Partilhar via

Receber partilhas Delta Sharing usando a federação Open ID Connect (OIDC) num fluxo de utilizador para máquina (partilha aberta)

Esta página descreve como os destinatários de dados podem usar um aplicativo 'user-to-machine' (U2M) (por exemplo, Power BI) para estabelecer acesso a compartilhamentos de Compartilhamento Delta criados no Azure Databricks usando a federação Open ID Connect (OIDC). O fluxo de autenticação "user-to-machine" (U2M) usa a federação OIDC, permitindo que JSON Web Tokens (JWTs) emitidos pelo IdP do destinatário sejam usados como tokens OAuth de curta duração autenticados pelo Azure Databricks. Este método de autenticação de compartilhamento de Databricks para acesso externo foi projetado para destinatários que não têm acesso a um espaço de trabalho Databricks com suporte ao Unity Catalog.

Na Federação OIDC, o IdP do destinatário é responsável por emitir tokens JWT e aplicar políticas de segurança, como a Autenticação Multi-Fator (MFA). Da mesma forma, o tempo de vida do token JWT é regido pelo IdP do destinatário. O Databricks não gera nem gerencia esses tokens. Ele apenas federa a autenticação ao IdP do destinatário e valida o JWT em relação à política de federação configurada do destinatário. Os provedores de dados também podem optar por federar a autenticação em seu próprio IdP ao compartilhar dados internamente com outros usuários ou departamentos dentro de sua organização.

A federação OIDC é uma alternativa ao uso de tokens de longa duração emitidos pelo Azure Databricks para conectar destinatários externos ao Databricks a provedores. Ele permite um controle de acesso refinado, suporta MFA e reduz os riscos de segurança, eliminando a necessidade de os destinatários gerenciarem e protegerem credenciais compartilhadas. Para obter informações sobre como usar bearer tokens para gerir a autenticação em partilhas, consulte Criar um objeto de destinatário para utilizadores que não são do Databricks usando bearer tokens (partilha aberta).

Esta página destina-se a destinatários que utilizam aplicações "utilizador-a-máquina" (U2M) (por exemplo, Power BI ou Tableau). Para obter informações sobre como os provedores podem habilitar a federação OIDC para destinatários no Azure Databricks, consulte Usar a federação OIDC (Open ID Connect) para habilitar a autenticação em compartilhamentos Delta Sharing (compartilhamento aberto). Para obter informações sobre o fluxo de credenciais do cliente OAuth "máquina-a-máquina" (M2M), consulte receber partilhas do Delta Sharing usando um cliente Python e a federação Open ID Connect (OIDC) num fluxo de máquina-a-máquina (partilha aberta).

Esta página explica como os destinatários de dados podem usar seu próprio provedor de identidade (IdP) para acessar compartilhamentos Delta Sharing criados no Databricks.

Visão geral do fluxo de autenticação usuário-a-máquina (U2M) usando a federação de token OIDC

Para usar a federação de tokens OIDC para acessar dados compartilhados por um provedor Databricks, faça o seguinte:

  1. Forneça ao provedor do Azure Databricks o IdP e as informações do usuário que ele solicitar.
  2. Use a URL do portal de geração de perfil OIDC que o provedor envia para acessar um arquivo de perfil (Tableau) ou uma página de entrada OAuth (Power BI).

Obter os valores do campo de política OIDC do Entra ID

Se você, como destinatário, usar o Microsoft Entra ID como seu Provedor de Identidade, poderá obter as informações solicitadas pelo provedor seguindo estas instruções. Para outros IdPs, consulte a documentação deles.

  • URL do emissor: Este é o emissor do token, especificado na iss declaração de tokens JWT OIDC. Para Entra ID é https://login.microsoftonline.com/{tenantId}/v2.0, substitua {tenantId} pelo seu ID de locatário Entra. Para saber como encontrar sua ID de locatário, consulte a documentação do Microsoft Entra ID.

  • Reivindicação do Assunto: Refere-se ao campo na carga útil JWT que identifica a entidade (por exemplo, utilizador ou grupo) que acede aos dados. O campo específico usado depende do seu Provedor de Identidade (IdP) e do seu caso de uso. Por exemplo, no Microsoft Entra ID, você pode usar os seguintes valores para cenários U2M:

    • oid (ID do objeto): selecione quando um único usuário requer acesso.
    • groups: Selecione quando um grupo de usuários requer acesso.

    Para outros IdPs, consulte a documentação deles para determinar a reivindicação de assunto apropriada para seus requisitos específicos.

  • Assunto: o identificador único da identidade que pode aceder aos dados partilhados.

    • Se você pretende compartilhar com um único usuário e escolher oid a reivindicação de assunto, então você deve encontrar a ID do objeto do usuário de acordo com a documentação do Microsoft Entra ID e usá-la como assunto.
    • Se escolheres grupos como a declaração de assunto, deverás encontrar o ID do objeto de grupo: no console do Entra ID, selecione grupos e procure o grupo. O ID do objeto é exibido na linha do grupo na lista. Para a reivindicação de grupos, no Console do Entra, selecione grupos e localize o ID do objeto do seu grupo.

