Databricksにおける認証・認可 / Databricks_Authentication_and_Access_Controls

Transcript

1. ©2026 Databricks Inc. — All rights reserved Databricks Authentication &

   Authorization Databricks Japan K.K.

2. ©2026 Databricks Inc. — All rights reserved Serverless Compute Databricks

   Platform Architecture Users / Access Management Authentication Control Plane Default Storage Storage Your Data Sources Your Cloud Storage API Services Classic Compute Unity Catalog Compute IDEs BI Apps AI Apps Users Apps 2 Workspace Web UI Workspace API • Management • SQL Warehouse • Model Serving • MCP Server • Genie, etc… Databricks Apps • Web App • API Lakebase

3. ©2026 Databricks Inc. — All rights reserved Serverless Compute Databricks

   Platform Architecture Users / Access Your Cloud Environment Your Databricks Account User/Service Access Legend Management Control Plane Default Storage Storage Your Data Sources Your Cloud Storage API Services Classic Compute Unity Catalog Compute IDEs BI Apps AI Apps Users Apps 3 Workspace Web UI Workspace API • Management • SQL Warehouse • Model Serving • MCP Server • Genie, etc… Databricks Apps • Web App • API Lakebase Authentication

4. ©2026 Databricks Inc. — All rights reserved Authentication (認証)

5. ©2026 Databricks Inc. — All rights reserved ユーザーとグループの登録方法 • 手動でユーザーとグループを登録

   • ID プロバイダーからユーザーとグループを同期 • ジャストインタイム (JIT) プロビジョニング Databricks のユーザーとグループ Databricks ではアカウントレベルでユーザーとグループを管理

6. ©2026 Databricks Inc. — All rights reserved 手動でユーザーとグループを登録 • アカウント管理者がユーザーとグループを追加

   ID プロバイダーからユーザーとグループを同期 • SCIM を利用してユーザーとグループを同期 • ID プロバイダーのエディションやプランによっては出来ないことがある • Azure Databricks のみ Entra ID と連携した自動アイデンティティ管理が可能 ジャストインタイム (JIT) プロビジョニング • ID プロバイダーとシングルサインオン構成時に設定可能 • ON にすると ID プロバイダーを通じてシングルサインオンしてきたユーザーを自動的に登録 ユーザーとグループの登録方法 Databricks ではアカウントレベルでユーザーとグループを管理

7. ©2026 Databricks Inc. — All rights reserved 自動アイデンティティ管理 自動 ID

   管理でユーザーやグループを Entra ID とシームレスに同期 Azure Only 特徴 自動 ID 管理 SCIM プロビジョニング ユーザーの同期 ✓ ✓ 同期グループ ✓ ✓ (直接メンバーのみ) 入れ子になったグループを同期する ✓ サービス プリンシパルを同期する ✓ Azure Databricks 内で既定で使用可能 ✓ すべての Microsoft Entra ID エディションで動作します ✓ Microsoft Entra ID 管理者ロールなしで使用可能 ✓ ID フェデレーションが必要 ✓

8. ©2026 Databricks Inc. — All rights reserved ユーザーの認証方法 • ワンタイムパスワード

   • Google サインイン • Microsoft アカウント (Microsoft Entra ID) • OpenID Connect/SAML 2.0 対応 ID プロバイダー Databricks の認証 Databricks ではアカウントレベルでユーザーとグループを管理 Sign-in with email or external accounts Single sign-on

9. ©2026 Databricks Inc. — All rights reserved ユーザーのサインイン構成 (SSO以外) Sign-in

   with email or external accounts

10. ©2026 Databricks Inc. — All rights reserved シングルサインイン構成 (SSO) OpenID

    Connect もしくは SAML 2.0 を利用したシングルサインオン Databricks では、SAML 2.0 または OpenID Connect (OIDC) の使用をサポートし ます。 OpenID Connect を使用した SSO の構成 SAML を使用した SSO の構成

