Delen via

Een ontvangerobject maken voor niet-Databricks-gebruikers met bearer-tokens (openen delen)

In dit artikel wordt beschreven hoe u ontvangers voor Delta Sharing maakt die geen toegang hebben tot een Databricks-werkruimte met Unity Catalog en deze ontvangers toegang geeft tot veilig gedeelde gegevens met bearer-tokens. Deze authenticatiestroom, samen met de OIDC-tokenfederatie-verificatiestroom, wordt open delengenoemd.

Dit werkt als volgt:

  1. Als gegevensprovider maakt u het ontvangerobject in uw Unity Catalog-metastore.

  2. Wanneer u het ontvangerobject maakt, selecteert u de bearer-tokenmethode, genereert Azure Databricks een token, een referentiebestand dat het token bevat en een activeringskoppeling die u met de ontvanger kunt delen.

    Het ontvangerobject heeft het verificatietype TOKEN. U kunt het token zo nodig vernieuwen en intrekken.

  3. De ontvanger opent de activeringskoppeling, downloadt het referentiebestand en gebruikt het referentiebestand om te verifiëren en leestoegang te krijgen tot de tabellen die u opneemt in de shares waartoe u ze toegang geeft.

De OIDC-federatiestroom is een alternatief voor de bearer-tokenstroom die in dit artikel wordt beschreven. Het heeft voordelen van beveiliging en gemak ten opzichte van de bearer-tokenstroom. Voor meer informatie, zie OpenID Connect (OIDC)-federatie gebruiken om authenticatie in te schakelen voor Delta Sharing-shares (open sharing).

Belangrijk

Alle tokens voor ontvangers van open delen die vóór 8 december 2025 zijn uitgegeven, met vervaldatums na 8 december 2026 of zonder vervaldatum, verlopen automatisch op 8 december 2026. Als u op dit moment ontvangerstokens met een lange of onbeperkte levensduur gebruikt, herzie dan uw integraties en verleng de tokens indien nodig om verstorende wijzigingen na deze datum te voorkomen.

de geadresseerde creëren

Als u een ontvanger wilt maken voor openen delen, kunt u Catalog Explorer, de Databricks Unity Catalog CLI of de CREATE RECIPIENT SQL-opdracht gebruiken in een Azure Databricks-notebook of de Databricks SQL-queryeditor.

Vereiste machtigingen: Metastore-beheerder of gebruiker met de bevoegdheid voor de CREATE RECIPIENT Unity Catalog-metastore waarin de gegevens die u wilt delen, zijn geregistreerd.

Catalogusverkenner

  1. Klik in uw Azure Databricks-werkruimte op het pictogram Gegevens.Catalogus.

  2. Klik bovenaan het deelvenster Catalogus op het tandwielpictogram en selecteer Delta Sharing.

    U kunt ook op de pagina Snelle toegang klikken op de knop Delta delen > .

  3. Klik op het tabblad Gedeeld door mij op Nieuwe geadresseerde.

  4. Voer de naam van de geadresseerde in

  5. Selecteer Openenvoor ontvangertype.

  6. Selecteer Token.

  7. (Optioneel) Stel de levensduur van het token in verlooptijd (in seconden, minuten, uren of dag vanaf de aanmaaktijd van de geadresseerde). Laat Verlooptijd instellen geselecteerd om een verlooptijd in te stellen. Tokens zijn maximaal één jaar na het maken geldig.

    Als u verloopdatum instellen selecteert en het veld leeg laat, wordt de levensduur van het token standaard ingesteld op de waarde die is ingesteld voor de levensduur van het token in de metastore-configuratie. Zie De levensduur van de geadresseerde-token wijzigen. Zie Ontvangerstokens beherenvoor meer informatie over het wijzigen van de levensduur van tokens en het roteren van tokens.

  8. (Optioneel) Voer een opmerking in.

  9. Klik op Create.

  10. Kopieer de activeringskoppeling.

    U kunt de activeringskoppeling ook later downloaden. Zie Verkrijg de activeringslink.

  11. (Optioneel) Maak aangepaste eigenschappen voor geadresseerden.

    Klik op het tabblad Overzicht op het Bewerk pictogram naast Ontvanger eigenschappen. Voeg vervolgens een eigenschapsnaam (sleutel) en waarde toe. Zie Eigenschappen van geadresseerden beheren voor meer informatie.

SQL

Voer de volgende opdracht uit in een notebook of de Sql-queryeditor van Databricks:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[COMMENT "<comment>"];

U kunt ook aangepaste eigenschappen toevoegen voor de geadresseerde. Zie Eigenschappen van geadresseerden beheren voor meer informatie.

Command Line Interface (CLI)

Voer de volgende opdracht uit met behulp van de Databricks CLI.

databricks recipients create <recipient-name>

U kunt ook aangepaste eigenschappen toevoegen voor de geadresseerde. Zie Eigenschappen van geadresseerden beheren voor meer informatie.

De uitvoer bevat de activation_url die u met de ontvanger deelt.

De ontvanger wordt gemaakt met de authentication_type van TOKEN.

