1. はじめに

企業環境では、Azure Databricksのようなデータプラットフォームにおけるユーザー管理やアクセス権限の管理は、一般的にMicrosoft Entra ID(旧Azure Active Directory)を利用して行われます。しかし、以下のような作業を手動で実施している場合、

  • Databricks上でユーザーを個別に作成する
  • ユーザーごとにアクセス権限を付与する
  • 組織変更や人事異動に応じて権限や設定を更新する
  • ユーザー管理に多くの時間と運用工数

といった運用では、次のような課題が発生します。
がかかる

  • 権限付与や構成変更時に人的ミスが発生しやすい
  • ユーザー数やシステム規模の拡大に伴い、運用・保守が困難になる

これらの課題を解決するため、Azure DatabricksはSCIM(System for Cross-domain Identity Management)をサポートしています。SCIMプロビジョニングを利用することで、Microsoft Entra IDからAzure Databricksへユーザーやグループを自動的に同期できます。これにより、企業はMicrosoft Entra IDをID管理およびアクセス制御の中核として利用しながら、Azure Databricksにおけるユーザーやグループの作成、更新、削除を自動化できます。

本記事では、Microsoft Entra IDとAzure Databricksを連携するSCIMプロビジョニングについて紹介します。

SCIMプロビジョニングを活用することで、ユーザーやグループの管理を自動化し、手動による管理作業を削減できます。また、アクセス権限の一貫性を維持するとともに、データプラットフォーム全体のID管理を一元化する方法について解説します。

本記事を通じて、読者はSCIMの役割と、Microsoft Entra IDとAzure Databricksを連携するメリットを理解できるようになります。また、SCIMプロビジョニングのアーキテクチャ、前提条件、および構成手順を理解し、ユーザーやグループを自動同期するための設定を実施できるようになります。

さらに、ID管理をMicrosoft Entra IDに集約することで、運用効率の向上とセキュリティガバナンスの強化を実現する方法を理解できるようになります。

2. 前提条件

本手順を実施する前に、以下の条件を満たしていることを確認してください。

  • Microsoft Entra IDテナントを利用しており、グローバル管理者、クラウド アプリケーション管理者、またはアプリケーション管理者のいずれかの権限を保有していること
  • 利用可能なAzure Databricksワークスペース が構築されていること
  • ワークスペースでIDフェデレーションが有効化され、Databricksアカウントコンソールによって管理されていること
  • Databricksアカウントのアカウント管理者または同等の管理者権限を保有していること
  • Microsoft Entra IDでエンタープライズアプリケーションを作成または管理できる権限を保有していること
  • SCIMトークン を事前に準備していること
  • 同期対象のユーザーおよびグループがMicrosoft Entra IDに登録されていること
  • Microsoft Entra IDからAzure DatabricksのSCIM エンドポイントにアクセスできるネットワーク環境であること
  • Azure Databricksにアクセスするための安定したWebブラウザー が利用できること

3. SCIMプロビジョニングの概要

SCIMプロビジョニング(System for Cross-domain Identity Management)は、SCIM標準に基づいたユーザープロビジョニングの仕組みであり、Microsoft Entra IDとAzure Databricks間でユーザーやグループのライフサイクルを自動的に同期・管理する機能です。これにより、企業はIdentity Provider(IdP)上で ID を一元管理しながら、Azure Databricksにおけるユーザーやグループの作成、更新、削除、およびアクセス権限の付与・削除を自動化できます。

SCIMプロビジョニングの主な機能は以下のとおりです。

  • ユーザーライフサイクル管理
    Identity Provider(IdP)を通じて、ユーザーの作成、属性情報の更新、グループ同期、およびアクセス権限の削除を自動的に実行します。
  • ID管理システムとの連携
    Microsoft Entra IDに標準搭載されているSCIMプロビジョニング コネクタを利用して、Azure Databricksへユーザーおよびグループを自動同期できます。
  • SCIM APIによる管理
    外部のIdentity Provider(IdP)を利用しない場合でも、Azure Databricksが提供するSCIM APIを使用して、ユーザーやグループを直接管理できます

詳細については、公式ドキュメントを参照してください。

4. 実践デモンストレーションの実施:SCIMプロビジョニングを利用したAzure Databricksへのユーザーおよびグループ自動同期

このデモでは、SCIMプロビジョニングを構成し、Microsoft Entra IDからAzure Databricksへユーザーおよびグループを自動同期する手順を紹介します。

