサイクル管理」の仕組みで、IdP側でユーザー/グループを追加・変更・削除した際にDatabricks側にも自動的に反映します。SSOだけ設定した場合、IdPからユーザーを削除してもDatabricks側のユーザーレコードは残り続けます。SCIMを併用すると、IdPでのDeactivateが自動的にDatabricksのユーザー無効化に反映されるため、セキュリティ上はSSO＋SCIMの両方を構成するのがベストプラクティスです。

Account Console SSOとWorkspace SSOの違いは何ですか？

Account Console SSOはDatabricksアカウント全体の管理画面へのログインに使われるSSO設定です。Workspace SSOは個々のワークスペースへのログインに使われます。Unity Catalog時代のベストプラクティスは、Account ConsoleレベルでSSOを設定し、各ワークスペースはその設定を継承する構成です。これにより、ワークスペースごとにSSO設定を個別管理する必要がなくなり、IdPとの統合点を1つに集約できます。

Identity FederationはDatabricks認定試験でどう出題されますか？

Data Engineer Professional試験の「セキュリティとガバナンス」ドメインで出題されます。主な問われ方は「IdPとDatabricksの統合に使うプロトコル」「SCIMの役割」「Account ConsoleとWorkspaceのSSO設定の関係」「ユーザーがIdPから削除された場合のDatabricks側の挙動」です。具体的なXMLやJSONの構文を書かせる問題は出ず、概念と運用上のベストプラクティスの理解が重視されます。

この記事で学んだ内容を問題で確認しましょう

16,000問以上の問題で実力チェック

無料で問題を解いてみる

この記事の著者

NicheeLab編集部

データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。

Databricks Identity Federation徹底整理: SSO・SCIM・組織統合