Erstellen eines Empfängerobjekts für Benutzer ohne Databricks mithilfe von Bearertoken (offene Freigabe)

In diesem Artikel wird beschrieben, wie Sie Delta-Freigabeempfänger erstellen, die keinen Zugriff auf einen Unity Catalog-aktivierten Databricks-Arbeitsbereich haben und diesen Empfängern Zugriff auf sicher freigegebene Daten mithilfe von Bearertoken gewähren. Dieser Authentifizierungsfluss wird zusammen mit dem OIDC-Token-Föderationsauthentifizierungsfluss als offenes Teilen bezeichnet.

So funktioniert es:

1. Als Datenanbieter erstellen Sie das Empfängerobjekt im Unity Catalog-Metastore.

2. Wenn Sie das Empfängerobjekt erstellen, wählen Sie die Bearertokenmethode aus, Azure Databricks generiert ein Token, eine Anmeldeinformationsdatei, die das Token enthält, und einen Aktivierungslink, den Sie für den Empfänger freigeben möchten.

   Das Empfängerobjekt verfügt über den Authentifizierungstyp von TOKEN. Sie können das Token nach Bedarf aktualisieren und widerrufen.

3. Der Empfänger greift auf den Aktivierungslink zu, lädt die Anmeldeinformationsdatei herunter und verwendet die Anmeldeinformationsdatei, um sich zu authentifizieren und Lesezugriff auf die Tabellen zu erhalten, die Sie in die Freigaben einschließen, auf die Sie ihnen Zugriff gewähren.

Der OIDC-Verbundfluss ist eine Alternative zum in diesem Artikel beschriebenen Bearertokenfluss. Es hat Vorteile in Bezug auf Sicherheit und Bequemlichkeit im Vergleich zum Bearer-Token-Flow. Weitere Informationen finden Sie unter Verwenden Sie die Open ID Connect (OIDC)-Föderation, um die Authentifizierung für Delta Sharing-Freigaben (offenes Teilen) zu aktivieren.

Empfänger erstellen

Um einen Empfänger für die offene Freigabe zu erstellen, können Sie den Katalog-Explorer, die CLI des Databricks Unity Catalog oder den CREATE RECIPIENT SQL-Befehl in einem Azure Databricks-Notizbuch oder den Databricks SQL-Abfrage-Editor verwenden.

Erforderliche Berechtigungen: Sie müssen ein Metastore-Administrator oder ein Benutzer mit der Berechtigung CREATE RECIPIENT für den Unity Catalog-Metastore sein, in dem die freizugebenden Daten registriert sind.

Katalog-Explorer

1. Klicken Sie im Azure Databricks-Arbeitsbereich auf das Katalog.

2. Klicken Sie oben im Bereich Katalog auf das Zahnradsymbol , und wählen Sie Delta Sharing aus.

   Klicken Sie alternativ auf der Seite Schnellzugriff auf die Schaltfläche Delta Sharing >.

3. Klicken Sie auf der Registerkarte " Von mir freigegeben " auf "Neuer Empfänger".

4. Geben Sie den Namen des Empfängers ein.

5. Wählen Sie für den Empfängertyp"Öffnen" aus.

6. Wählen Sie Token aus.

7. (Optional) Festlegen der Token-Lebensdauer Ablaufzeit (in Sekunden, Minuten, Stunden oder Tagen ab dem Zeitpunkt der Empfängererstellung). Die Option "Ablauf festlegen" ausgewählt lassen, um eine Ablaufzeit festzulegen. Token sind maximal ein Jahr nach der Erstellung gültig.

   Wenn Sie "Ablauf festlegen" auswählen und das Feld leer lassen, wird die Tokenlebensdauer standardmäßig auf den in der Metastorekonfiguration festgelegten Empfängertokenlebensdauerwert festgelegt. Siehe Ändern der Empfängertokenlebensdauer. Informationen zum Ändern der Tokenlebensdauer und zum Drehen von Token finden Sie unter Verwalten von Empfängertoken.

8. (Optional) Geben Sie einen Kommentar ein.

9. Klicken Sie auf "Erstellen".

10. Kopieren Sie den Aktivierungslink.

    Alternativ können Sie den Aktivierungslink später abrufen. Siehe Abrufen des Aktivierungslinks.

