通过

在用户到计算机流中使用 Open ID Connect (OIDC) 联合接收 Delta Sharing 共享(开放共享)

重要

此功能目前以公共预览版提供。

本页介绍了数据收件人如何使用“用户到计算机 (U2M)”应用程序(例如 Power BI)来建立对使用 Open ID Connect (OIDC) 联合身份验证在 Azure Databricks 中创建的 Delta Sharing 共享的访问权限。 “用户到计算机”(U2M)身份验证流使用 OIDC 联合身份验证,允许接收方 IdP 颁发的 JSON Web 令牌(JWT)用作由 Azure Databricks 进行身份验证的短期 OAuth 令牌。 此 Databricks-to-open 共享身份验证方法专为无法访问已启用 Unity Catalog 的 Databricks 工作区的接收者而设计。

在 OIDC 联合身份验证中,收件人的 IdP 负责颁发 JWT 令牌并强制实施安全策略,例如多重身份验证(MFA)。 同样,JWT 令牌的生存期由收件人的 IdP 管理。 Databricks 不会生成或管理这些令牌。 它仅将身份验证联合至收件人的 IdP,并根据收件人配置的联合策略验证 JWT。 数据提供者在与其组织中的其他用户或部门内部共享数据时,还可以选择将身份验证委托给他们自己的身份提供商(IdP)。

OIDC 联合是使用长期存在的 Azure Databricks 颁发的持有者令牌,将非 Databricks 接收者连接到提供程序的替代方法。 它支持精细的访问控制、支持 MFA,并消除收件人管理和保护共享凭据的需要,从而降低安全风险。 有关改用持有者令牌管理共享身份验证的信息,请参阅 使用持有者令牌(打开共享)为非 Databricks 用户创建收件人对象

此页面适用于使用“用户到计算机”(U2M)应用程序(例如 Power BI 或 Tableau)的收件人。 有关如何在 Azure Databricks 中为收件人启用 OIDC 联合身份验证的信息,请参阅 使用 Open ID Connect (OIDC) 联合身份验证启用对 Delta 共享共享(开放共享)的身份验证。 有关“机器对机器”(M2M) OAuth 客户端凭据流的信息,请参阅在机器对机器流(开放共享)中,通过 Python 客户端和 Open ID Connect (OIDC) 联合接收 Delta Sharing 共享

此页面说明数据接收者如何使用他们自己的身份提供者(IdP)访问 Databricks 中创建的 Delta Sharing 共享。

使用 OIDC 令牌联合的用户到机器(U2M)身份验证流程概述

若要使用 OIDC 令牌联合访问 Databricks 提供程序共享的数据,请执行以下操作:

  1. 为 Azure Databricks 提供程序提供他们请求的 IdP 和用户信息。

  2. 使用提供程序发送的 OIDC 配置文件生成门户 URL 来访问 Tableau 的配置文件文件或 Power BI 的 OAuth 登录页面。

从 Entra ID 获取 OIDC 策略字段值

如果你作为接收方,并使用 Microsoft Entra ID 作为标识提供者,请按照以下说明获取提供商请求的信息。 有关其他 IdP,请参阅其文档。

  • 颁发者 URL:这是在 OIDC JWT 令牌声明中指定的 iss 令牌颁发者。 对于 Entra ID,请将 https://login.partner.microsoftonline.cn/{tenantId}/v2.0 替换为你的 Entra 租户 ID {tenantId}。 若要了解如何查找租户 ID,请参阅 Microsoft Entra ID 文档

  • 主体声明:指在 JWT 有效负载中用于标识访问数据实体(例如用户或组)的字段。 所使用的特定字段取决于您的身份提供者(IdP)以及您的使用场景。 例如,在 Microsoft Entra ID 中,可以将以下值用于 U2M 方案:

    • oid (对象 ID):选择单个用户需要访问时。
    • groups:当需要访问权限时,选择一组用户。

    对于其他 IdP,请参阅其文档,确定特定要求的相应主题声明。

  • 主题:可访问共享数据的标识的唯一标识符。

    • 如果打算与单个用户共享并选择 oid 主题声明,则应根据 Microsoft Entra ID 文档找到该用户的对象 ID,并将其用作主题。

    • 如果选择组作为主题声明,则必须找到组对象 ID。在 Entra ID 控制台中,选择组并搜索组。 对象 ID 显示在列表中的组行上。 对于组声明,请在 Entra 控制台中选择组,并查找组的对象 ID。

