Поделиться через

Приём долей Delta Sharing с использованием федерации Open ID Connect (OIDC) в потоке "пользователь — компьютер" (открытый обмен данными)

На этой странице описывается, как получатели данных могут использовать приложение "пользователь — компьютер" (U2M), например Power BI, для установления доступа к общим папкам Delta Sharing, созданным в Azure Databricks с помощью федерации Open ID Connect (OIDC). Процесс аутентификации "пользователь-компьютер" (U2M) использует систему федерации OIDC, что позволяет веб-токенам JSON (JWTs), выданным поставщиком идентификации получателя, использоваться в качестве кратковременных маркеров OAuth, которые аутентифицируются Azure Databricks. Этот метод проверки подлинности Databricks-to-open sharing предназначен для получателей, у которых нет доступа к рабочей области Databricks, оснащенной функцией каталога Unity.

В федерации OIDC поставщик удостоверений получателя отвечает за выдачу токенов JWT и применение политик безопасности, таких как многофакторная аутентификация (MFA). Аналогичным образом, время жизни токена JWT управляется провайдером удостоверений получателя. Databricks не создает и не управляет этими токенами. Она только направляет запрос на аутентификацию на поставщика удостоверений (IdP) получателя и проверяет JWT в соответствии с настроенной политикой федерации получателя. Поставщики данных также могут делегировать аутентификацию федеративному поставщику удостоверений при процессе внутреннего обмена данными с другими пользователями или отделами в своей организации.

Федерация OIDC является альтернативой использованию долговечных маркеров носителя, выданных Azure Databricks, для подключения потребителей, не относящихся к Databricks, к поставщикам. Он обеспечивает точное управление доступом, поддерживает многофакторную проверку подлинности и снижает риски безопасности, устраняя необходимость управления и защиты общих учетных данных получателями. Сведения об использовании маркеров доступа для проверки подлинности общих папок см. в статье Создание объекта получателя для пользователей, не использующих Databricks, с помощью маркеров доступа (открытый общий доступ).

Эта страница предназначена для получателей, использующих приложения "пользователь-компьютер" (U2M), например, Power BI или Tableau. Сведения о том, как поставщики могут включить федерацию OIDC для получателей в Azure Databricks, см. Используйте федерацию Open ID Connect (OIDC), чтобы включить проверку подлинности для объектов Delta Sharing (открытый доступ). Сведения о потоке учетных данных клиента OAuth (machine-to-machine) (M2M) см. в статье "Получение токенов Delta Sharing" с использованием Python-клиента и федерации Open ID Connect (OIDC) в процессе машинного взаимодействия (открытый доступ).

На этой странице объясняется, как получатели данных могут использовать собственную систему управления удостоверениями (IdP) для доступа к ресурсам Delta Sharing, созданным в Databricks.

Общие сведения о потоке проверки подлинности "пользователь — компьютер" (U2M) с помощью федерации токенов OIDC

Чтобы использовать федерацию токенов OIDC для доступа к данным, предоставляемым поставщиком Databricks, выполните эти действия.

  1. Предоставьте поставщику Azure Databricks запрашиваемую информацию об удостоверяющем центре и пользователях.
  2. Используйте URL-адрес портала создания профиля OIDC, который поставщик отправляет для доступа к файлу профиля (Tableau) или странице входа OAuth (Power BI).

Получите значения полей политики OIDC из Entra ID

Если вы являетесь получателем и используете Microsoft Entra ID в качестве поставщика удостоверений, вы можете получить информацию, запрошенную поставщиком, следуйте этим указаниям. Сведения о других поставщиках удостоверений см. в документации.

  • URL-адрес издателя: это издатель токена, указанный в iss утверждении токенов JWT OIDC. Для Entra идентификатор используйте https://login.microsoftonline.com/{tenantId}/v2.0, замените {tenantId} на ваш идентификатор арендатора Entra. Сведения о том, как найти идентификатор клиента, см. в документации по идентификатору Microsoft Entra.

  • Утверждение субъекта: Обозначает поле в полезной нагрузке JWT, которое идентифицирует сущность (например, пользователя или группу), получающую доступ к данным. Используемое поле зависит от поставщика удостоверений (IdP) и вашего варианта использования. Например, в идентификаторе Microsoft Entra можно использовать следующие значения для сценариев U2M:

    • oid (Идентификатор объекта): выберите, когда одному пользователю требуется доступ.
    • groups: выберите, когда группе пользователей требуется доступ.

    Обратитесь к документации поставщиков удостоверений, чтобы определить подходящее утверждение субъекта, соответствующее вашим конкретным требованиям.

  • Субъект: уникальный идентификатор удостоверения, который может получить доступ к общим данным.

    • Если вы планируете предоставить общий доступ одному пользователю и выбрать oid утверждение субъекта, необходимо найти идентификатор объекта пользователя в соответствии с документацией по идентификатору Microsoft Entra ID и использовать его в качестве субъекта.
    • Если вы выбираете группы в качестве утверждения субъекта, необходимо найти идентификатор объекта группы объектов группы: в консоли идентификатора записи выберите группы и найдите группу. Идентификатор объекта отображается в строке группы в списке. Для работы с группами в консоли Entra выберите группы и найдите идентификатор объекта вашей группы.