ユーザー一覧:user01@appadfstest.site

これらのユーザーはMicrosoft Entra IDに登録されており、SCIMプロビジョニングによってAzure Databricksへ自動的に同期されます。

今回の構成は、以下の手順で実施します。

  1. Azure DatabricksでSCIMプロビジョニングに必要な情報準備
  2. Microsoft Entra IDでエンタープライズアプリケーション作成
  3. Microsoft Entra IDとAzure Databricks間のSCIM接続の構成
  4. 同期対象となるユーザー割り当て
  5. プロビジョニングを有効化し、同期結果の確認

4-1. Azure DatabricksでSCIMプロビジョニングに必要な情報準備

まず、Databricksアカウントコンソールにアクセスします。

以下の手順を実施してください。
① Databricksワークスペースにアクセスする。
② 画面右上のワークスペース名をクリックし、「アカウントを管理」を選択してDatabricksアカウントコンソールを開く。

③ 「ユーザープロビジョニング」タブを選択し、「ユーザープロビジョニングをセットアップ」をクリックしてSCIMトークンを生成する。

生成されたSCIMトークンコピーし、安全な場所に格納する。 ※このトークンは、後続の手順でMicrosoft Entra IDとAzure Databricks間の接続を構成する際に使用する。

⑤ 「完了」ボタンをクリックしてSCIMトークンの生成を完了し、設定画面を閉じる。

4-2. Microsoft Entra IDでエンタープライズアプリケーション作成

次に、Microsoft Entra IDにエンタープライズアプリケーションを作成します。

以下の手順を実施してください。
① Azureポータルの左側サイドバーメニューから「Microsoft Entra ID」を選択する。

② 左のサイドメニューの「管理」 から「エンタープライズ アプリケーション」を選択する。

③「新しいアプリケーション」タブをクリックしてアプリケーションを作成する。

④ 検索ボックスに「Azure Databricks SCIM Provisioning Connector」を検索する。
⑤ 「リスク スコアを使用できません」ボタンをクリックする。

⑥ 「名前」項目に入力し、「作成」ボタンをクリックして実施する。

作成が完了すると、画面右上に完了通知が表示されます。

後続の設定で使用するため、「プロパティ」に表示されている各項目の値を控えておいてください。

4-3. Microsoft Entra IDとAzure Databricks間のSCIM接続の構成

続けて、Microsoft Entra IDとAzure DatabricksのSCIM接続を構成します。

以下の手順を実施してください。
 Azureポータルのサイドバーメニューから「Microsoft Entra ID」を選択する。

② 左のサイドメニューの「管理」 から「エンタープライズ アプリケーション」を選択する。

③ 先ほど作成したSCIMエンタープライズ アプリケーションの名前をコピーし、検索ボックスで検索する。
例:Azure Databricks SCIM Provisioning Connector

④ 検索結果から、対象のSCIMエンタープライズ アプリケーション を選択する。

⑤ 「管理」のドロップダウンを開き、左側のサイドバーメニューから「プロビジョニング」を選択する。

⑥「管理」のドロップダウンを開き、「プロビジョニング」を選択する。

⑦「プロビジョニング モード」項目で「自動」という値を変更する。

⑧ Databricksアカウントコンソールで取得したアカウントSCIM URLとSCIMトークンを、それぞれ「テナントのURL」および「シークレット トークン」に入力する。

⑨ 設定が完了したら、「テスト接続」をクリックして接続を確認する。

接続が正常に完了すると、画面右上に成功メッセージが表示されます。

⑩ 「保存」ボタンをクリックする。

設定の保存が完了すると、画面右上に通知メッセージが表示されます。

4-4. 同期対象となるユーザー割り当て

次に、同期対象となるユーザーを割り当てます。

以下の手順を実施してください。
① Azureポータルのサイドバーメニューから「Microsoft Entra ID」を選択する。

② 左のサイドメニューの「管理」 から「エンタープライズ アプリケーション」を選択する。

③ 先ほど作成したSCIMエンタープライズ アプリケーションの名前をコピーし、検索ボックスで検索する。
例:Azure Databricks SCIM Provisioning Connector

