Receber compartilhamentos do Compartilhamento Delta usando a federação do OIDC (Open ID Connect) em um fluxo de usuário para computador (compartilhamento aberto)

Esta página descreve como os destinatários de dados podem usar um aplicativo 'user-to-machine' (U2M) (por exemplo, Power BI) para estabelecer o acesso aos compartilhamentos de Delta Sharing criados no Azure Databricks usando a federação Open ID Connect (OIDC). O fluxo de autenticação "usuário para máquina" (U2M) usa federação OIDC, permitindo que JWTs (Tokens Web JSON) emitidos pelo IdP do destinatário sejam usados como tokens OAuth de curta duração que são autenticados pelo Azure Databricks. Esse método de autenticação de compartilhamento Databricks-to-open foi projetado para destinatários que não têm acesso a um workspace do Databricks habilitado para Catálogo do Unity.

Na Federação OIDC, o IdP do destinatário é responsável pela emissão de tokens JWT e pela imposição de políticas de segurança, como a MFA (Autenticação Multifator). Da mesma forma, o tempo de vida do token JWT é regido pelo IdP do destinatário. O Databricks não gera nem gerencia esses tokens. Ele federa apenas a autenticação para o IdP do destinatário e valida o JWT em relação à política de federação configurada do destinatário. Os provedores de dados também podem optar por federar a autenticação para seu próprio IdP ao compartilhar dados internamente com outros usuários ou departamentos dentro de sua organização.

A federação do OIDC é uma alternativa ao uso de tokens de portador emitidos pelo Azure Databricks para conectar destinatários que não são do Databricks aos provedores. Ele permite o controle de acesso refinado, dá suporte à MFA e reduz os riscos de segurança eliminando a necessidade de os destinatários gerenciarem e protegerem credenciais compartilhadas. Para obter informações sobre como usar tokens de portador para gerenciar a autenticação em compartilhamentos, consulte Criar um objeto do destinatário para usuários que não são do Databricks usando tokens de portador (compartilhamento aberto).

Esta página destina-se a destinatários que usam aplicativos U2M (usuário para máquina) (por exemplo, Power BI ou Tableau). Para obter informações sobre como os provedores podem habilitar a federação OIDC para destinatários no Azure Databricks, consulte Usar a federação OIDC (Open ID Connect) para habilitar a autenticação para compartilhamentos Delta Sharing (compartilhamento aberto). Para obter informações sobre o fluxo de credenciais do cliente OAuth "máquina a máquina" (M2M), consulte Receber compartilhamentos do Delta Sharing usando um cliente Python e a federação Open ID Connect (OIDC) em um fluxo de máquina a máquina (compartilhamento aberto).

Esta página explica como os destinatários de dados podem usar um IdP (provedor de identidade) próprio para acessar os compartilhamentos do Compartilhamento Delta criados no Databricks.

Visão geral do fluxo de autenticação U2M (usuário para computador) usando a federação de token OIDC

Para usar a federação de token OIDC para acesso aos dados compartilhados por um provedor do Databricks, faça o seguinte:

1. Forneça ao provedor do Azure Databricks as informações de IdP e de usuário que eles solicitam.
2. Use a URL do portal de geração de perfil OIDC que o provedor envia para acessar um arquivo de perfil (Tableau) ou uma página de entrada OAuth (Power BI).

Obter os valores do campo de política do OIDC do Entra ID

Se você, como destinatário, usar a ID do Microsoft Entra como provedor de identidade, poderá obter as informações solicitadas pelo provedor seguindo estas instruções. Para outros IdPs, veja a respectiva documentação.

• URL do emissor: esse é o emissor do token, especificado na declaração de tokens JWT OIDC iss. Para a ID do Entra, é https://login.microsoftonline.com/{tenantId}/v2.0, substitua {tenantId} pela ID do locatário do Entra. Para saber como encontrar sua ID de locatário, consulte a documentação da ID do Microsoft Entra.

• Declaração de Assunto: refere-se ao campo no conteúdo JWT que identifica a entidade (por exemplo, usuário ou grupo) acessando os dados. O campo específico usado depende do IdP (Provedor de Identidade) e do seu caso de uso. Por exemplo, na ID do Microsoft Entra, você pode usar os seguintes valores para cenários U2M:

  • oid (ID do objeto): selecione quando um único usuário requerer acesso.
  • groups: selecione quando um grupo de usuários precisar de acesso.

  Para outros IdPs, consulte a documentação para determinar a declaração de assunto apropriada para seus requisitos específicos.

• Assunto: o identificador exclusivo da identidade que pode acessar os dados compartilhados.

  • Se você pretende compartilhar com um único usuário e escolher oid como a declaração do assunto, você deverá encontrar a ID do objeto do usuário de acordo com a documentação do Microsoft Entra ID e usá-la como assunto.
  • Se você escolher grupos como a declaração de assunto, deverá encontrar a ID do objeto de grupo: no console da Entra ID, selecione grupos e pesquise o grupo. A ID do objeto é exibida na linha de grupo na lista. Para declaração de grupos, no Console do Entra, selecione grupos e localize a ID do objeto do grupo.