11. (Optional) Erstellen Sie benutzerdefinierte Empfängereigenschaften.

    Klicken Sie auf der Registerkarte Empfängerübersicht neben den Edit iconEmpfängereigenschaften auf das . Fügen Sie dann einen Eigenschaftsnamen (Key) und einen Wert hinzu. Ausführliche Informationen finden Sie unter "Verwalten von Empfängereigenschaften".

SQL

Führen Sie in einem Notebook oder im Databricks SQL-Abfrage-Editor den folgenden Befehl aus:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[COMMENT "<comment>"];

Sie können auch benutzerdefinierte Eigenschaften für den Empfänger hinzufügen. Ausführliche Informationen finden Sie unter "Verwalten von Empfängereigenschaften".

Befehlszeilenschnittstelle (CLI)

Führen Sie über die Databricks-CLI den folgenden Befehl aus.

databricks recipients create <recipient-name>

Sie können auch benutzerdefinierte Eigenschaften für den Empfänger hinzufügen. Ausführliche Informationen finden Sie unter "Verwalten von Empfängereigenschaften".

Die Ausgabe enthält die Aktivierungs-URL (activation_url), die Sie an den Empfänger weitergeben.

Der Empfänger wird mit dem folgenden Authentifizierungstyp (authentication_type) erstellt: TOKEN.

Abrufen des Aktivierungslinks

Um den Aktivierungslink des neuen Empfängers abzurufen, können Sie den Katalog-Explorer, die Cli des Databricks Unity Catalog oder den DESCRIBE RECIPIENT SQL-Befehl in einem Azure Databricks-Notizbuch oder dem SQL-Abfrage-Editor für Databricks verwenden.

Wenn der Empfänger die Anmeldeinformationsdatei bereits heruntergeladen hat, wird der Aktivierungslink nicht zurückgegeben oder angezeigt.

Erforderliche Berechtigungen: Metastore-Administrator, Benutzer mit den USE RECIPIENT-Berechtigungen oder Empfängerobjektbesitzer.

Katalog-Explorer

1. Klicken Sie im Azure Databricks-Arbeitsbereich auf das Katalog.

2. Klicken Sie oben im Bereich Katalog auf das Zahnradsymbol , und wählen Sie Delta Sharing aus.

   Klicken Sie alternativ auf der Seite Schnellzugriff auf die Schaltfläche Delta Sharing >.

3. Klicken Sie auf der Registerkarte Von mir freigegeben auf Empfänger, und wählen Sie den Empfänger aus.

4. Kopieren Sie auf der Seite "Empfängerdetails" den Link "Aktivierung".

SQL

Führen Sie in einem Notebook oder im Databricks SQL-Abfrage-Editor den folgenden Befehl aus.

DESCRIBE RECIPIENT <recipient-name>;

Die Ausgabe enthält den Aktivierungslink (activation_link).

Befehlszeilenschnittstelle (CLI)

Führen Sie über die Databricks-CLI den folgenden Befehl aus.

databricks recipients get <recipient-name>

Die Ausgabe enthält den Aktivierungslink (activation_url).

Zuweisen des Empfängerzugriffs auf eine Freigabe

Nachdem Sie den Empfänger erstellt und Freigaben erstellt haben, können Sie dem Empfänger Zugriff auf diese Freigaben gewähren.

Wenn Sie Empfängern Zugriff auf eine Freigabe gewähren möchten, können Sie hierzu den Katalog-Explorer, die Databricks Unity Catalog-Befehlszeilenschnittstelle oder den SQL-Befehl GRANT ON SHARE in einem Azure Databricks-Notebook oder im Databricks SQL-Abfrage-Editor verwenden.

Erforderliche Berechtigungen: Eine der folgenden Berechtigungen:

• Metastore-Administrator.
• Delegierte Berechtigungen oder Besitz sowohl für die Freigabe als auch für die Empfängerobjekte ((USE SHARE + SET SHARE PERMISSION) oder Person im Besitz der Freigabe) UND (USE RECIPIENT oder Person im Besitz des Empfängers).

Anweisungen finden Sie unter Verwalten des Zugriffs auf Delta Sharing-Datenfreigaben (für Anbieter).