④ 検索結果から、対象のSCIMエンタープライズ アプリケーションを選択する。

⑤ 左側のサイドバーメニューから「ユーザーとグループ」を選択する。

⑥ 「ユーザーまたはグループの追加」タブをクリックする。

⑦ 「選択されていません」を選択する。

⑧ 事前に準備したAzure Databricksに同期するユーザーを選択して追加する。

⑨ 「選択」ボタンをクリックする。


⑩ 「割り当て」ボタンをクリックする。

ユーザーの追加が完了すると、画面右上に完了通知が表示されます。また、追加したユーザーが一覧に表示されます。

4-5. プロビジョニングを有効化し、同期結果の確認

次に、SCIMプロビジョニングを有効化し、同期された結果を確認します。

以下の手順を実施してください。
① Azureポータルのサイドバーメニューから「Microsoft Entra ID」を選択する。

② 左のサイドメニューの「管理」 から「エンタープライズ アプリケーション」を選択する。

③ 先ほど作成したSCIMエンタープライズ アプリケーションの名前をコピーし、検索ボックスで検索する。
例:Azure Databricks SCIM Provisioning Connector

④ 検索結果から、対象のSCIMエンタープライズ アプリケーションを選択する。

⑤ 左側のサイドバーメニューから「管理」のドロップダウンを開き、「プロビジョニング」を選択する。

⑥ 「プロビジョニング状態」項目のトグルスイッチで「オン」にする。

⑦ 「保存」ボタンをクリックして保存する。

保存が完了すると、画面右上に完了通知が表示されます。

続けて、Microsoft Entra IDのユーザーがDatabricksアカウントコンソールに同期されていることを確認します。

左側のサイドバーメニューから「ユーザー管理」を選択します。
検索ボックスに、Microsoft Entra IDに登録されているユーザーのメールアドレスを入力します。
例:user01@appadfstest.site

検索結果に、 Microsoft Entra IDから同期されたユーザーが表示されることを確認できます。

5. SCIMプロビジョニングと自動ID管理機能(Automatic identity management)の比較

特徴 ID の自動管理 SCIM プロビジョニング
ユーザーの同期
同期グループ

(直接メンバーのみ)

入れ子になったグループを同期する
サービス プリンシパルを同期する
Azure Databricks 内で既定で使用可能
すべての Microsoft Entra ID エディションで動作します
Microsoft Entra ID 管理者ロールなしで使用可能
ID フェデレーションが必要

適したユースケース:

  • SCIMプロビジョニングは、すでにSCIMを利用したID管理基盤を導入している環境や、SCIM標準を利用してユーザーおよびグループを同期する必要がある環境に適しています。
  • 一方、自動ID管理機能は、よりシンプルな構成で導入でき、ネストされたグループ(Nested Groups)やサービス プリンシパル(Service Principals) にも対応しています。 また、エンタープライズ アプリケーション の構成やSCIMトークンの管理も不要です。
  • 新規にAzure Databricksを導入する場合は、自動ID管理機能の利用が推奨されています。

6. まとめ

Microsoft Entra IDとAzure DatabricksをSCIMプロビジョニングで連携することで、ID管理を自動化し、両システム間でユーザーおよびグループを一貫して同期できるようになります。Databricks上で個別にユーザーを管理する代わりに、管理者はMicrosoft Entra ID上で一元管理を行い、ユーザーやグループの作成、更新、無効化をSCIMプロビジョニングに任せることができます。

また、自動同期の仕組みにより、ユーザー管理の運用負荷を軽減するとともに、アクセス権限の付与や変更に伴う人的ミスを抑制できます。さらに、人事異動や組織変更による情報もDatabricksに迅速に反映されるため、一貫性のあるID管理を維持できます。そのため、SCIMプロビジョニングは、拡張性を備えた標準的なID管理基盤を構築したい企業に適したソリューションといえます。

SCIM プロビジョニングを導入することで、Microsoft Entra IDを中心としたIDの一元管理を実現し、Databricksにおけるユーザー管理の効率化と運用負荷の削減が可能になります。これは、企業がデータ基盤の拡大に合わせて、拡張性とセキュリティを両立したアクセス管理を実現するための重要な基盤となります。

今回の記事が少しでも皆さんの新しい知識や業務のご参考になれば幸いです。

双日テックイノベーションでは、Azure Databricksの環境構築パッケージを用意しています。
Azure DatabricksやAzure活用、マイクロソフト製品の活用についてご相談事がありましたら
是非お問い合わせください!

Azure Databricks連載記事のまとめはこちら

お問い合わせはこちら


この記事を読んだ方へのオススメコンテンツはこちら


この記事を書いた人

Azure支援デスク 管理者
Azure支援デスク 管理者
双日テックイノベーション(旧:日商エレクトロニクス)特設サイト「Azure導入支援デスク」サイトマスターです。