Recepción de recursos compartidos de Delta Sharing mediante Federación de Open ID Connect (OIDC) en un flujo de máquina a máquina (uso compartido abierto)

En esta página se describe cómo los destinatarios de datos pueden usar una aplicación "usuario a máquina" (U2M) (por ejemplo, Power BI) para establecer el acceso a los recursos compartidos de Delta Sharing creados en Azure Databricks mediante la federación de Open ID Connect (OIDC). El flujo de autenticación "usuario a máquina" (U2M) usa la federación de OIDC, lo que permite que los tokens web JSON (JWT) emitidos por el IdP del destinatario se usen como tokens de OAuth de corta duración autenticados por Azure Databricks. Este método de autenticación de uso compartido abierto de Databricks está diseñado para los destinatarios que no tienen acceso a un área de trabajo de Databricks habilitada para Unity Catalog.

En la federación de OIDC, el IdP del destinatario es responsable de emitir tokens JWT y aplicar directivas de seguridad, como Multi-Factor Authentication (MFA). Del mismo modo, la duración del token JWT se rige por el IdP del destinatario. Databricks no genera ni administra estos tokens. Solo federa la autenticación al IdP del destinatario y valida el JWT contra la directiva de federación configurada del destinatario. Los proveedores de datos también pueden optar por federar la autenticación a su propio IdP al compartir datos internamente con otros usuarios o departamentos dentro de su organización.

La federación de OIDC es una alternativa al uso de tokens de portador de larga duración emitidos por Azure Databricks para conectar a los destinatarios que no pertenecen a Databricks con los proveedores. Permite el control de acceso específico, admite MFA y reduce los riesgos de seguridad eliminando la necesidad de que los destinatarios administren y protejan las credenciales compartidas. Para obtener información sobre cómo usar tokens portadores para gestionar la autenticación en recursos compartidos, consulte Crear un objeto destinatario para usuarios que no son de Databricks utilizando tokens portadores (compartición abierta).

Esta página es para los destinatarios que usan aplicaciones de "usuario a máquina" (U2M) (por ejemplo, Power BI o Tableau). Para obtener información sobre cómo los proveedores pueden habilitar la federación de OIDC para los destinatarios en Azure Databricks, consulte Usar la federación de Open ID Connect (OIDC) para habilitar la autenticación en Delta Sharing (uso compartido abierto). Para obtener información sobre el flujo de credenciales de cliente de OAuth de "máquina a máquina" (M2M), vea Recibir comparticiones de Delta Sharing mediante un cliente de Python y la federación de Open ID Connect (OIDC) en un flujo de máquina a máquina (compartición abierta).

En esta página se explica cómo los destinatarios de datos pueden usar su propio proveedor de identidades (IdP) para acceder a los recursos compartidos de Delta Sharing creados en Databricks.

Información general sobre el flujo de autenticación de usuario a máquina (U2M) mediante la federación de tokens de OIDC

Para usar la federación de tokens de OIDC para el acceso a los datos compartidos por un proveedor de Databricks, haga lo siguiente:

1. Proporcione al proveedor de Azure Databricks la información de idP y de usuario que solicitan.
2. Use la dirección URL del portal de generación de perfiles de OIDC que el proveedor le envía para acceder a un archivo de perfil (Tableau) o a una página de inicio de sesión de OAuth (Power BI).

Obtención de los valores de los campos de la directiva OIDC de Entra ID

Si, como destinatario, usa Microsoft Entra ID como proveedor de identidades, puedes obtener la información solicitada por el proveedor siguiendo estas instrucciones. Para otros IdP, consulte la documentación.

• URL del emisor: este es el emisor del token, especificado en la iss declaración de los tokens JWT de OIDC. Para Entra ID es https://login.microsoftonline.com/{tenantId}/v2.0, reemplace {tenantId} por el id. de inquilino de Entra. Para obtener información sobre cómo encontrar el identificador de inquilino, consulte la documentación de Microsoft Entra ID.

• Reclamación del sujeto: hace referencia al campo en la carga del JWT que identifica la entidad (por ejemplo, usuario o grupo) que accede a los datos. El campo específico usado depende del proveedor de identidades (IdP) y del caso de uso. Por ejemplo, en Microsoft Entra ID, puede usar los siguientes valores para escenarios U2M:

  • oid (Id. de objeto):seleccione cuando un solo usuario requiera acceso.
  • groups: seleccione cuando un grupo de usuarios requiera acceso.

  Para otros IdP, consulte su documentación para determinar la declaración de sujeto adecuada para sus requisitos específicos.

• Asunto: el identificador único de la identidad que puede acceder a los datos compartidos.

  • Si tiene intención de compartir con un único usuario y elige oid para la notificación del asunto, debe encontrar el id. de objeto del usuario según la documentación de Microsoft Entra ID y usarlo como asunto.
  • Si elige grupos como notificación de asunto, debe encontrar el id. de objeto de grupo Id. de objeto de grupo: en la consola de Entra ID, seleccione grupos y busque el grupo. El identificador de objeto se muestra en la fila de grupo de la lista. Para la notificación de grupos, en la consola Entra, seleccione grupos y busque el id. de objeto del grupo.

