Partager via

Recevoir des partages Delta via la fédération Open ID Connect (OIDC) dans un flux utilisateur-vers-machine (partage ouvert)

Cette page décrit comment les destinataires des données peuvent utiliser une application U2M (par exemple, Power BI) pour établir l’accès aux partages delta créés dans Azure Databricks à l’aide de la fédération Open ID Connect (OIDC). Le flux d’authentification « utilisateur à machine » (U2M) utilise la fédération OIDC, ce qui permet aux jetons Web JSON (JWT) émis par le fournisseur d’identité du destinataire d’être utilisés comme jetons OAuth de courte durée authentifiés par Azure Databricks. Cette méthode d'authentification de partage Databricks-to-open est conçue pour les destinataires qui n'ont pas accès à un espace de travail Databricks compatible avec le catalogue Unity.

Dans la fédération OIDC, l'IdP du destinataire est chargé d'émettre des jetons JWT et d'appliquer les politiques de sécurité, telles que l'authentification multifacteur (MFA). De même, la durée de vie du jeton JWT est régie par l'IdP du destinataire. Databricks ne génère pas ou ne gère pas ces jetons. Il se contente de fédérer l’authentification auprès de l’IdP du destinataire et de valider le JWT conformément à la stratégie de fédération configurée pour le destinataire. Les fournisseurs de données peuvent également choisir de fédérer l’authentification auprès de leur propre fournisseur d’identité lors du partage de données en interne avec d’autres utilisateurs ou services au sein de leur organisation.

La fédération OIDC est une alternative à l’utilisation de jetons porteurs à long terme émis par Azure Databricks pour connecter des utilisateurs qui ne sont pas de Databricks aux fournisseurs. Il permet un contrôle d’accès affiné, prend en charge l’authentification multifacteur et réduit les risques de sécurité en éliminant la nécessité pour les destinataires de gérer et de sécuriser les informations d’identification partagées. Pour plus d’informations sur l’utilisation de jetons porteurs pour gérer l’authentification sur les ressources partagées, consultez Créer un objet destinataire pour les utilisateurs autres que Databricks à l’aide de jetons porteurs (partage ouvert).

Cette page concerne les destinataires qui utilisent des applications « utilisateur à machine » (U2M) (par exemple, Power BI ou Tableau). Pour plus d’informations sur la façon dont les fournisseurs peuvent activer la fédération OIDC pour les destinataires dans Azure Databricks, consultez Utiliser la fédération Open ID Connect (OIDC) pour activer l’authentification auprès des partages Delta (partage ouvert). Pour plus d'informations sur le flux d'informations d'identification client OAuth « machine-à-machine » (M2M), consultez la section Recevoir des partages Delta Sharing à l'aide d'un client Python et d'une fédération Open ID Connect (OIDC) dans un flux machine-à-machine (partage ouvert).

Cette page explique comment les destinataires de données peuvent accéder aux ressources partagées Delta Sharing au moyen de leur propre fournisseur d’identité (IdP), créées dans Databricks.

Vue d’ensemble du flux d’authentification utilisateur à machine (U2M) à l’aide de la fédération de jeton OIDC

Pour utiliser la fédération de jeton OIDC pour accéder aux données partagées par un fournisseur Databricks, procédez comme suit :

  1. Donnez au fournisseur Azure Databricks les informations idP et utilisateur qu’ils demandent.
  2. Utilisez l’URL du portail de génération de profil OIDC que le fournisseur vous envoie pour accéder à un fichier de profil (Tableau) ou une page de connexion OAuth (Power BI).

Obtenez les valeurs des champs de la politique OIDC à partir de Entra ID

Si vous, en tant que destinataire, utilisez l’ID Microsoft Entra comme fournisseur d’identité, vous pouvez obtenir les informations demandées par le fournisseur en suivant ces instructions. Pour les autres fournisseurs d’identité, reportez-vous à leur documentation.

  • URL de l’émetteur : il s’agit de l’émetteur du jeton, spécifié dans la revendication iss des jetons JWT OIDC. Pour Entra ID, il s’agit de https://login.microsoftonline.com/{tenantId}/v2.0, remplacez {tenantId} par votre ID de locataire Entra. Pour savoir comment trouver votre ID de locataire, consultez la documentation Microsoft Entra ID.

  • Objet de la demande : désigne le champ dans la charge utile JWT qui identifie l'entité (par exemple, un utilisateur ou un groupe) accédant aux données. Le champ spécifique utilisé dépend de votre fournisseur d’identité (IdP) et de votre cas d’usage. Par exemple, dans Microsoft Entra ID, vous pouvez utiliser les valeurs suivantes pour les scénarios U2M :

    • oid (ID d’objet) : sélectionnez lorsqu’un seul utilisateur a besoin d’un accès.
    • groups: sélectionnez lorsqu’un groupe d’utilisateurs a besoin d’un accès.

    Pour les autres IdP, consultez leur documentation afin de déterminer l'objet de demande adapté à vos besoins spécifiques.

  • Objet: identificateur unique de l’identité qui peut accéder aux données partagées.

    • Si vous envisagez de partager avec un seul utilisateur et de choisir oid pour la revendication d’objet, vous devez trouver l’ID d’objet de l’utilisateur en fonction de documentation Microsoft Entra ID et l’utiliser en tant que sujet.
    • Si vous choisissez des groupes comme revendication de sujet, vous devez trouver l'ID d'objet de groupe : dans la console Entra ID, sélectionnez groupes et recherchez le groupe. L’ID d’objet s’affiche sur la ligne de groupe de la liste. Pour la revendication de groupes, dans la console Entra, sélectionnez des groupes et recherchez l’ID d’objet de votre groupe.

