共用方式為

在使用者對機器流程中使用 Open ID Connect(OIDC)聯盟接收 Delta Sharing 共用(開放共享)

此頁面說明數據接收者如何使用「用戶對機器」應用程式(例如 Power BI),利用 Open ID Connect (OIDC) 聯邦建立在 Azure Databricks 中創建的 Delta Sharing 的共用存取權。 「使用者對計算機」(U2M) 驗證流程會使用 OIDC 同盟,允許由收件者的 IdP 發出的 JSON Web 令牌(JWT)用來作為 Azure Databricks 所驗證的短期 OAuth 令牌。 此 Databricks-to-open 共用 驗證方法旨在為沒有存取 Unity Catalog 功能的 Databricks 工作區的收件者所設計。

在 OIDC 同盟中,收件者的 IdP 負責發行 JWT 令牌並強制執行安全策略,例如 Multi-Factor Authentication (MFA)。 同樣地,JWT 令牌的存留期由收件者的IdP控管。 Databricks 不會產生或管理這些令牌。 它只會對收件者的IdP進行同盟驗證,並針對收件者的已設定同盟原則驗證JWT。 數據提供者也可以在與組織中的其他使用者或部門內部共享數據時,選擇將驗證同盟至自己的IdP。

OIDC 同盟是一種將非 Databricks 使用者連線至提供者的替代方案,相較於使用由 Azure Databricks 發行且長期有效的持有人令牌。 它可啟用更細緻的訪問控制、支援 MFA,並藉由消除收件者管理和保護共用認證的需求,來降低安全性風險。 如需使用承載令牌改為管理分享驗證的資訊,請參閱 使用承載令牌為非 Databricks 使用者建立收件者物件 (開放分享)

此頁面適用於使用「用戶對計算機」(U2M)應用程式(例如 Power BI 或 Tableau)的收件者。 如需提供者如何在 Azure Databricks 中為收件者啟用 OIDC 同盟的詳細資訊,請參閱 使用 Open ID Connect (OIDC) 同盟來啟用對 Delta Sharing 共用 (open sharing)的驗證。 如需有關「機器對機器」(M2M)OAuth 用戶端憑證流程的資訊,請參閱 使用 Python 用戶端接收 Delta Sharing 分享,以及在機器對機器流程中使用 Open ID Connect(OIDC)聯邦為開放分享

此頁面說明數據收件者如何使用自己的識別提供者 (IdP) 來存取 Databricks 中建立的 Delta Sharing 共用。

使用 OIDC 令牌同盟的用戶對電腦 (U2M) 驗證流程概觀

若要使用 OIDC 令牌同盟來存取 Databricks 提供者共用的數據,請執行下列動作:

  1. 為 Azure Databricks 提供者提供其要求的 IdP 和用戶資訊。
  2. 使用提供者傳送給您的 OIDC 配置檔產生入口網站 URL 來存取配置檔檔案(Tableau)或 OAuth 登入頁面(Power BI)。

從 Entra ID 取得 OIDC 政策欄位值

如果您是收件者,請使用 Microsoft Entra ID 作為識別提供者,您可以依照這些指示取得提供者所要求的資訊。 如需其他 IdP,請參閱其文件。

  • 簽發者 URL:這是 OIDC JWT 令牌 iss 宣告中指定的令牌簽發者。 針對 Entra ID,將 https://login.microsoftonline.com/{tenantId}/v2.0 替換為您的 Entra 租使用者識別碼{tenantId}。 若要瞭解如何尋找租使用者識別碼,請參閱 Microsoft Entra ID 檔案

  • 主旨宣告:指 JWT 承載中的欄位,用來識別存取資料的實體(例如使用者或群組)。 使用的特定欄位取決於您的識別提供者 (IdP) 和使用案例。 例如,在 Microsoft Entra ID 中,您可能會針對 U2M 案例使用下列值:

    • oid (物件識別碼):選取單一使用者需要存取權時。
    • groups:當使用者群組需要存取權時選取。

    如需其他IdP,請參閱其檔,以判斷您特定需求的適當主體宣告。

  • Subject:可存取共享資料之身分識別的唯一識別碼。

    • 如果您想要與單一用戶共享,並選擇 oid 作為主體宣告,則您應該根據 Microsoft Entra ID 文件 找到該使用者的物件識別符,並將其當作主體使用。
    • 如果您選擇群組做為主體宣告,則必須尋找群組對象標識符群組對象標識碼:在 Entra ID 控制台中,選取群組,然後搜尋群組。 物件標識碼會顯示在清單中的群組數據列上。 針對群組宣告,請在 Entra 控制台中選取群組,然後尋找群組的物件識別碼。