• Audiência: para autenticação U2M, o destinatário não precisa desse valor. O provedor do Databricks sempre usa a seguinte ID:

  64978f70-f6a6-4204-a29e-87d74bfea138

  Essa é a ID do aplicativo cliente registrado em OAuth Databricks published multi-tenant App(DeltaSharing) que os destinatários usam para acessar compartilhamentos do Databricks usando o Power BI e o Tableau.

Valores de exemplo para a ID do Entra

Estas são configurações de exemplo para compartilhamento com um usuário específico com ID de objeto 11111111-2222-3333-4444-555555555555 no locatário do Entra ID aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee.

• Emissor: https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
• declaração de entidade: oid (ID do objeto de um usuário)
• Entidade: 11111111-2222-3333-4444-555555555555Documentação do Microsoft Entra ID
• Público-alvo: 64978f70-f6a6-4204-a29e-87d74bfea138 (essa é a ID do cliente do aplicativo multilocatário registrado pelo Databricks no Entra ID)

Estas são configurações de exemplo para compartilhar com um grupo específico com a ID do objeto 66666666-2222-3333-4444-555555555555 no locatário do Entra ID aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee

• Emissor: https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
• declaração de assunto: groups
• Assunto: 66666666-2222-3333-4444-555555555555 (Esta é a ID do objeto do grupo, que pode ser encontrada no console da ID do Entra. Você pode selecionar um grupo e encontrar a ID do objeto do seu grupo)
• Público-alvo: 64978f70-f6a6-4204-a29e-87d74bfea138 (essa é a ID do cliente do aplicativo multilocatário registrado pelo Databricks no Entra ID)

Para obter mais informações sobre os aplicativos U2M e as políticas de federação do OIDC, veja Receber compartilhamentos do Compartilhamento Delta usando a federação do OIDC (Open ID Connect) em um fluxo de usuário para computador (compartilhamento aberto).

Acessar os dados compartilhados usando o Power BI

Depois que o provedor criar a política para você, ele compartilhará um link para o Portal OIDC do Databricks, que pode ser aberto de qualquer lugar e acessado várias vezes. Este link não contém informações confidenciais.

Requisitos

O Power BI Desktop deve ser a versão 2.141.1253.0 (lançada em 31 de março de 2025) ou posterior.

Acessar o compartilhamento

1. Vá para a URL do portal de perfil OIDC que o provedor do Databricks compartilhou com você.

   Solicite a URL se você ainda não a recebeu.

2. Na página do portal, selecione o bloco U2M e, em Para usar no Power BI, copie o ponto de extremidade do serviço.

3. No Power BI, vá para Obter dados e pesquise o Compartilhamento Delta, selecione o Compartilhamento Delta e clique em Conectar.

4. Na caixa de diálogo Compartilhamento Delta , cole a URL do ponto de extremidade de serviço no campo URL do Servidor de Compartilhamento Delta e clique em OK.

5. Na caixa de diálogo de autenticação do Delta Sharing, verifique que OAuth está selecionado na barra lateral e clique em 'Entrar'.

   Você será levado para a página de logon do IdP. Faça logon como você costuma fazer.

6. Retorne à caixa de diálogo de autenticação de compartilhamento Delta e clique em Conectar.

7. No Navegador, os dados compartilhados são listados na URL de Compartilhamento Delta.

Aprovar o aplicativo multilocatário

Para poder usar o aplicativo multilocatário publicado pelo Databricks (DeltaSharing), o administrador do locatário do Entra ID precisa abrir essa URL no navegador e entrar com a identidade do administrador para aprovar o uso: https://login.microsoftonline.com/{organization}/adminconsent?client_id=64978f70-f6a6-4204-a29e-87d74bfea138. Substitua {organization} pela ID do locatário do Azure. Esta é uma ação única, mais informações aqui: https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal.

Acessar os dados compartilhados usando Tableau

Para acessar o compartilhamento usando Tableau:

1. Vá para a URL do portal de perfil OIDC que o provedor do Databricks compartilhou com você.

   Solicite a URL se você ainda não a recebeu.

2. Na página do portal, selecione o bloco U2M e, em Para usar no Tableau, baixe o arquivo de perfil.

3. Localize e copie o ponto de extremidade do Compartilhamento Delta.

4. Abra o conector OAuth do Compartilhamento Delta do Tableau para autenticar automaticamente com o IdP e iniciar a página do conector.

5. Na página do conector, cole a URL do ponto de extremidade do Compartilhamento Delta. O token de portador é preenchido previamente.

Para obter mais informações, consulte o Leiame do conector do Delta Sharing do Tableau no Databricks Labs.