• Audiencia: para la autenticación U2M, el destinatario no necesita este valor. El proveedor de Databricks siempre usa el identificador siguiente:

  64978f70-f6a6-4204-a29e-87d74bfea138

  Este es el identificador de la Databricks published multi-tenant App(DeltaSharing) aplicación cliente registrada por OAuth que los destinatarios usan para acceder a los recursos compartidos de Databricks mediante Power BI y Tableau.

Valores de ejemplo para Entra ID

Se trata de una configuración de ejemplo para compartir con un usuario específico con el id. de objeto 11111111-2222-3333-4444-555555555555 en el inquilino de Entra ID aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee.

• Emisor: https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
• notificación de asunto: oid (id. de objeto de un usuario)
• Asunto: 11111111-2222-3333-4444-555555555555Documentación de Microsoft Entra ID
• Audiencias: 64978f70-f6a6-4204-a29e-87d74bfea138 (este es el identificador de cliente de la aplicación multiinquilino registrada por Databricks en Entra ID)

Se trata de configuraciones de ejemplo para compartir con un grupo específico con el id. de objeto 66666666-2222-3333-4444-555555555555 en el inquilino de Entra ID aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee

• Emisor: https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
• reclamación del sujeto: groups
• Asunto: 66666666-2222-3333-4444-555555555555 (este es el identificador de objeto del grupo, que se puede encontrar en la consola de Entra ID. Puede seleccionar un grupo y buscar el identificador de objeto del grupo).
• Audiencias: 64978f70-f6a6-4204-a29e-87d74bfea138 (este es el identificador de cliente de la aplicación multiinquilino registrada por Databricks en Entra ID)

Para obtener más información sobre las aplicaciones U2M y sus directivas de federación de OIDC, consulte Recepción de recursos compartidos de Delta Sharing mediante la federación de Open ID Connect (OIDC) en un flujo de usuario a equipo (uso compartido abierto).

Acceso a los datos compartidos mediante Power BI

Una vez que el proveedor crea la directiva para ti, compartirán un vínculo al portal de OIDC de Databricks, que se puede abrir desde cualquier lugar y acceder a él varias veces. Este vínculo no contiene información confidencial.

Requisitos

Power BI Desktop debe ser la versión 2.141.1253.0 (publicada el 31 de marzo de 2025) o posterior.

Acceso al recurso compartido

1. Vaya a la dirección URL del portal de perfiles de OIDC que el proveedor de Databricks ha compartido con usted.

   Solicite la dirección URL si aún no la ha recibido.

2. En la página del portal, seleccione el icono U2M y, en Para usarlo en Power BI, copie el punto de conexión de servicio.

3. En Power BI, vaya a Obtener datos y busque Uso compartido delta, seleccione Uso compartido delta y haga clic en Conectar.

4. En el cuadro de diálogo Delta Sharing, pegue la dirección URL del punto de conexión de servicio en el campo Delta Sharing Server URL y haga clic en Aceptar.

5. En el cuadro de diálogo de autenticación Delta Sharing, verifique que OAuth esté seleccionado en la barra lateral y haga clic en Iniciar sesión.

   Se le lleva a la página de inicio de sesión de IdP. Inicie sesión como lo hace normalmente.

6. Vuelva al cuadro de diálogo Delta Sharing y haga clic en Conectar.

7. En el navegador, los datos compartidos aparecen en la Delta Sharing URL.

Aprobación de una aplicación multiinquilino

Para poder usar la aplicación multiinquilino publicada de Databricks (DeltaSharing), el administrador de inquilinos de Entra ID debe abrir esta dirección URL en su explorador e iniciar sesión con la identidad de administrador para aprobar el uso: https://login.microsoftonline.com/{organization}/adminconsent?client_id=64978f70-f6a6-4204-a29e-87d74bfea138. Reemplace {organization} con su identificador de inquilino de Azure. Esta es una acción única, más información aquí: https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal.

Acceso a los datos compartidos mediante Tableau

Para acceder al recurso compartido mediante Tableau:

1. Vaya a la dirección URL del portal de perfiles de OIDC que el proveedor de Databricks ha compartido con usted.

   Solicite la dirección URL si aún no la ha recibido.

2. En la página del portal, seleccione el icono U2M y, en Para usarlo en Tableau, descargue el archivo de perfil.

3. Busque y copie el punto de conexión de Delta Sharing.

4. Abra el conector de Tableau Delta Sharing OAuth para autenticarse automáticamente con su IdP y abrir la página del conector.

5. En la página del conector, pegue la dirección URL del punto de conexión de Delta Sharing. El token de portador está rellenado previamente.

Para obtener más información, consulte la documentación del conector Tableau Delta Sharing en Databricks Labs.