Pular para o conteúdo principal
Última atualização em

Ler dados compartilhados usando federação Open ID Connect (OIDC) em um fluxo U2M

Esta página descreve como os destinatários de dados podem usar um aplicativo 'user-to-machine' (U2M) (por exemplo, Power BI) para estabelecer acesso a compartilhamentos do OpenSharing criados no Databricks usando a federação Open ID Connect (OIDC). O fluxo de autenticação "user-to-machine" (U2M) usa a federação OIDC, permitindo que JSON Web Tokens (JWTs) emitidos pelo IdP do destinatário sejam usados como tokens OAuth de curta duração que são autenticados pelo Databricks. Este Databricks-para-compartilhamento aberto método de autenticação é projetado para destinatários que não têm acesso a um Databricks workspace habilitado para Unity Catalog.

Na Federação OIDC, o IdP do destinatário é responsável por emitir tokens JWT e aplicar políticas de segurança, como a Autenticação Multifator (MFA). Da mesma forma, a duração do token JWT é regida pelo IdP do destinatário. O Databricks não gera nem gerencia estes tokens. Ele apenas federa a autenticação para o IdP do destinatário e valida o JWT contra a política de federação configurada do destinatário. Os provedores de dados também podem optar por federar a autenticação para seu próprio IdP no compartilhamento de dados internamente com outros usuários ou departamentos dentro de sua organização.

A federação OIDC é uma alternativa para usar tokens de portador de longa duração emitidos pelo Databricks para conectar destinatários que não são do Databricks a provedores. Ele permite controle de acesso refinado, oferece suporte a MFA e reduz os riscos de segurança ao eliminar a necessidade de que os destinatários gerenciem e protejam credenciais compartilhadas. Para obter informações sobre o uso de tokens de acesso para gerenciar a autenticação para compartilhamentos, em vez disso, consulte Criar um objeto de destinatário para usuários que não são do Databricks usando tokens de acesso (Compartilhamento Databricks para Open).

Esta página é para destinatários que usam aplicativos "user-to-machine" (U2M) (por exemplo, Power BI ou Tableau). Para obter informações sobre como os provedores podem habilitar a federação OIDC para destinatários no Databricks, consulte Habilitar a federação Open ID Connect (OIDC) para destinatários do OpenSharing. Para obter informações sobre o fluxo de Credenciais de Cliente OAuth "machine-to-machine" (M2M), consulte Ler dados compartilhados usando federação Open ID Connect (OIDC) em um fluxo M2M.

Esta página explica como os destinatários de dados podem usar seu próprio provedor de identidade (IdP) para acessar compartilhamentos OpenSharing criados no Databricks.

Visão geral do fluxo de autenticação user-to-machine (U2M) usando federação de tokens OIDC

Para usar a federação de tokens OIDC para acesso a dados compartilhados por um provedor Databricks, faça o seguinte:

  1. Forneça ao provedor Databricks as informações de IdP e de usuário que ele solicitar.
  2. Use o URL do portal de geração de perfil OIDC que o provedor envia para acessar um arquivo de perfil (Tableau) ou a página de login do OAuth (Power BI).

Obter os valores dos campos da política OIDC do Entra ID

Se você, como destinatário, usar o Microsoft Entra ID como seu provedor de identidade, poderá obter as informações solicitadas pelo provedor seguindo estas instruções. Para outros IdPs, consulte a documentação deles.

  • URL do Emissor : Este é o emissor do token, especificado na declaração iss dos tokens JWT OIDC. Para o Entra ID, é https://login.microsoftonline.com/{tenantId}/v2.0, substitua {tenantId} pelo ID do tenant do Entra. Para saber como encontrar seu ID de tenant, consulte a documentação do Microsoft Entra ID.

  • Declaração de Assunto : Refere-se ao campo no payload JWT que identifica a entidade (por exemplo, usuário ou grupo) que acessa os dados. O campo específico usado depende do seu Provedor de Identidade (IdP) e do seu caso de uso. Por exemplo, no Microsoft Entra ID, poderá usar os seguintes valores para cenários U2M:

    • oid (ID do Objeto) : Selecione quando um único usuário requer acesso.
    • groups ** **: Selecione quando um grupo de usuários requer acesso.

    Para outros IdPs, consulte a documentação deles para determinar a declaração de assunto apropriada para seus requisitos específicos.

  • Assunto : o identificador exclusivo da identidade que pode acessar os dados compartilhados.

    • Se você pretende compartilhar com um único usuário e escolher oid para a reivindicação do assunto, então você deve encontrar o Object ID do usuário de acordo com a documentação do Microsoft Entra ID e usar isso como assunto.
    • Se você escolher grupos como declaração de assunto, deverá encontrar o ID do objeto do grupo. ID do objeto do grupo: No console do Entra ID, selecione grupos e pesquise o grupo. O ID do objeto é exibido na linha do grupo na lista. Para a declaração de grupos, no Console do Entra ID, selecione grupos e encontre o ID do objeto do seu grupo.