Notitie

Wanneer u de geadresseerde aanmaakt, kunt u de toegang van de geadresseerde beperken tot een beperkte set IP-adressen. U kunt ook een IP-toegangslijst toevoegen aan een bestaande geadresseerde. Zie Toegang van Delta Sharing-ontvangers beperken met behulp van IP-toegangslijsten (open delen).

Als u de activeringskoppeling van de nieuwe geadresseerde wilt ophalen, kunt u Catalog Explorer, de Databricks Unity Catalog CLI of de DESCRIBE RECIPIENT SQL-opdracht gebruiken in een Azure Databricks-notebook of de Databricks SQL-queryeditor.

Als de ontvanger het referentiebestand al heeft gedownload, wordt de activeringskoppeling niet geretourneerd of weergegeven.

Vereiste machtigingen: Metastore-beheerder, gebruiker met de USE RECIPIENT bevoegdheid of de eigenaar van het ontvangerobject.

Catalogusverkenner

  1. Klik in uw Azure Databricks-werkruimte op het pictogram Gegevens.Catalogus.

  2. Klik bovenaan het deelvenster Catalogus op het tandwielpictogram en selecteer Delta Sharing.

    U kunt ook op de pagina Snelle toegang klikken op de knop Delta delen > .

  3. Klik op het tabblad Gedeeld door mij op Geadresseerden en selecteer de geadresseerde.

  4. Kopieer de activeringskoppeling op de pagina met gegevens van de geadresseerde.

SQL

Voer de volgende opdracht uit in een notebook of de Sql-query-editor van Databricks.

DESCRIBE RECIPIENT <recipient-name>;

De uitvoer bevat de activation_link.

Command Line Interface (CLI)

Voer de volgende opdracht uit met behulp van de Databricks CLI.

databricks recipients get <recipient-name>

De uitvoer bevat de activation_url.

De ontvanger toegang verlenen tot een gedeeld bestand

Nadat u de ontvanger hebt gemaakt en shares hebt gemaakt, kunt u de ontvanger toegang verlenen tot deze shares.

Als u sharetoegang wilt verlenen aan ontvangers, kunt u Catalog Explorer, de Databricks Unity Catalog CLI of de GRANT ON SHARE SQL-opdracht gebruiken in een Azure Databricks-notebook of de Databricks SQL-queryeditor.

Vereiste machtigingen: een van de volgende:

  • Metastore-beheerder.
  • Gedelegeerde machtigingen of eigendom voor zowel de share- als de ontvangerobjecten ((USE SHARE + SET SHARE PERMISSION) of de eigenaar van de share) EN (USE RECIPIENT of de eigenaar van de ontvanger).

Voor instructies, zie Toegang tot Delta Sharing-gegevensshares beheren (voor providers).

Verzend de verbindingsgegevens naar de ontvanger.

U moet de ontvanger laten weten hoe u toegang krijgt tot de gegevens die u met hen deelt. Gebruik een beveiligd kanaal om de activeringskoppeling te delen en een koppeling naar instructies voor het gebruik ervan.

U kunt het referentiebestand slechts één keer downloaden. Ontvangers moeten de gedownloade referenties behandelen als een geheim en mogen deze niet delen buiten hun organisatie. Als u zich zorgen maakt dat een referentie mogelijk onveilig is behandeld, kunt u op elk gewenst moment de referentie van een geadresseerde roteren. Zie Beveiligingsoverwegingen voor tokens voor meer informatie over het beheer van inloggegevens om veilige toegang voor ontvangers te garanderen.

Ontvangerstokens beheren

Als u gegevens deelt met een ontvanger met behulp van de openbare delen-bearer-tokenstroom, moet u mogelijk het token van die ontvanger vernieuwen. Een token vervangen bestaat uit het laten verlopen van een bestaand token en het vervangen door een nieuw token met een activerings-URL.

U moet het token van een geadresseerde roteren en een nieuwe activerings-URL genereren in de volgende omstandigheden:

  • Wanneer het bestaande ontvangsttoken bijna verloopt.
  • Als een geadresseerde de activerings-URL verliest of als deze is gecompromitteerd.
  • Als de referentie is beschadigd, kwijtgeraakt of gecompromitteerd nadat deze is gedownload door een ontvanger.
  • Wanneer u de levensduur van het token van de geadresseerde voor een metastore wijzigt. Zie De levensduur van de geadresseerde-token wijzigen.

Beveiligingsoverwegingen voor tokens

Op elk gewenst moment kan een geadresseerde maximaal twee tokens hebben: een actief token en een gedraaid token. Het gedraaide token is een token dat is ingesteld om te verlopen en te worden vervangen door het actieve token. Totdat het gerouleerde token verloopt, leidt een poging om het opnieuw te roteren tot een fout.

Wanneer u de token van een ontvanger roteert, kunt u desgewenst --existing-token-expire-in-seconds instellen op het aantal seconden voordat het bestaande token van de ontvanger—dus het token dat moet worden geroteerd—vervalt. Als u de waarde 0instelt op, verloopt het bestaande token van de geadresseerde onmiddellijk.