  • 受众:对于 U2M 身份验证,收件人不需要此值。 Databricks 提供程序始终使用以下 ID:

    64978f70-f6a6-4204-a29e-87d74bfea138

    这是 OAuth 注册的客户端应用的 ID,接收者使用该 ID Databricks published multi-tenant App(DeltaSharing) 访问 Power BI 和 Tableau 的 Databricks 共享。

Entra ID 的示例值

以下是在 Entra ID 租户11111111-2222-3333-4444-555555555555中使用对象 ID aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee 与特定用户共享的示例配置。

  • 颁发者:https://login.partner.microsoftonline.cn/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0

  • 主体声明: oid (用户的对象 ID)

  • 主题:11111111-2222-3333-4444-555555555555 Microsoft Entra ID 文档

  • 访问群体: 64978f70-f6a6-4204-a29e-87d74bfea138 (这是 Databricks 在 Entra ID 中注册的多租户应用的客户端 ID)

下面是在 Entra ID 租户 66666666-2222-3333-4444-555555555555 中使用对象 ID aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee 与特定组共享的示例配置

  • 颁发者:https://login.partner.microsoftonline.cn/aaaaaaaa-bbbb-4ccc-dddd-eeeeeeeeeeee/v2.0
  • 主题声明:groups
  • 主题: 66666666-2222-3333-4444-555555555555 (这是组的对象 ID,可在 Entra ID 控制台中找到。可以选择组并查找组的对象 ID)
  • 访问群体: 64978f70-f6a6-4204-a29e-87d74bfea138 (这是 Databricks 在 Entra ID 中注册的多租户应用的客户端 ID)

注释

对于 Power BI 和 Tableau 等 U2M 应用程序,受众应该是 Databricks 在 Entra ID 中注册的多租户应用 ID,即 64978f70-f6a6-4204-a29e-87d74bfea138

有关 U2M 应用程序及其 OIDC 联合策略的更多信息,请参阅在用户到机器的流程(开放共享)中使用 Open ID Connect (OIDC) 联合来接收 Delta Sharing 份额

使用 Power BI 访问共享数据

提供程序为你创建策略后,他们将共享指向 Databricks OIDC 门户的链接,该门户可从任意位置打开并多次访问。 此链接不包含任何敏感信息。

要求

Power BI Desktop 必须是版本 2.141.1253.0(2025 年 3 月 31 日发布)或更高版本。

访问共享

  1. 请访问 Databricks 提供程序与你共享的 OIDC 配置文件门户的 URL。

    如果尚未收到 URL,请请求该 URL。

  2. 在门户页上,选择 U2M 磁贴,并在“若要在 Power BI 上使用”,复制服务终结点。

  3. 在 Power BI 中,转到 “获取数据 ”并搜索 “增量共享”,选择“ 增量共享”,然后单击“ 连接”。

  4. “增量共享 ”对话框中,将服务终结点 URL 粘贴到 “增量共享服务器 URL ”字段中,然后单击“ 确定”。

  5. “增量共享 身份验证”对话框中,确保已在边栏中选择 OAuth ,然后单击“ 登录”。

    你已进入 IdP 登录页。 像往常一样登录。

  6. 返回到 “增量共享 身份验证”对话框,然后单击“ 连接”。

  7. 在导航器中,共享数据列在 Delta Sharing URL 下。

批准多租户应用程序

若要能够使用 Databricks 发布的多租户应用(DeltaSharing),Entra ID 租户管理员需要在浏览器中打开此 URL,并使用管理员标识登录以批准使用: https://login.partner.microsoftonline.cn/{organization}/adminconsent?client_id=64978f70-f6a6-4204-a29e-87d74bfea138 请将 {organization} 替换为你的 Azure 租户 ID。 这是一次性作,详细信息如下:https://docs.azure.cn/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal

使用 Tableau 访问共享数据

请使用 Tableau 访问共享:

  1. 请访问 Databricks 提供程序与你共享的 OIDC 配置文件门户的 URL。

    如果尚未收到 URL,请请求该 URL。

  2. 在门户页上,选择 U2M 磁贴,并在“若要在 Tableau 上使用”下,下载用户配置文件。

  3. 查找并复制 Delta Sharing 终结点。

  4. 打开 Tableau Delta Sharing OAuth 连接器,使用 IdP 自动进行身份验证并启动连接器页。

  5. 在连接器页面上,粘贴 Delta Sharing 终端 URL。 持有者令牌已预填充。

有关详细信息,请参阅 Databricks Labs 中的 Tableau Delta 共享连接器自述文件