Schicken Sie dem Empfänger seine Verbindungsinformationen

Sie müssen dem Empfänger mitteilen, wie Sie auf die Daten zugreifen können, die Sie für sie freigeben. Verwenden Sie einen sicheren Kanal, um den Aktivierungslink und einen Link zu Anweisungen zur Verwendung freizugeben.

Sie können die Anmeldeinformationsdatei nur einmal herunterladen. Empfänger sollten die heruntergeladenen Anmeldeinformationen als geheim behandeln und dürfen sie nicht außerhalb ihrer Organisation freigeben. Wenn Sie Bedenken haben, dass ein Berechtigungsnachweis möglicherweise unsicher behandelt wurde, können Sie jederzeit die Berechtigung eines Empfängers rotieren. Weitere Informationen zum Verwalten von Anmeldeinformationen, um den sicheren Empfängerzugriff sicherzustellen, finden Sie unter Sicherheitsaspekte für Token.

Verwalten von Empfängertoken

Wenn Sie Daten mit einem Empfänger unter Verwendung des Open-Sharing-Bearer-Token-Flows teilen, müssen Sie möglicherweise das Token dieses Empfängers rotieren. Das Drehen eines Tokens besteht darin, ein vorhandenes Token so festzulegen, dass es abläuft und durch ein neues Token und eine neue Aktivierungs-URL ersetzt wird.

Sie sollten das Token eines Empfängers drehen und unter folgenden Umständen eine neue Aktivierungs-URL generieren:

• Wenn das vorhandene Empfängertoken bald abläuft.
• Wenn ein Empfänger seine Aktivierungs-URL verliert oder kompromittiert ist.
• Wenn die Anmeldeinformationen beschädigt, verloren gehen oder kompromittiert werden, nachdem sie von einem Empfänger heruntergeladen wurden.
• Wenn Sie die Lebensdauer des Empfängertokens für einen Metastore ändern. Siehe Ändern der Empfängertokenlebensdauer.

Sicherheitsüberlegungen für Token

Zu einem bestimmten Zeitpunkt kann ein Empfänger über höchstens zwei Token verfügen: ein aktives Token und ein gedrehtes Token. Das gedrehte Token ist ein Token, das so eingestellt wurde, dass es abläuft und durch das aktive Token ersetzt wird. Bis das rotierte Token abläuft, führt der Versuch, das Token erneut zu rotieren, zu einem Fehler.

Wenn Sie das Token eines Empfängers drehen, können Sie optional die Anzahl von Sekunden festlegen --existing-token-expire-in-seconds , bevor das vorhandene Empfängertoken ( d. h. das token, das gedreht werden soll) abläuft. Wenn Sie den Wert 0auf "" festlegen, läuft das vorhandene Empfängertoken sofort ab.

Databricks empfiehlt, einen relativ kurzen Zeitraum festzulegen --existing-token-expire-in-seconds , der der Empfängerorganisation Zeit für den Zugriff auf die neue Aktivierungs-URL gibt und gleichzeitig die Zeitspanne minimiert, in der der Empfänger über zwei aktive Token verfügt. Wenn Sie vermuten, dass das vorhandene Empfängertoken kompromittiert ist, empfiehlt Databricks, dass Sie erzwingen, dass es sofort abläuft.

Wenn auf die vorhandene Aktivierungs-URL eines Empfängers nie zugegriffen wurde, wird durch Drehen des vorhandenen Tokens diese Aktivierungs-URL ungültig und durch eine neue ersetzt.

Wenn alle Empfängertoken abgelaufen sind, ersetzt das Drehen des Tokens die vorhandene Aktivierungs-URL durch eine neue. Databricks empfiehlt, einen Empfänger, dessen Token abgelaufen ist, umgehend zu rotieren oder zurückzuziehen.

Wenn eine Empfängeraktivierungs-URL versehentlich an die falsche Person gesendet wird oder über einen unsicheren Kanal gesendet wird, empfiehlt Databricks Folgendes:

1. Widerrufen Sie den Zugriff des Empfängers auf die Freigabe.
2. Drehen Sie den Empfänger und legen Sie --existing-token-expire-in-seconds auf 0 fest.
3. Geben Sie die neue Aktivierungs-URL für den vorgesehenen Empfänger über einen sicheren Kanal frei.
4. Nachdem auf die Aktivierungs-URL zugegriffen wurde, gewähren Sie dem Empfänger erneut Zugriff auf die Freigabe.