  • Аудитория: для проверки подлинности U2M получатель не нуждается в этом значении. Поставщик Databricks всегда использует следующий идентификатор:

    64978f70-f6a6-4204-a29e-87d74bfea138

    Это идентификатор клиентского Databricks published multi-tenant App(DeltaSharing) приложения, зарегистрированного в OAuth, которое получатели используют для доступа к общим папкам Databricks с помощью Power BI и Tableau.

Примеры значений для Entra ID

Это пример конфигурации для совместного использования с конкретным пользователем с идентификатором 11111111-2222-3333-4444-555555555555 объекта в клиенте aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeeeEntra ID.

  • Эмитент: https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
  • Утверждение субъекта: oid (идентификатор объекта пользователя)
  • Тема: 11111111-2222-3333-4444-555555555555документация Microsoft Entra ID
  • Аудитория: 64978f70-f6a6-4204-a29e-87d74bfea138 (Это идентификатор клиента многопользовательского приложения, зарегистрированного Databricks в Entra ID)

Это примеры конфигураций для совместного использования с определенной группой с идентификатором 66666666-2222-3333-4444-555555555555 объекта в клиенте Entra ID aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee

  • Эмитент: https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
  • Утверждение субъекта: groups
  • Тема: 66666666-2222-3333-4444-555555555555 (Это идентификатор объекта группы, который можно найти в консоли Entra ID. Вы можете выбрать группу и найти идентификатор объекта вашей группы)
  • Аудитория: 64978f70-f6a6-4204-a29e-87d74bfea138 (Это идентификатор клиента многопользовательского приложения, зарегистрированного Databricks в Entra ID)

Примечание.

Для приложений U2M, таких как Power BI и Tableau, аудитория должна быть идентификатором мультитенантного приложения, зарегистрированного Databricks в идентификаторе Entra ID.64978f70-f6a6-4204-a29e-87d74bfea138

Дополнительные сведения о приложениях U2M и их политиках федерации OIDC см. в статье «Получение долей Delta Sharing с помощью федерации Open ID Connect (OIDC) в потоке "пользователь — компьютер" (открытый общий доступ)».

Доступ к общим данным с помощью Power BI

После создания политики поставщик предоставит вам ссылку на портал Databricks OIDC, которую можно открыть из любого места и использовать несколько раз. Эта ссылка не содержит конфиденциальной информации.

Требования

Power BI Desktop должен быть версии 2.141.1253.0 (выпущен 31 марта 2025 г.) или более поздней версии.

Доступ к общей папке

  1. Перейдите по URL-адресу портала профиля OIDC, которым с вами поделился поставщик Databricks.

    Запросите URL-адрес, если вы еще не получили его.

  2. На странице портала выберите тайл U2M и в разделе Для использования в Power BI скопируйте конечную точку обслуживания.

  3. В Power BI перейдите к разделу "Получить данные" и найдите "Delta Sharing", выберите "Delta Sharing" и нажмите кнопку "Подключить".

  4. В диалоговом окне "Разностный общий доступ" вставьте URL-адрес конечной точки обслуживания в поле URL-адрес сервера разностного общего доступа и нажмите кнопку "ОК".

  5. В диалоговом окне проверки подлинности Delta Sharing убедитесь, что OAuth выбран на боковой панели и нажмите кнопку "Войти".

    Вы будете перенаправлены на страницу входа Вашего поставщика идентификации. Войдите, как обычно.

  6. Вернитесь в диалоговое окно проверки подлинности Delta Sharing и нажмите кнопку "Подключиться".

  7. В навигаторе общие данные перечислены под URL-адресом Delta Sharing.

Утверждение мультитенантного приложения

Чтобы использовать опубликованное мультитенантное приложение Databricks (DeltaSharing), администратор клиента Entra ID должен открыть этот URL-адрес в браузере и войти с помощью удостоверения администратора, чтобы утвердить использование: https://login.microsoftonline.com/{organization}/adminconsent?client_id=64978f70-f6a6-4204-a29e-87d74bfea138 Пожалуйста, замените {organization} идентификатором арендатора Azure. Это однократное действие, дополнительные сведения здесь: https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal

Доступ к общим данным с помощью Tableau

Чтобы получить доступ к общей папке с помощью Tableau, выполните следующие действия.

  1. Перейдите по URL-адресу портала профиля OIDC, которым с вами поделился поставщик Databricks.

    Запросите URL-адрес, если вы еще не получили его.

  2. На странице портала выберите плитку U2M и в разделе "Чтобы использовать в Tableau", скачайте файл профиля.

  3. Найдите и скопируйте точку Delta Sharing.

  4. Откройте соединитель OAuth tableau Delta Sharing, чтобы автоматически пройти проверку подлинности с помощью поставщика удостоверений и запустить страницу соединителя.

  5. На странице соединителя вставьте URL-адрес конечной точки Delta Sharing. Токен носителя предварительно заполнен.

Дополнительные сведения см. в описании соединителя Tableau Delta Sharing в Databricks Labs.