11. ©2026 Databricks Inc. — All rights reserved Databricks アカウントに構成可能な SSO

    は一つのみで、SSO 構成後は SSO が強制されます。これ により次のことに注意する必要があります。 • 企業の Idp に登録されていない構築や保守パートナーの扱い • 開発環境と本番環境など環境に応じて Idp を使い分ける必要がある場合 回避策は次の通りです。 • 企業 の Idp 外のユーザーはゲストユーザーとして企業の Idp に登録 • Entra External ID や AWS Cognito などマルチ Idp に対応した Idp を挟んで Databricks の SSO を構成する • (Idp を使い分ける場合) Databricks のアカウントを分ける シングルサインイン構成の考慮事項 アカウントに登録可能な Idp は一つのみ

12. ©2026 Databricks Inc. — All rights reserved シングルサインイン構成の考慮事項 A B

    P (Databricks アカウント) 企業 ID プロバイダー (Entra ID/Okta/etc) 社内ユーザー 保守パートナー シングルサインオンを構成した Idp からのみ アクセス可能となるため、保守パートナーが サインイン出来ない

13. ©2026 Databricks Inc. — All rights reserved シングルサインイン構成の考慮事項 A B

    P (Databricks アカウント) 企業 ID プロバイダー (Entra ID/Okta/etc) 社内ユーザー 保守パートナー 企業 Idp に保守パートナーがゲスト登録など されていれば、アクセス可能

14. ©2026 Databricks Inc. — All rights reserved シングルサインイン構成の考慮事項 A B

    (Databricks アカウント) 企業 ID プロバイダー (Entra ID/Okta/etc) 社内ユーザー マルチテナント型 Idp を利用し、企業 Idp と パートナーの Idp やユーザーの直登録で対 応することも可能 マルチテナント型 ID プロバイダー (Entra External ID/etc) P 保守パートナー

15. ©2026 Databricks Inc. — All rights reserved シングルサインイン構成の考慮事項 A B

    (Databricks アカウント) 企業 ID プロバイダー 本番用 社内ユーザー 企業 ID プロバイダー 開発用 開発用の企業 ID プロバイダーに対して SSO を構成できない (SSO 構成は一つのみ)

16. ©2026 Databricks Inc. — All rights reserved シングルサインイン構成の考慮事項 A B

    (Databricks アカウント) 企業 ID プロバイダー 本番用 社内ユーザー 企業 ID プロバイダー 開発用 (Databricks アカウント) それぞれ別の Databricks アカウントにすることで も対応可能。異なる Databricks アカウントのワー クスペース間でデータや AIモデルを共有したい場 合は、Delta Sharing を利用する。

17. ©2026 Databricks Inc. — All rights reserved シングルサインイン構成の考慮事項 A B

    (Databricks アカウント) 企業 ID プロバイダー 本番用 社内ユーザー 企業 ID プロバイダー 開発用 マルチテナント型 ID プロバイダー (Entra External ID/etc) マルチテナント型 Idp を利用し、本番用と開 発用の企業 Idp に対応

18. ©2026 Databricks Inc. — All rights reserved SSO 障害などに備え、最大 20

    ユーザーまで Databricks 管理パスワード + MFA でログイン出来る緊急用アカウントを設定 緊急アクセス (Emergency Access) SSO の障害や設定ミスに備える

19. ©2026 Databricks Inc. — All rights reserved 統合ログインは、すべてのワークスペースに単一のアカウントレベルの構成を適用 することで、SSO管理を簡素化 •

    シングルサインオン有効化するとデフォルトで有効化 • ワークスペースレベルのシングルサインオンは個別に設定不可に 統合ログインについて アカウントレベルの認証構成をワークスペースに適用

20. ©2026 Databricks Inc. — All rights reserved Authorization (API によるリソースへの認可

    )

