Receba compartilhamentos do Delta Sharing usando a federação Open ID Connect (OIDC) em um fluxo de usuário para máquina (compartilhamento aberto)

info

Visualização

Esse recurso está em Public Preview.

Esta página descreve como os destinatários de dados podem usar um aplicativo "usuário para máquina" (U2M) (por exemplo, Power BI) para estabelecer acesso aos compartilhamentos do Delta Sharing criados no Databricks usando a federação Open ID Connect (OIDC). O fluxo de autenticação "de usuário para máquina" (U2M) usa a federação OIDC, permitindo que JSON tokens da Web (JWTs) emitidos pelo IdP do destinatário sejam usados como OAuth tokens de curta duração que são autenticados por Databricks. Esse método de autenticação -to-open compartilhamento foi Databricksdesenvolvido para destinatários que não têm acesso a um Unity Catalog habilitado Databricks workspace.

Na Federação OIDC, o IdP do destinatário é responsável pela emissão de tokens JWT e pela aplicação de políticas de segurança, como a autenticação multifator (MFA). Da mesma forma, o tempo de vida dos tokens JWT é regido pelo IdP do destinatário. Databricks não gera nem gerencia esses tokens. Ele só federa a autenticação ao IdP do destinatário e valida o JWT em relação à política de federação configurada pelo destinatário. Os provedores de dados também podem optar por federar a autenticação em seu próprio IdP ao compartilhar dados internamente com outros usuários ou departamentos de sua organização.

A federação OIDC é uma alternativa ao uso de tokens portadores emitidos pela Databricks de longa duração para conectar destinatários que não são da Databricks a provedores. Ele permite o controle de acesso refinado, suporta MFA e reduz os riscos de segurança, eliminando a necessidade de os destinatários gerenciarem e protegerem as credenciais compartilhadas. Para obter informações sobre como usar o portador tokens para gerenciar a autenticação em compartilhamentos, consulte Criar um objeto destinatário para usuários que não sejam doDatabricks usando o portador tokens (compartilhamento aberto).

Esta página é para destinatários que usam aplicativos "user-to-machine" (U2M) (por exemplo, Power BI ou Tableau). Para obter informações sobre como os provedores podem habilitar a federação OIDC para destinatários em Databricks, consulte Usar a federação Open ID Connect (OIDC) para habilitar a autenticação em compartilhamentos Delta Sharing (compartilhamento aberto). Para obter informações sobre o fluxo "machine-to-machine" (M2M) OAuth Client Credentials, consulte Receber Delta Sharing compartilhamentos usando um cliente Python e a federação Open ID Connect (OIDC) em um fluxo machine-to-machine (compartilhamento aberto).

Esta página explica como os destinatários dos dados podem usar seu próprio provedor de identidade (IdP) para acessar os compartilhamentos do Delta Sharing criados no Databricks.

Visão geral do fluxo de autenticação usuário-máquina (U2M) usando a federação de tokens OIDC

Para usar a federação de tokens OIDC para acessar os dados compartilhados por um provedor da Databricks, faça o seguinte:

1. Forneça ao provedor Databricks as informações do IdP e do usuário que ele solicitar.
2. Use a URL do portal de geração de perfil do OIDC que o provedor lhe envia para acessar um arquivo de perfil (Tableau) ou a página de login do OAuth (Power BI).

Obtenha os valores do campo de política do OIDC do Entra ID

Se o senhor, como destinatário, usar o Microsoft Entra ID como seu provedor de identidade, poderá obter as informações solicitadas pelo provedor seguindo estas instruções. Para outros IdPs, consulte a documentação deles.

• URL do emissor : Esse é o emissor de tokens, especificado na declaração iss do OIDC JWT tokens. Para o Entra ID é https://login.microsoftonline.com/{tenantId}/v2.0, substitua {tenantId} pelo seu Entra tenant ID. Para saber como encontrar seu tenant ID, consulte a documentação doMicrosoft Entra ID.

• Reivindicação de assunto : o campo na carga útil do JWT que identifica quais campos são o tipo de identidade que acessa os dados (por exemplo. usuário ou grupo).

  • Se você pretende que um único usuário no Entra ID acesse os dados compartilhados, escolha oid (ID do objeto).
  • Se você pretende compartilhar com um grupo de usuários, escolha groups.

• Assunto : o identificador exclusivo da identidade que pode acessar os dados compartilhados.

  • Se o senhor pretende compartilhar com um único usuário e escolher oid para a declaração de assunto, deverá encontrar o Object ID do usuário de acordo com a documentação do Microsoft Entra ID e usá-lo como assunto.
  • Se você escolher grupos como sujeito-reivindicação, deverá encontrar o ID do objeto do grupo ID do objeto de grupo: no console do Entra ID, selecione grupos e pesquise o grupo. A ID do objeto é exibida na linha do grupo na lista. Para reivindicar grupos, no Console Entra, selecione grupos e encontre o ID do objeto do seu grupo.

