Créer un objet destinataire pour les utilisateurs non-Databricks à l’aide de jetons d'accès (partage ouvert)

Cet article explique comment créer des destinataires Delta Sharing qui n’ont pas accès à un espace de travail Databricks compatible avec le catalogue Unity et accorder à ces destinataires l’accès à des données partagées en toute sécurité à l’aide de jetons du porteur. Ce flux d’authentification, ainsi que le flux d’authentification de fédération des jetons OIDC, est appelé partage ouvert.

Voici comment cela fonctionne :

1. En tant que fournisseur de données, vous créez l’objet destinataire dans votre metastore Unity Catalog.

2. Lorsque vous créez l’objet destinataire, vous sélectionnez la méthode de jeton du porteur, Azure Databricks génère un jeton, un fichier d’informations d’identification qui inclut le jeton et un lien d’activation pour vous permettre de partager avec le destinataire.

   L’objet destinataire a le type d’authentification de TOKEN. Vous pouvez actualiser et révoquer le jeton en fonction des besoins.

3. Le destinataire accède au lien d’activation, télécharge le fichier d’informations d’identification et utilise le fichier d’informations d’identification pour authentifier et obtenir l’accès en lecture aux tables que vous incluez dans les partages auxquels vous leur donnez accès.

Le flux de fédération OIDC est une alternative au flux de jeton du porteur décrit dans cet article. Il présente des avantages en matière de sécurité et de commodité par rapport au système de jeton d’accès. Pour plus d’informations, consultez Utiliser la fédération Open ID Connect (OIDC) pour activer l’authentification sur les partages Delta Sharing (partage ouvert).

Créer le destinataire

Pour créer un destinataire pour le partage ouvert, vous pouvez utiliser l’Explorateur de catalogues, l’interface CLI du catalogue Databricks Unity ou la CREATE RECIPIENT commande SQL dans un notebook Azure Databricks ou l’éditeur de requête SQL Databricks.

Autorisations requises : administrateur de metastore ou utilisateur disposant du CREATE RECIPIENT privilège pour le metastore du catalogue Unity où les données que vous souhaitez partager sont inscrites.

Explorateur de catalogues

1. Dans votre espace de travail Azure Databricks, cliquez sur Catalogue.

2. En haut du volet Catalogue, cliquez sur l’icône d’engrenage et sélectionnez Delta Sharing.

   Vous pouvez également, dans la page Accès rapide, cliquer sur le bouton Delta Sharing >.

3. Sous l’onglet Partagé par moi, cliquez sur Nouveau destinataire.

4. Entrez le nom du destinataire

5. Pour Type de destinataire, sélectionnez Ouvert.

6. Sélectionnez Jeton.

7. (Facultatif) Définissez l’heure d’expiration de la durée de vie du jeton (en secondes, minutes, heures ou jour à partir de l’heure de création du destinataire). Laissez Définir l'expiration sélectionné pour définir un délai d'expiration. Les jetons sont valides pendant un maximum d’un an après la création.

   Si vous sélectionnez Définir l’expiration et laissez le champ vide, la durée de vie du jeton est définie par défaut sur la valeur de durée de vie du jeton du destinataire définie dans la configuration du metastore. Consultez Modifier la durée de vie du jeton de destinataire. Pour plus d’informations sur la modification de la durée de vie des jetons et la rotation des jetons, consultez Gérer les jetons de destinataire.

8. (Facultatif) Entrez un commentaire.

9. Cliquez sur Créer.

10. Copiez le lien d’activation.

    Vous pouvez également obtenir le lien d’activation ultérieurement. Consultez Obtenez le lien d'activation.

11. (Facultatif) Créez des propriétés de destinataire personnalisées.

    Sous l’onglet Vue d’ensemble du destinataire, cliquez sur en regard des propriétés du destinataire. Ajoutez ensuite un nom de propriété (Clé) et une Valeur. Pour plus d’informations, consultez Gérer les propriétés du destinataire.

SQL

Exécutez la commande suivante dans un notebook ou dans l’éditeur de requête Databricks SQL :

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[COMMENT "<comment>"];

Vous pouvez également ajouter des propriétés personnalisées pour le destinataire. Pour plus d’informations, consultez Gérer les propriétés du destinataire.

Interface de ligne de commande (CLI)

Exécutez la commande suivante dans l’interface CLI Databricks.

databricks recipients create <recipient-name>

Vous pouvez également ajouter des propriétés personnalisées pour le destinataire. Pour plus d’informations, consultez Gérer les propriétés du destinataire.

La sortie inclut le activation_url que vous partagez avec le destinataire.

Le destinataire est créé avec le authentication_type de TOKEN.