21. ©2026 Databricks Inc. — All rights reserved ユーザーアカウント • アプリケーションから

    Databricks API 呼び出しに対するリソースアクセスを対話型に行い、承認 する際に利用する • ユーザーのアクセス権限に基づいてリソースへアクセス サービスプリンシパル • 人の介入を必要としないアプリケーションからの Databricks API 呼び出しを行う場合に利用する • サービスプリンシパルのアクセス権限に基づいてリソースへアクセス リソースへアクセスするアイデンティティ ユーザーアカウントとサービスプリンシパル

22. ©2026 Databricks Inc. — All rights reserved

23. ©2026 Databricks Inc. — All rights reserved 認証方式 - 基本

    基本的には OAuth 2.0 メソッド 説明 ユースケース OAuth トークンの フェデレーション ユーザーまたはサービスプリン シパルの ID プロバイダーから の OAuth トークン。 Databricks シークレットを管理せずに Databricks に対して認証できます。 サービスプリンシパ ル向けOAuth (OAuth M2M) サービスプリンシパル向け短期 OAuthトークン。 無人認証シナリオ (完全に自動化されたワークフ ローや CI/CD ワークフローなど)。 ユーザー向け OAuth (OAuth U2M) ユーザーにとって有効期間の短 い OAuth トークン。 有人認証シナリオでは、プロンプトが表示された ら、Web ブラウザーを使用して Databricks でリ アルタイムに認証します。

24. ©2026 Databricks Inc. — All rights reserved アプリ接続 OAuth 2.0

    を介した連携先アプリケーションはアカウントコンソールから設定

25. ©2026 Databricks Inc. — All rights reserved アプリ接続 OAuth 2.0

    を介した連携先アプリケーションはアカウントコンソールから設定

26. ©2026 Databricks Inc. — All rights reserved Databricks は OAuth

    2.0 トークン交換をサポートしており、フェデレーション ID トー クンをDatabricks OAuthトークンに交換できます。 • ユーザーベースもしくはサービスプリンシパルベースのトークンに交換 主な利点 • 許可した Idp からのトークンを Databricks で利用可能なアクセストークンに変換 • フロントの Web アプリケーションからバックエンドの Databricks に対し、シームレスに認証でき る。特に、Databricks の認証画面を再度表示して認証させなくてもよいため、UX の向上も期待 できる • マルチ AI エージェントシステムからバックエンドの Databricks の AI エージェントに対してシーム レスに認証できる 認証方式 - トークン交換 (リンク) ID プロバイダー トークンを利用した認証

27. ©2026 Databricks Inc. — All rights reserved フェデレーションポリシー トークン交換はアカウントコンソールのフェデレーションポリシーより設定

28. ©2026 Databricks Inc. — All rights reserved フェデレーションポリシー トークン交換はアカウントコンソールのフェデレーションポリシーより設定

29. ©2026 Databricks Inc. — All rights reserved API スコープ OAuth

    のスコープを設定して権限の範囲を限定する スコープ名 値 Access Management access-management AI/BI dashboards Alerts alerts Apps apps Authentication authentication Clean Rooms cleanrooms Clusters clusters Command Execution command-execution Data Classification dataclassification Data Quality Monitoring dataquality Databricks SQL sql Databricks Workspace workspace Delta Sharing sharing File Management files Genie genie Global Init Scripts global-init-scripts Identity identity Instance Pools instance-pools Instance Profiles instance-profiles スコープ名 値 Jobs and Workflows jobs Knowledge Assistants knowledge-assistants Libraries libraries Marketplace marketplace MLflow mlflow Model Serving model-serving Networking networking Notifications notifications Pipelines pipelines Postgres Database postgres Quality Monitor qualitymonitor Query History query-history SCIM scim Secrets Management secrets Settings settings Tags tags Unity Catalog unity-catalog Vector Search vector-search

30. ©2026 Databricks Inc. — All rights reserved OBO (on-behalf of

    user) 認可 • Databricks Apps • Model Serving

31. ©2026 Databricks Inc. — All rights reserved On-behalf-of-user (OBO) 認可

    アプリはユーザー本人の権限を使い、ユーザーの代わりに データへアクセス • サービスプリンシパルの権限の代わりに、ユーザーの権限を使用します アプリを初めて実行するとき、ユーザーに同意を求める • サービスプリンシパルの権限の代わりに、ユーザーの権限を使用します アプリ作成者は、アプリに必要な権限スコープを宣言 31