In extremen Situationen können Sie, anstatt das Token des Empfängers zu rotieren, den Empfänger löschen und neu erstellen.

Drehen des Empfängertokens

Um das Token eines Empfängers zu drehen, können Sie den Katalog-Explorer oder die Databricks Unity Catalog CLI verwenden.

Erforderliche Berechtigungen: Besitzer des Empfängerobjekts

Katalog-Explorer

1. Klicken Sie im Azure Databricks-Arbeitsbereich auf das Katalog.

2. Erweitern Sie im linken Bereich das Menü "Delta-Freigabe" , und wählen Sie "Von mir freigegeben" aus.

3. Klicken Sie oben im Bereich Katalog auf das Zahnradsymbol , und wählen Sie Delta Sharing aus.

   Klicken Sie alternativ auf der Seite Schnellzugriff auf die Schaltfläche Delta Sharing >.

4. Klicken Sie auf der Registerkarte Von mir freigegeben auf Empfänger, und wählen Sie den Empfänger aus.

5. Klicken Sie auf der Registerkarte Details unter Tokenablauf auf Rotieren.

6. Legen Sie im Dialogfeld Token rotieren fest, ob das Token sofort oder nach einem bestimmten Zeitraum ablaufen soll. Hinweise zum Ablauf vorhandener Token finden Sie unter Sicherheitsüberlegungen für Token.

7. Klicken Sie auf "Drehen".

8. Kopieren Sie auf der Registerkarte "Details " den neuen Aktivierungslink , und teilen Sie ihn mit dem Empfänger über einen sicheren Kanal. Siehe Abrufen des Aktivierungslinks.

Befehlszeilenschnittstelle (CLI)

1. Führen Sie über die Databricks-CLI den folgenden Befehl aus. Ersetzen Sie folgende Platzhalterwerte:

   • <recipient-name>: der Name des Empfängers.
   • <expiration-seconds>: Die Anzahl der Sekunden, bis das vorhandene Empfängertoken abläuft. In diesem Zeitraum funktioniert das vorhandene Token weiterhin. Ein Wert von 0 bedeutet, dass das vorhandene Token sofort abläuft. Hinweise zum Ablauf vorhandener Token finden Sie unter Sicherheitsüberlegungen für Token.

   databricks recipients rotate-token \
   <recipient-name> \
   <expiration-seconds>
   

2. Rufen Sie den neuen Aktivierungslink des Empfängers ab, und teilen Sie ihn mit dem Empfänger über einen sicheren Kanal. Siehe Abrufen des Aktivierungslinks.

Ändern der Lebensdauer des Empfängertokens

Wenn Sie die Standardlebensdauer des Empfängertokens für Ihren Unity Catalog-Metastore ändern müssen, können Sie den Katalog-Explorer oder die Databricks Unity Catalog CLI verwenden.

Erforderliche Berechtigungen: Kontoadministrator.

Katalog-Explorer

1. Melden Sie sich bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf das Katalog.
3. Klicken Sie auf den Namen des Metastores.
4. Klicken Sie unter Gültigkeitsdauer des Delta Sharing-Empfängertokens auf Bearbeiten.
5. Aktivieren Sie die Option Ablauf festlegen.
6. Geben Sie die Anzahl der Sekunden, Minuten, Stunden oder Tage ein, und wählen Sie eine Maßeinheit aus. Token sind maximal ein Jahr nach der Erstellung gültig.
7. Klicken Sie auf Speichern.

Befehlszeilenschnittstelle (CLI)

Führen Sie über die Databricks-CLI den folgenden Befehl aus. Ersetzen Sie 12a345b6-7890-1cd2-3456-e789f0a12b34 durch den Metastore UUID und 86400 durch die Anzahl von Sekunden, bevor das Empfängertoken abläuft. Token sind maximal ein Jahr nach der Erstellung gültig.

databricks metastores update \
12a345b6-7890-1cd2-3456-e789f0a12b34 \
--delta-sharing-recipient-token-lifetime-in-seconds 86400