Obtenir le lien d’activation

Pour obtenir le lien d’activation du nouveau destinataire, vous pouvez utiliser l’Explorateur de catalogues, l’interface CLI du catalogue Databricks Unity ou la DESCRIBE RECIPIENT commande SQL dans un notebook Azure Databricks ou l’éditeur de requête Databricks SQL.

Si le destinataire a déjà téléchargé le fichier d’informations d’identification, le lien d’activation n’est ni retourné ni affiché.

Autorisations requises : administrateur de metastore, utilisateur disposant du privilège USE RECIPIENT ou propriétaire de l’objet destinataire.

Explorateur de catalogues

1. Dans votre espace de travail Azure Databricks, cliquez sur Catalogue.

2. En haut du volet Catalogue, cliquez sur l’icône d’engrenage et sélectionnez Delta Sharing.

   Vous pouvez également, dans la page Accès rapide, cliquer sur le bouton Delta Sharing >.

3. Sous l’onglet Partagé par moi , cliquez sur Destinataires, puis sélectionnez le destinataire.

4. Dans la page des détails du destinataire, copiez le lien Activation.

SQL

Exécutez la commande suivante dans un notebook ou dans l’éditeur de requête SQL Databricks.

DESCRIBE RECIPIENT <recipient-name>;

La sortie comprend le activation_link.

Interface de ligne de commande (CLI)

Exécutez la commande suivante dans l’interface CLI Databricks.

databricks recipients get <recipient-name>

La sortie comprend le activation_url.

Accorder au destinataire l’accès à un partage

Une fois que vous avez créé le destinataire et créé des partages, vous pouvez accorder au destinataire l’accès à ces partages.

Pour accorder aux destinataires l’accès au partage, vous pouvez utiliser Catalog Explorer, l’interface CLI Databricks Unity Catalog ou la commande SQL GRANT ON SHARE dans un notebook Azure Databricks ou l’éditeur de requête Databricks SQL.

Autorisations requises : l’une des suivantes :

• Administrateur de metastore.
• Les permissions déléguées ou la propriété sur le partage et les objets du destinataire ((USE SHARE + SET SHARE PERMISSION) ou propriétaire du partage) ET (USE RECIPIENT ou propriétaire du destinataire).

Pour obtenir des instructions, consultez Gérer l’accès aux partages de données Delta Sharing (pour les fournisseurs).

Envoyer au destinataire ses informations de connexion

Vous devez indiquer au destinataire comment accéder aux données que vous partagez avec lui. Utilisez un canal sécurisé pour partager le lien d’activation et un lien vers des instructions pour l’utiliser.

Vous ne pouvez télécharger le fichier d’informations d’identification qu’une seule fois. Les destinataires doivent traiter les informations d’identification téléchargées comme un secret et ne doivent pas les partager en dehors de leur organisation. Si vous craignez qu’une information d’identification ait été gérée de manière non sécurisée, vous pouvez faire pivoter les informations d’identification d’un destinataire à tout moment. Pour plus d’informations sur la gestion des informations d’identification pour garantir l’accès sécurisé des destinataires, consultez Considérations relatives à la sécurité des jetons.

Gérer les jetons de destinataire

Si vous partagez des données avec un destinataire à l’aide du flux de jeton du porteur de partage ouvert, vous devrez peut-être permuter le jeton de ce destinataire. La permutation d’un jeton consiste à définir l’expiration d’un jeton existant et à le remplacer par un nouveau jeton et une nouvelle URL d’activation.

Vous devez faire pivoter le jeton d’un destinataire et générer une nouvelle URL d’activation dans les circonstances suivantes :

• Lorsque le jeton de destinataire existant est sur le point d’expirer.
• Si un destinataire perd son URL d’activation ou si elle est compromise.
• Si les informations d’identification sont endommagées, perdues ou compromises après leur téléchargement par un destinataire.
• Lorsque vous modifiez la durée de vie du jeton de destinataire pour un metastore. Consultez Modifier la durée de vie du jeton de destinataire.

Considérations relatives à la sécurité pour les jetons

À tout moment, un destinataire ne peut avoir au plus que deux jetons : un jeton actif et un jeton permuté. Le jeton pivoté est un jeton qui a été défini pour expirer et être remplacé par le jeton actif. Jusqu’à l’expiration du jeton permuté, toute tentative de permutation du jeton entraîne une erreur.

Lorsque vous faites pivoter le jeton d’un destinataire, vous pouvez éventuellement définir --existing-token-expire-in-seconds le nombre de secondes avant l’expiration du jeton de destinataire existant, c’est-à-dire celui à faire pivoter. Si vous définissez la valeur 0, le jeton de destinataire existant expire immédiatement.

Databricks vous recommande de définir --existing-token-expire-in-seconds une période relativement courte qui donne à l’organisation du destinataire le temps d’accéder à la nouvelle URL d’activation tout en minimisant la durée pendant laquelle le destinataire a deux jetons actifs. Si vous pensez que le jeton de destinataire existant est compromis, Databricks vous recommande de forcer son expiration immédiate.