32. ©2026 Databricks Inc. — All rights reserved アプリのサービスプリンシパル はデータへのアクセスも必要 例）テーブルの

    SELECT 権限 OBO 認可なし = サービスプリンシパル認可 32 Data in UC シングルサインオン エンドユーザーには CAN_USE または CAN_MANAGE 権限が必要 SQL Warehouse (Can Use 権限以上が必要) アプリのサービスプリンシパル はリソースへのアクセス権限が必要 例）Warehouseに対するCAN_USE 権限 Serving endpoint (Can Query 権限以上が必要) Job (Can Manage Run 権限以上が必要) Databricks Secret (Can Read 権限以上が必要) Vector Search (Can Query 権限以上が必要) Compute (Spark) (Can Attach To 権限以上が必要) サービスプ リンシパル Databricks App SP 認証では、全ユーザーが同一の権限を共有 = 全ユーザーが同じデータにアクセスできる A B

33. ©2026 Databricks Inc. — All rights reserved OBO 認可 あり

    33 Data in UC シングルサインオン エンドユーザーには CAN_USE または CAN_MANAGE 権限が必要 エンドユーザーは、 リソースへの権限が必要 例）SQL WarehouseのCAN_USEなど SQL Warehouse (Can Use 権限以上が必要) Serving endpoint (Can Query 権限以上が必要) Job (Can Manage Run 権限以上が必要) Databricks Secret (Can Read 権限以上が必要) Vector Search (Can Query 権限以上が必要) Compute (Spark) (Can Attach To 権限以上が必要) エンドユーザーは、 データへのアクセス権限が必要 例）テーブルの SELECT など Databricks App サービスプ リンシパル A B

34. ©2026 Databricks Inc. — All rights reserved アクセスコントロール

35. 高度なアクセスコントロール （RBAC と ABAC）

36. アクセスコントロールの集中管理 GRANT SELECT ON iot.events TO engineers 権限レベルの 選択 お使いのIDプロバイ

    ダーとグループ を同期 ‘テーブル’= S3/ADLSの ファイルのコレクション ワークロード横断のアクセス権を集中的に許可、管理 誰が？ 何に？ どんな？ アクセスコントロールとは 権限レベルの例 対カタログ 対テーブル 36

37. 行レベルのセキュリティと列レベルのマスキング 行フィルター、列マスクを用いることで、テーブルを コピーすることなく情報管理が可能になります センシティブなカラムをマスクあるいは編集 特定の行のみを表示 フィルタ条件 ユーザのグループ等に 応じた設定が可 マスキング 機密情報を秘匿化

    37

38. 属性ベースのアクセスコントロール （ABAC）

39. 顧客離反予測 1 user_id 2 churn_risk 3 email 4 phone_number Marketing

    表 (表orスキーマタグ) PII PII (カラムタグ) (カラムタグ) Unity Catalog Marketing Group Certified Aさん Marketing Group Bさん Cさん Certified Databricks Workspace テーブルポリシー１ Marketing タグがある 場合はMarketing Groupに所属している こと カラムポリシー１ PII タグがある場合は Certified に所属して いること。所属していな い場合は空文字 属性ベースアクセス 制御 属性ベースのアクセスコントロール (ABAC)

40. 顧客離反予測 1 user_id 2 churn_risk 3 email 4 phone_number Marketing

    表 (表orスキーマタグ) PII PII (カラムタグ) (カラムタグ) Unity Catalog Marketing Group Certified Aさん Marketing Group Bさん Cさん Certified Databricks Workspace テーブルポリシー１ Marketing タグがある 場合はMarketing Groupに所属している こと カラムポリシー１ PII タグがある場合は Certified に所属して いること。所属していな い場合は空文字 属性ベースアクセス 制御 属性ベースのアクセスコントロール (ABAC) (補足) Marketing Group に所属しているのでテー ブルへのアクセスは可能。 Certified に所属 しているのでメールと電話番号も表示可能