Databricks raadt aan om --existing-token-expire-in-seconds in te stellen op een relatief korte periode. Dit geeft de organisatie van de ontvanger de tijd om toegang te krijgen tot de nieuwe activerings-URL en minimaliseert de periode waarin de ontvanger twee actieve tokens heeft. Als u vermoedt dat het bestaande ontvangertoken is aangetast, raadt Databricks u aan om het onmiddellijk te laten verlopen.

Als de bestaande activerings-URL van een geadresseerde nog nooit is geopend, maakt het roteren van het bestaande token de activerings-URL ongeldig, en vervangt deze door een nieuwe.

Als alle ontvangertokens zijn verlopen, vervangt het vernieuwen van het token de bestaande activerings-URL door een nieuwe. Databricks raadt u aan om een geadresseerde waarvan het token is verlopen, onmiddellijk te draaien of neer te zetten.

Als een activerings-URL van een geadresseerde per ongeluk naar de verkeerde persoon wordt verzonden of via een onveilig kanaal wordt verzonden, raadt Databricks u aan:

  1. De toegang van de ontvanger tot de share intrekken.
  2. Draai de ontvanger en stel --existing-token-expire-in-seconds in op 0.
  3. Deel de nieuwe activerings-URL met de beoogde ontvanger via een beveiligd kanaal.
  4. Nadat de activerings-URL is geopend, verleent u de ontvanger opnieuw toegang tot de share.

In extreme situaties kunt u in plaats van het token van de ontvanger te roteren de ontvanger verwijderen en opnieuw aanmaken.

Een token van een ontvanger roteren

Als u het token van een geadresseerde wilt roteren, kunt u dit doen door Catalog Explorer of de Databricks Unity Catalog CLI te gebruiken.

Vereiste machtigingen: Eigenaar van het object van de ontvanger.

Catalogusverkenner

  1. Klik in uw Azure Databricks-werkruimte op het pictogram Gegevens.Catalogus.

  2. Vouw in het linkerdeelvenster het menu Delta delen uit en selecteer Gedeeld door mij.

  3. Klik bovenaan het deelvenster Catalogus op het tandwielpictogram en selecteer Delta Sharing.

    U kunt ook op de pagina Snelle toegang klikken op de knop Delta delen > .

  4. Klik op het tabblad Gedeeld door mij op Geadresseerden en selecteer de geadresseerde.

  5. Klik op het tabblad Details , onder Verlooptijd van token, op Draaien.

  6. Stel in het dialoogvenster Token rotatie het token in zodat het onmiddellijk verloopt of voor een bepaalde periode geldig is. Zie Beveiligingsoverwegingen voor tokens voor advies over het verlopen van bestaande tokens.

  7. Klik op Draaien.

  8. Kopieer op het tabblad Details de nieuwe activeringskoppeling en deel deze met de ontvanger via een beveiligd kanaal. Zie Verkrijg de activeringslink.

Command Line Interface (CLI)

  1. Voer de volgende opdracht uit met behulp van de Databricks CLI. Vervang de waarden van de tijdelijke aanduidingen:

    databricks recipients rotate-token \
<recipient-name> \
<expiration-seconds>

  2. Haal de nieuwe activeringskoppeling van de ontvanger op en deel deze met de ontvanger via een beveiligd kanaal. Zie Verkrijg de activeringslink.

De levensduur van het ontvangertoken wijzigen

Als u de standaardlevensduur van het ontvangertoken voor uw Unity Catalog-metastore wilt wijzigen, kunt u Catalog Explorer of de Databricks Unity Catalog CLI gebruiken.

Notitie

De levensduur van het token voor bestaande ontvangers wordt niet automatisch bijgewerkt wanneer u de standaardinstelling voor de levensduur van het token voor een metastore wijzigt. Om de levensduur van het nieuwe token toe te passen op een specifieke geadresseerde, moet u hun token roteren. Zie Tokens van ontvangers beheren.

Vereiste machtigingen: accountbeheerder.

Catalogusverkenner

  1. Meld u aan bij de accountconsole.
  2. Klik in de zijbalk op het pictogram Gegevens.Catalogus.
  3. Klik op de naam van de metastore.
  4. Klik onder Levensduur van ontvangerstoken voor Delta Delen op Bewerken.
  5. Schakel Verlooptijd instellen in.
  6. Voer een aantal seconden, minuten, uren of dagen in en selecteer de maateenheid. Tokens zijn maximaal één jaar na het maken geldig.
  7. Klik op Opslaan.

Command Line Interface (CLI)

Voer de volgende opdracht uit met behulp van de Databricks CLI. Vervang 12a345b6-7890-1cd2-3456-e789f0a12b34 door de metastore UUID en vervang door 86400 het aantal seconden voordat het token van de ontvanger verloopt. Tokens zijn maximaal één jaar na het maken geldig.

databricks metastores update \
12a345b6-7890-1cd2-3456-e789f0a12b34 \
--delta-sharing-recipient-token-lifetime-in-seconds 86400
  • Last updated on