• Público : Para a autenticação U2M, o destinatário não precisa desse valor. O provedor Databricks sempre usa a seguinte ID:

  64978f70-f6a6-4204-a29e-87d74bfea138

  Esta é a ID do aplicativo cliente registrado no OAuth Databricks published multi-tenant App(DeltaSharing) que os destinatários usam para acessar os compartilhamentos da Databricks usando o Power BI e o Tableau.

Valores de exemplo para Entra ID

Estes são exemplos de configuração para compartilhamento com um usuário específico com Object ID 11111111-2222-3333-4444-555555555555 no Entra ID tenant aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee.

• Emissor: https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
• reivindicação de assunto: oid (ID do objeto de um usuário)
• Assunto: 11111111-2222-3333-4444-555555555555 Documentação do Microsoft Entra ID
• Audiências: 64978f70-f6a6-4204-a29e-87d74bfea138 (Este é o ID do cliente do aplicativo multitenant registrado por Databricks no Entra ID)

Estes são exemplos de configurações para compartilhamento com um grupo específico com Object ID 66666666-2222-3333-4444-555555555555 no Entra ID tenant aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee

• Emissor: https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
• reivindicação do assunto: groups
• Assunto: 66666666-2222-3333-4444-555555555555 (Esse é o ID do objeto do grupo, que pode ser encontrado no console do Entra ID. Você pode selecionar um grupo e encontrar o ID do objeto do seu grupo)
• Audiências: 64978f70-f6a6-4204-a29e-87d74bfea138 (Este é o ID do cliente do aplicativo multitenant registrado por Databricks no Entra ID)

nota

Para aplicativos U2M como Power BI e Tableau, o público deve ser o ID do aplicativotenant registrado por Databricks no Entra ID, que é 64978f70-f6a6-4204-a29e-87d74bfea138.

Para obter mais informações sobre aplicativos U2M e suas políticas de federação OIDC, consulte Receber compartilhamentos Delta Sharing usando a federação Open ID Connect (OIDC) em um fluxo de usuário para máquina (compartilhamento aberto).

Acesse o uso compartilhado de dados Power BI

Depois que o provedor criar a política para o senhor, ele compartilhará um link para o Portal OIDC da Databricks, que pode ser aberto de qualquer lugar e acessado várias vezes. Esse link não contém nenhuma informação confidencial.

Requisitos

O conector do Power BI deve estar em uma versão lançada em março de 2025 ou posterior.

Acesse o compartilhamento

1. Acesse o URL do portal de perfil do OIDC que o provedor do Databricks compartilhou com o senhor.

   Solicite o URL se você ainda não o recebeu.

2. Na página do portal, selecione o bloco U2M e, em Para usar no Power BI , copie o endpoint de serviço.

3. No Power BI, vá para Obter dados e pesquise Delta Sharing , selecione Delta Sharing (personalizado) e clique em Conectar .

4. Na caixa de diálogo Delta Sharing , cole o URL do endpoint de serviço no campo Delta Sharing Server URL e clique em OK .

5. Na caixa de diálogo de autenticação do Delta Sharing , certifique-se de que OAuth esteja selecionado na barra lateral e clique em Sign in (Entrar) .

   Você é direcionado para sua página de login do IdP. Faça login como o senhor costuma fazer.

6. Retorne à caixa de diálogo de autenticação do Delta Sharing e clique em Connect (Conectar ).

7. No Navigator, os dados compartilhados são listados em Delta Sharing URL.

Aprovação do aplicativo multilocatário

Para poder usar o aplicativo Databricks multitenant publicado (DeltaSharing), o administrador do Entra ID tenant precisa abrir este URL no navegador e fazer login com a identidade de administrador para aprovar o uso: https://login.microsoftonline.com/{organization}/adminconsent?client_id=64978f70-f6a6-4204-a29e-87d74bfea138. Substitua {organization} pelo seu Azure tenant ID. Esta é uma ação única, mais informações aqui: https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal.

Acesse o uso compartilhado de dados Tableau

Para acessar o compartilhamento usando o Tableau:

1. Acesse o URL do portal de perfil do OIDC que o provedor do Databricks compartilhou com o senhor.

   Solicite o URL se você ainda não o recebeu.

2. Na página do portal, selecione o bloco U2M e, em To use on Tableau , download o arquivo de perfil.

3. Localize e copie o endereço Delta Sharing endpoint.

4. Abra o conector Tableau Delta Sharing OAuth para se autenticar automaticamente com seu IdP e inicie a página do conector.

5. Na página do conector, cole o URL do endpoint do Delta Sharing. Os tokens de portador são pré-preenchidos.

Para obter mais informações, consulte o leia-me do conectorTableau Delta Sharing em Databricks Labs.