41. 顧客離反予測 1 user_id 2 churn_risk 3 email 4 phone_number Marketing

    表 (表orスキーマタグ) PII PII (カラムタグ) (カラムタグ) Unity Catalog Marketing Group Certified Aさん Marketing Group Bさん Cさん Certified Databricks Workspace テーブルポリシー１ Marketing タグがある 場合はMarketing Groupに所属している こと カラムポリシー１ PII タグがある場合は Certified に所属して いること。所属していな い場合は空文字 属性ベースアクセス 制御 属性ベースのアクセスコントロール (ABAC) (補足) Marketing Group に所属しているのでテー ブルへのアクセスは可能だが、 Certified に 所属していないのでメールや電話番号はマ スクされる

42. 顧客離反予測 1 user_id 2 churn_risk 3 email 4 phone_number Marketing

    表 (表orスキーマタグ) PII PII (カラムタグ) (カラムタグ) Unity Catalog Marketing Group Certified Aさん Marketing Group Bさん Cさん Certified Databricks Workspace テーブルポリシー１ Marketing タグがある 場合はMarketing Groupに所属している こと カラムポリシー１ PII タグがある場合は Certified に所属して いること。所属していな い場合は空文字 属性ベースアクセス 制御 属性ベースのアクセスコントロール (ABAC) (補足) Marketing Group に所属しているのでテー ブルへのアクセス不可

43. AI/BI Genie とアクセスコントロール

44. 顧客離反予測 1 user_id 2 churn_risk 3 email 4 phone_number 表

    Unity Catalog Marketing Group Certified Aさん Marketing Group Bさん Cさん Certified Databricks Workspace テーブルポリシー１ Marketing タグがある 場合はMarketing Groupに所属している こと カラムポリシー１ PII タグがある場合は Certified に所属して いること。所属していな い場合は空文字 属性ベースアクセス 制御 AI/BI Genie とアクセスコントロール Marketing (表orスキーマタグ) PII PII (カラムタグ) (カラムタグ)

45. 顧客離反予測 1 user_id 2 churn_risk 3 email 4 phone_number Marketing

    表 (表orスキーマタグ) PII PII (カラムタグ) (カラムタグ) Unity Catalog Marketing Group Certified Aさん Marketing Group Bさん Cさん Certified Databricks Workspace テーブルポリシー１ Marketing タグがある 場合はMarketing Groupに所属している こと カラムポリシー１ PII タグがある場合は Certified に所属して いること。所属していな い場合は空文字 属性ベースアクセス 制御 AI/BI Genie とアクセスコントロール (補足) Genie Space へのアクセス権があれば、 Aさんは全ての データを見ることが可能。 Bさんはメールや電話番号がマ スクされ、Cさんはデータにアクセスすることが出来ない。

46. 他サービスとアクセスコントロール

47. 顧客離反予測 1 user_id 2 churn_risk 3 email 4 phone_number Marketing

    表 (表orスキーマタグ) PII PII (カラムタグ) (カラムタグ) Unity Catalog Marketing Group Certified Aさん Marketing Group Bさん Cさん Certified Databricks Workspace テーブルポリシー１ Marketing タグがある 場合はMarketing Groupに所属している こと カラムポリシー１ PII タグがある場合は Certified に所属して いること。所属していな い場合は空文字 属性ベースアクセス 制御 他社サービス連携 (OAuth 2.0) OAuth 対応 サービス ex) ChatGPT/Claude (1) OAuth 2.0 (2) Auth code (3) Access token Workspace level APIs