  • Audience: pour l’authentification U2M, le destinataire n’a pas besoin de cette valeur. Le fournisseur Databricks utilise toujours l’ID suivant :

    64978f70-f6a6-4204-a29e-87d74bfea138

    Il s’agit de l’ID de l’application cliente inscrite Databricks published multi-tenant App(DeltaSharing) OAuth que les destinataires utilisent pour accéder aux partages Databricks à l’aide de Power BI et de Tableau.

Exemples de valeurs pour l’ID Entra

Il s’agit d’exemples de configurations pour le partage avec un utilisateur spécifique ayant l’ID d’objet 11111111-2222-3333-4444-555555555555 dans le locataire Entra ID aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee.

  • Émetteur : https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
  • revendication d’objet : oid (ID d’objet d’un utilisateur)
  • Sujet : 11111111-2222-3333-4444-555555555555Documentation Microsoft Entra ID
  • Audiences : 64978f70-f6a6-4204-a29e-87d74bfea138 (il s’agit de l’ID client de l’application multilocataire inscrite par Databricks dans Entra ID)

Il s’agit d’exemples de configurations pour le partage avec un groupe spécifique ayant l’ID d’objet 66666666-2222-3333-4444-555555555555 dans le locataire Entra ID aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee

  • Émetteur : https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
  • revendication du sujet : groups
  • Objet : 66666666-2222-3333-4444-555555555555 (il s’agit de l’ID d’objet du groupe, qui se trouve dans la console Entra ID. Vous pouvez sélectionner un groupe et rechercher l’ID d’objet de votre groupe)
  • Audiences : 64978f70-f6a6-4204-a29e-87d74bfea138 (il s’agit de l’ID client de l’application multilocataire inscrite par Databricks dans Entra ID)

Remarque

Pour les applications U2M telles que Power BI et Tableau, l’audience doit être l’ID d’application mutualisée inscrit par Databricks dans Entra ID, qui est 64978f70-f6a6-4204-a29e-87d74bfea138.

Pour plus d’informations sur les applications U2M et leurs stratégies de fédération OIDC, consultez Recevoir des partages Delta Sharing à l’aide de la fédération OpenID Connect (OIDC) dans un processus de partage ouvert entre l'utilisateur et la machine.

Accéder aux données partagées à l’aide de Power BI

Une fois que le fournisseur a créé la stratégie pour vous, il partage un lien vers le portail Databricks OIDC, qui peut être ouvert à partir de n’importe où et accessible plusieurs fois. Ce lien ne contient aucune information sensible.

Spécifications

Power BI Desktop doit être version 2.141.1253.0 (publiée le 31 mars 2025) ou version ultérieure.

Accéder au partage

  1. Accédez à l’URL du portail de profil OIDC que le fournisseur Databricks a partagé avec vous.

    Demandez l’URL si vous ne l’avez pas encore reçue.

  2. Dans la page du portail, sélectionnez la vignette U2M et, sous À utiliser sur Power BI, copiez le point de terminaison de service.

  3. Dans Power BI, accédez à Obtenir des données et recherchez le partage Delta, sélectionnez Partage Delta, puis cliquez sur Se connecter.

  4. Dans la boîte de dialogue Delta Sharing, collez l’URL du point de terminaison du service dans le champ URL du serveur de Delta Sharing, puis cliquez sur OK.

  5. Dans la boîte de dialogue d’authentification Delta Sharing, vérifiez que OAuth est sélectionné dans la barre latérale, puis cliquez sur Se connecter.

    Vous êtes redirigé vers votre page de connexion IdP. Connectez-vous comme vous le faites généralement.

  6. Revenez à la boîte de dialogue d'authentification Delta Sharing et cliquez sur Connecter.

  7. Dans le navigateur, les données partagées sont répertoriées sous l’URL de partage delta.

Approuver l’application multilocataire

Pour pouvoir utiliser l’application multilocataire publiée par Databricks (DeltaSharing), l’administrateur du locataire Entra ID doit ouvrir cette URL dans son navigateur et se connecter avec l’identité d’administrateur pour approuver l’utilisation : https://login.microsoftonline.com/{organization}/adminconsent?client_id=64978f70-f6a6-4204-a29e-87d74bfea138. Remplacez {organization} par votre ID de locataire Azure. Il s’agit d’une action ponctuelle, plus d’informations ici : https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal.

Accéder aux données partagées à l’aide de Tableau

Pour accéder au partage à l’aide de Tableau :

  1. Accédez à l’URL du portail de profil OIDC que le fournisseur Databricks a partagé avec vous.

    Demandez l’URL si vous ne l’avez pas encore reçue.

  2. Dans la page du portail, sélectionnez la vignette U2M et, sous À utiliser sur Tableau, téléchargez le fichier de profil.

  3. Recherchez et copiez l'endpoint de partage Delta.

  4. Ouvrez le connecteur OAuth de Tableau Delta Sharing pour vous authentifier automatiquement avec votre IdP et lancer la page du connecteur.

  5. Dans la page du connecteur, collez l’URL du point de terminaison de partage Delta. Le jeton du porteur est prérempli.

Pour plus d’informations, consultez le Fichier Lisez-moi du connecteur Delta Sharing pour Tableau dans Databricks Labs.

  • Last updated on