Si l’URL d’activation existante d’un destinataire n’a jamais été accessible, la rotation du jeton existant invalide cette URL d’activation et la remplace par une nouvelle URL.

Si tous les jetons de destinataire ont expiré, la permutation du jeton remplace l’URL d’activation existante par une nouvelle. Databricks vous recommande de permuter ou de supprimer rapidement un destinataire dont le jeton a expiré.

Si une URL d’activation de destinataire est envoyée par inadvertance à la mauvaise personne ou est envoyée via un canal non sécurisé, Databricks vous recommande d’effectuer les opérations suivantes :

1. Révoquez l’accès du destinataire au partage.
2. Faites pivoter le destinataire et définissez --existing-token-expire-in-seconds sur 0.
3. Partagez la nouvelle URL d’activation avec le destinataire prévu sur un canal sécurisé.
4. Une fois l’URL d’activation accessible, accordez à nouveau au destinataire l’accès au partage.

Dans les situations extrêmes, au lieu de permuter le jeton du destinataire, vous pouvez supprimer et recréer le destinataire.

Faire pivoter le jeton d’un destinataire

Pour faire pivoter le jeton d’un destinataire, vous pouvez utiliser l’Explorateur catalogue ou l’interface CLI du catalogue Databricks Unity.

Autorisations requises : propriétaire de l’objet destinataire.

Explorateur de catalogues

1. Dans votre espace de travail Azure Databricks, cliquez sur Catalogue.

2. Dans le volet gauche, déployez le menu Partage Delta et sélectionnez Partagé par moi.

3. En haut du volet Catalogue, cliquez sur l’icône d’engrenage et sélectionnez Delta Sharing.

   Vous pouvez également, dans la page Accès rapide, cliquer sur le bouton Delta Sharing >.

4. Sous l’onglet Partagé par moi , cliquez sur Destinataires, puis sélectionnez le destinataire.

5. Sous l’onglet Détails, en dessous de Expiration du jeton, cliquez sur Pivoter.

6. Dans la boîte de dialogue Rotation du jeton , définissez le jeton sur expirer immédiatement ou pendant une période définie. Pour obtenir des conseils sur l’expiration des jetons existants, consultez Considérations relatives à la sécurité pour les jetons.

7. Cliquez sur Pivoter.

8. Sous l’onglet Détails, copiez le nouveau lien Activation et partagez-le avec le destinataire via un canal sécurisé. Consultez Obtenez le lien d'activation.

Interface de ligne de commande (CLI)

1. Exécutez la commande suivante dans l’interface CLI Databricks. Remplacez les valeurs d’espace réservé :

   • <recipient-name> : nom du destinataire.
   • <expiration-seconds>: nombre de secondes avant l’expiration du jeton de destinataire existant. Pendant ce laps de temps, le jeton existant continuera à fonctionner. La valeur 0 indique que le jeton existant expire immédiatement. Pour obtenir des conseils sur l’expiration des jetons existants, consultez Considérations relatives à la sécurité pour les jetons.

   databricks recipients rotate-token \
   <recipient-name> \
   <expiration-seconds>
   

2. Obtenez le nouveau lien d’activation du destinataire et partagez-le avec le destinataire via un canal sécurisé. Consultez Obtenez le lien d'activation.

Modifier la durée de vie du jeton de destinataire

Si vous devez modifier la durée de vie du jeton de destinataire par défaut pour votre metastore Unity Catalog, vous pouvez utiliser l’Explorateur catalogue Ou l’interface CLI du catalogue Databricks Unity.

Autorisations requises : administrateur de compte.

Explorateur de catalogues

1. Connectez-vous à la console du compte.
2. Dans la barre latérale, cliquez sur Catalogue.
3. Cliquez sur le nom du metastore.
4. Sous Drée de vie du jeton du destinataire Delta Sharing, cliquez sur Modifier.
5. Activez Définir l’expiration.
6. Entrez un nombre de secondes, de minutes, d’heures ou de jours, puis sélectionnez l’unité de mesure. Les jetons sont valides pendant un maximum d’un an après la création.
7. Cliquez sur Enregistrer.

Interface de ligne de commande (CLI)

Exécutez la commande suivante dans l’interface CLI Databricks. Remplacez 12a345b6-7890-1cd2-3456-e789f0a12b34 par l’UUID du metastore, puis remplacez 86400 par le nombre de secondes avant l’expiration du jeton du destinataire. Les jetons sont valides pendant un maximum d’un an après la création.

databricks metastores update \
12a345b6-7890-1cd2-3456-e789f0a12b34 \
--delta-sharing-recipient-token-lifetime-in-seconds 86400