48. 顧客離反予測 1 user_id 2 churn_risk 3 email 4 phone_number Marketing

    表 (表orスキーマタグ) PII PII (カラムタグ) (カラムタグ) Unity Catalog Marketing Group Certified Aさん Marketing Group Bさん Cさん Certified Databricks Workspace テーブルポリシー１ Marketing タグがある 場合はMarketing Groupに所属している こと カラムポリシー１ PII タグがある場合は Certified に所属して いること。所属していな い場合は空文字 属性ベースアクセス 制御 他社サービス連携 (OAuth 2.0) OAuth 対応 サービス ex) ChatGPT/Claude (1) OAuth 2.0 (2) Auth code (3) Access token Workspace level APIs (補足) OAuth 2.0 に対応した連携が可能であれば、 Aさんは全 てのデータを見ることが可能。 Bさんはメールや電話番号 がマスクされ、Cさんはデータにアクセスすることが出来な い。

49. 顧客離反予測 1 user_id 2 churn_risk 3 email 4 phone_number Marketing

    表 (表orスキーマタグ) PII PII (カラムタグ) (カラムタグ) Unity Catalog Marketing Group Certified Aさん Marketing Group Bさん Cさん Certified Databricks Workspace テーブルポリシー１ Marketing タグがある 場合はMarketing Groupに所属している こと カラムポリシー１ PII タグがある場合は Certified に所属して いること。所属していな い場合は空文字 属性ベースアクセス 制御 他社サービス連携 (Token exchange) Scratch application (2) token exchange (1) Access with token (3) Access token Workspace level APIs

50. 顧客離反予測 1 user_id 2 churn_risk 3 email 4 phone_number Marketing

    表 (表orスキーマタグ) PII PII (カラムタグ) (カラムタグ) Unity Catalog Marketing Group Certified Aさん Marketing Group Bさん Cさん Certified Databricks Workspace テーブルポリシー１ Marketing タグがある 場合はMarketing Groupに所属している こと カラムポリシー１ PII タグがある場合は Certified に所属して いること。所属していな い場合は空文字 属性ベースアクセス 制御 他社サービス連携 (Token exchange) Scratch application (2) token exchange (1) Access with token (3) Access token Workspace level APIs

51. まとめ

52. まとめ • Databricks ではパスコード認証だけでなく企業 ID プロバイダーと連携してシン グルサインオンを構成できる • ユーザーとグループも企業 ID

    プロバイダーと同期できる • Databricks は OAuth 2.0 に対応しており様々なアプリケーションと連携でき、 ユーザーの権限に応じてリソースにアクセスできる • Databricks Apps や Model Serving は OBO 認可があり、シームレスにユー ザーの権限を利用してリソースにアクセスできる Databricks の認証認可を適切に構成し、ガバナンスを強化できる

53. Appendix

54. Databricks へログインする までの流れ

55. オンプレ Entra ID で Databricks へログインするまで よくあるエンタープライズなお客様例 端末にログイン (TGT) ユーザー

    オフィスPC AD FS Entra ID Databricks Kerberos 認証 (TGS) SAML/WS-fed/ OIDC SAML/OIDC Active Directory ド メインメンバー Entra ID Connect で AD のオブジェクトを同期 SCIM でユーザーとグルー プを同期

56. オンプレ Entra ID で Databricks へログインするまで よくあるエンタープライズなお客様例 端末にログイン (TGT) ユーザー

    オフィスPC AD FS Entra ID Databricks Kerberos 認証 (TGS) SAML/WS-fed/ OIDC SAML/OIDC Active Directory ド メインメンバー Entra ID Connect で AD のオブジェクトを同期 SCIM でユーザーとグルー プを同期 構成するのはここ

57. Databricks Managed MCP Server と ChatGPT/Claude 連携

58. Managed MCP Servers による外部連携 fx Unity Catalog Functions MCP Server

    Vector Search Unity Catalog AI/BI Genie 顧客離反予測 1 user_id 2 churn_risk 3 email 4 phone_number 表 ChatGPT Claude/ Claude Code OAuth 2.0 Databricks以外のクライアントを Databricks MCPサーバーに 接続 https://docs.databricks.com/gcp/ja/generative-ai/mcp/conn ect-external-services#oauth%E3%81%AE%E4%BE%8B

59. ©2026 Databricks Inc. — All rights reserved