  • 受眾:針對 U2M 驗證,收件者不需要此值。 Databricks 提供者一律會使用下列標識符:

    64978f70-f6a6-4204-a29e-87d74bfea138

    這是收件者使用 Power BI 和 Tableau 存取 Databricks 資料分享所需的 Databricks published multi-tenant App(DeltaSharing) OAuth 註冊客戶端應用程式的 ID。

Entra ID 的範例值

以下是在 Entra ID 租用戶 11111111-2222-3333-4444-555555555555中,與具有物件識別碼 aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee 的特定使用者共用的範例組態。

  • 簽發者:https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
  • 主體宣告:oid (使用者的物件標識符)
  • 主旨:11111111-2222-3333-4444-555555555555Microsoft Entra ID 文件
  • 受眾:64978f70-f6a6-4204-a29e-87d74bfea138 (這是由 Entra ID 中 Databricks 註冊的多租用戶應用程式的客戶端識別碼)

以下是在 Entra ID 租戶 66666666-2222-3333-4444-555555555555 中,以對象識別碼 aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee 與特定群組共用的範例設定配置

  • 簽發者:https://login.microsoftonline.com/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
  • 主體宣告:groups
  • 主旨:66666666-2222-3333-4444-555555555555 (這是群組的物件標識符,可在 Entra ID 控制台中找到。您可以選擇群組並尋找群組的物件識別碼 )
  • 受眾:64978f70-f6a6-4204-a29e-87d74bfea138 (這是由 Entra ID 中 Databricks 註冊的多租用戶應用程式的客戶端識別碼)

備註

針對 Power BI 和 Tableau 等 U2M 應用程式,對象應該是 Databricks 在 Entra ID 中註冊的多租使用者應用程式識別碼,也就是 64978f70-f6a6-4204-a29e-87d74bfea138

如需 U2M 應用程式及其 OIDC 聯盟政策的詳細資訊,請參閱 使用 Open ID Connect (OIDC) 聯盟在使用者到機器的流程中接收 Delta 分享的共用

使用 Power BI 存取共享數據

供應商為您建立原則之後,他們會分享 Databricks OIDC 入口網站的連結,您可以從任何地方打開並多次存取。 此連結不包含任何敏感性資訊。

需求

Power BI Desktop 必須是 2.141.1253.0 版(於 2025 年 3 月 31 日發行)或更新版本。

存取分享

  1. 前往由 Databricks 提供者與您共用之 OIDC 配置檔入口網站 URL。

    如果您尚未收到網址,請索取網址。

  2. 在入口網站頁面上,選取 [U2M] 圖格,然後在 [若要在 Power BI上使用] 的欄位中,複製服務端點。

  3. 在 Power BI 中,移至 [ 取得數據 ] 並搜尋 [ 差異共用],選取 [ 差異共用],然後按兩下 [ 連線]。

  4. 在 [Delta Sharing] 對話框中,將服務端點 URL 貼上到 [Delta Sharing Server URL] 欄位中,然後點擊 [OK]。

  5. 在 [Delta Sharing 驗證] 對話框中,確定在側邊欄中選取了 [OAuth],然後按一下 [登入]。

    系統會帶您前往您的 IdP 登入頁面。 如往常一樣登入。

  6. 返回 [Delta Sharing 驗證] 對話框,然後按一下 [Connect]。

  7. 在「導航器」中,共享的資料會列在 Delta Sharing URL 底下。

核准多租戶架構應用程式

若要能夠使用 Databricks 已發佈的多租使用者應用程式(DeltaSharing),Entra ID 租使用者系統管理員必須在瀏覽器中開啟此 URL,並使用系統管理員身分識別登入以核准使用方式:https://login.microsoftonline.com/{organization}/adminconsent?client_id=64978f70-f6a6-4204-a29e-87d74bfea138。 請將 {organization} 替換為您的 Azure 租戶識別碼。 這是一次性動作,這裡會提供詳細資訊:https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal

使用 Tableau 存取共享數據

要使用 Tableau 存取共享資源:

  1. 前往由 Databricks 提供者與您共用之 OIDC 配置檔入口網站 URL。

    如果您尚未收到網址,請索取網址。

  2. 在入口網站頁面上,選取 [U2M] 圖格,然後在 [若要在 Tableau 上使用] 下下載配置檔。

  3. 找出並複製 Delta Sharing 端點。

  4. 開啟Tableau Delta Sharing OAuth 連接器,以使用您的IdP自動驗證並啟動連接器頁面。

  5. 在連接器頁面上,貼上 Delta 共用端點 URL。 承載者令牌已預先填入欄位中。

如需詳細資訊,請參閱 Databricks Labs 中的Tableau Delta Sharing 連接器自述檔。

  • Last updated on