  • Público : Para autenticação U2M, o destinatário não precisa desse valor. O provedor Databricks sempre usa o seguinte ID:

    64978f70-f6a6-4204-a29e-87d74bfea138

    Este é o ID para o aplicativo cliente Databricks published multi-tenant App(DeltaSharing) registrado com OAuth que os destinatários usam para acessar compartilhamentos Databricks usando Power BI e Tableau.

Valores de exemplo para o Entra ID

Estas são configurações de exemplo para compartilhamento com um usuário específico com o ID de Objeto 11111111-2222-3333-4444-555555555555 no tenant Entra ID aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee.

  • Emissor: https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
  • declaração de assunto: oid (ID de Objeto de um usuário)
  • Assunto: 11111111-2222-3333-4444-555555555555 documentação do Microsoft Entra ID
  • Públicos-alvo: 64978f70-f6a6-4204-a29e-87d74bfea138 (Este é o ID do cliente do aplicativo multi-tenant registrado pelo Databricks no Entra ID)

Estas são configurações de exemplo para compartilhamento com um grupo específico com o Object ID 66666666-2222-3333-4444-555555555555 no tenant do Entra ID aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee

  • Emissor: https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
  • declaração de assunto: groups
  • Assunto: 66666666-2222-3333-4444-555555555555 (Este é o Object ID do grupo, que pode ser encontrado no console do Entra ID.) É possível selecionar um grupo e localizar o ID do objeto do seu grupo)
  • Públicos-alvo: 64978f70-f6a6-4204-a29e-87d74bfea138 (Este é o ID do cliente do aplicativo multi-tenant registrado pelo Databricks no Entra ID)
nota

Para aplicativos U2M como Power BI e Tableau, o público deve ser o ID do aplicativo multi-tenant registrado pelo Databricks no Entra ID, que é 64978f70-f6a6-4204-a29e-87d74bfea138.

Para mais informação sobre aplicações U2M e as suas políticas de Federação OIDC, consulte Ler dados compartilhados usando federação Open ID Connect (OIDC) em um fluxo U2M.

Acesse os dados compartilhados usando Power BI.

Após o provedor criar a política para você, eles compartilharão um link para o Portal OIDC do Databricks, que pode ser aberto de qualquer lugar e acessado várias vezes. Este link não contém nenhuma informação sensível.

Requisitos

O Power BI Desktop deve ser a versão 2.141.1253.0 (lançado em 31 de março de 2025) ou posterior.

Acesse o compartilhamento

  1. Acesse o URL do portal de perfil OIDC que o provedor Databricks compartilhou com você.

    Solicite a URL caso ainda não a tenha recebido.

  2. Na página do portal, selecione o bloco U2M e, em Para usar no Power BI , copie o endpoint de disponibilização.

  3. No Power BI, vá para Obter dados e pesquise por *Delta Sharing*, selecione OpenSharing e clique em Conectar.

  4. Na caixa de diálogo OpenSharing , cole a URL do endpoint de serviço no campo OpenSharing Server URL e clique em OK .

  5. No diálogo de autenticação OpenSharing , certifique-se de que OAuth esteja selecionado na barra lateral e clique em Entrar .

    Você é direcionado para sua página de log in do IdP. Log in como você costuma fazer.

  6. Retorne para o diálogo de autenticação do **OpenSharing** e clique em **Conectar**.

  7. No Navigator, os dados compartilhados são listados sob o URL do OpenSharing.

Aprovar aplicativo multitenant

Para poder usar o aplicativo multi-tenant publicado do Databricks (DeltaSharing), o administrador do tenant do Entra ID precisa abrir este URL em seu navegador e fazer login com identidade de administrador para aprovar o uso: https://login.microsoftonline.com/{organization}/adminconsent?client_id=64978f70-f6a6-4204-a29e-87d74bfea138. Substitua {organization} pelo ID do seu tenant Azure. Esta é uma ação única, mais informações aqui: https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal.

Acesse os dados compartilhados usando o Tableau

Para acessar o compartilhamento usando o Tableau:

  1. Acesse o URL do portal de perfil OIDC que o provedor Databricks compartilhou com você.

    Solicite a URL caso ainda não a tenha recebido.

  2. Na página do portal, selecione o bloco U2M e, em Para usar no Tableau , baixe o arquivo de perfil.

  3. Encontre e copie o OpenSharing endpoint.

  4. Abrir o conector OAuth do Tableau OpenSharing para autenticar automaticamente com seu IdP e abrir a página do conector.

  5. Na página do conector, cole a URL do endpoint OpenSharing. O token do portador é pré-preenchido.

Para obter mais informações, consulte o leia-me do conector Tableau OpenSharing no Databricks Labs.

Nesta página