  • Público: para autenticação U2M, o destinatário não precisa desse valor. O provedor Databricks sempre usa a seguinte ID:

    64978f70-f6a6-4204-a29e-87d74bfea138

    Este é o ID para a aplicação cliente registada em OAuth Databricks published multi-tenant App(DeltaSharing) que os destinatários usam para aceder às partilhas do Databricks usando o Power BI e o Tableau.

Exemplos de valores para Entra ID

Estes são exemplos de configuração para partilha com um utilizador específico com ID de objeto 11111111-2222-3333-4444-555555555555 no locatário aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee do Entra ID.

  • Emitente: https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
  • reivindicação de assunto: oid (ID de objeto de utilizador)
  • Assunto: 11111111-2222-3333-4444-555555555555Documentação do Microsoft Entra ID
  • Audiências: 64978f70-f6a6-4204-a29e-87d74bfea138 (Este é o ID do cliente do aplicativo multilocatário registrado pelo Databricks no Entra ID)

Estes são exemplos de configurações para partilha com um grupo específico com ID de objeto 66666666-2222-3333-4444-555555555555 no tenant do Entra ID aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee

  • Emitente: https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
  • Reclamação do assunto: groups
  • Assunto: 66666666-2222-3333-4444-555555555555 (Este é o ID do objeto do grupo, que pode ser encontrado no console do Entra ID. Você pode selecionar um grupo e encontrar o ID do objeto do seu grupo)
  • Audiências: 64978f70-f6a6-4204-a29e-87d74bfea138 (Este é o ID do cliente do aplicativo multilocatário registrado pelo Databricks no Entra ID)

Observação

Para aplicações U2M, como Power BI e Tableau, o público-alvo deve ser o ID da aplicação multilocatário registrado pelo Databricks no Entra ID, que é 64978f70-f6a6-4204-a29e-87d74bfea138.

Para obter mais informações sobre aplicações U2M e suas políticas de Federação OIDC, consulte Receber partilhas Delta Sharing usando a federação Open ID Connect (OIDC) num fluxo de utilizador para máquina (partilha aberta).

Acessar os dados compartilhados usando o Power BI

Depois que o provedor criar a política para você, ele compartilhará um link para o Portal OIDC Databricks, que pode ser aberto de qualquer lugar e acessado várias vezes. Este link não contém informações confidenciais.

Requerimentos

O Power BI Desktop deve ser a versão 2.141.1253.0 (lançada em 31 de março de 2025) ou posterior.

Aceda ao compartilhamento

  1. Vá para a URL do portal de perfil OIDC que o provedor Databricks compartilhou com você.

    Solicite o URL se ainda não o recebeu.

  2. Na página do portal, selecione o bloco U2M e em Para usar no Power BI, copie o endpoint de serviço.

  3. No Power BI, vá para Obter dados e procure Compartilhamento Delta, selecione Compartilhamento Delta e clique em Conectar.

  4. Na caixa de diálogo de Compartilhamento Delta , cole a URL de serviço do ponto de extremidade no campo URL do Servidor de Compartilhamento Delta e clique em OK.

  5. Na caixa de diálogo de autenticação Delta Sharing, verifique se OAuth está selecionado na barra lateral e clique em Iniciar sessão.

    Você é levado para sua página de login do IdP. Inicie sessão como faz habitualmente.

  6. Volte ao diálogo de autenticação do Delta Sharing e clique em Conectar.

  7. No Navigator, os dados partilhados estão listados sob o URL de Partilha Delta.

Aprovar o aplicativo multilocatário

Para poder usar o aplicativo multilocatário publicado pelo Databricks (DeltaSharing), o administrador do locatário do Entra ID precisa abrir essa URL em seu navegador e entrar com a identidade de administrador para aprovar o uso: https://login.microsoftonline.com/{organization}/adminconsent?client_id=64978f70-f6a6-4204-a29e-87d74bfea138. Substitua {organization} pelo seu identificador de locatário do Azure. Esta é uma ação única, mais informações aqui: https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal.

Acessar os dados compartilhados usando o Tableau

Para acessar o compartilhamento usando o Tableau:

  1. Vá para a URL do portal de perfil OIDC que o provedor Databricks compartilhou com você.

    Solicite o URL se ainda não o recebeu.

  2. Na página do portal, seleccione o mosaico U2M e, em Para usar no Tableau, descarregue o arquivo de perfil.

  3. Encontre e copie o endpoint Delta Sharing.

  4. Abra o conector OAuth do Tableau Delta Sharing para se autenticar automaticamente com o seu IdP e abrir a página do conector.

  5. Na página do conector, cole a URL do endpoint do Delta Sharing. O token do portador é pré-preenchido.

Para obter mais informações, consulte o README do conector Delta Sharing do Tableau em Databricks Labs.

  • Last updated on