Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite finden Sie eine Übersicht darüber, wie Anbieter das OpenSharing Databricks-to-Open-Freigabeprotokoll verwenden können, um Daten aus Ihrem Unity-Katalog-fähigen Azure Databricks Arbeitsbereich für jeden Benutzer auf jeder Computerplattform überall freizugeben. Wenn Sie ein Datenempfänger sind (ein Benutzer oder eine Gruppe von Benutzern, für die Daten freigegeben werden), lesen Sie stattdessen Access-Daten, die für Sie mit OpenSharing (für Empfänger) freigegeben wurden.
Wer sollte das OpenSharing Databricks-to-Open-Freigabeprotokoll verwenden?
Es gibt drei Möglichkeiten zum Freigeben von Daten mithilfe von OpenSharing:
Im in diesem Artikel behandelten Databricks-to-Open-Freigabeprotokoll können Sie Daten freigeben, die Sie in einem Unity-Katalog-fähigen Databricks-Arbeitsbereich für Benutzer auf jeder Computerplattform verwalten.
Dieser Ansatz verwendet den in Azure Databricks integrierten OpenSharing-Server und ist nützlich, wenn Sie Daten mithilfe des Unity-Katalogs verwalten und mit Benutzern teilen möchten, die Databricks nicht verwenden oder keinen Zugriff auf einen Unity-Katalog-fähigen Databricks-Arbeitsbereich haben. Die Integration in Unity Catalog auf der Anbieterseite vereinfacht die Einrichtung und Governance für Anbieter.
Mit einer kundenseitig verwalteten Implementierung des Open-Source-Servers OpenSharing können Sie Daten von jeder Plattform für jede Plattform freigeben, unabhängig davon, ob mit Databricks oder ohne.
Siehe das Open-Source-Projekt.
Das Databricks-zu-Databricks-Freigabeprotokolllässt Sie Daten aus Ihrem Unity Catalog-fähigen Arbeitsbereich für Benutzer*innen freigeben, die ebenfalls Zugriff auf einen Unity Catalog-fähigen Databricks-Arbeitsbereich haben.
Siehe Was ist das OpenSharing Databricks-to-Databricks-Protokoll?.
Eine Einführung in OpenSharing und weitere Informationen zu diesen drei Ansätzen finden Sie unter What is OpenSharing?.
OpenSharing Databricks-to-Open-Freigabeworkflow
Dieser Abschnitt enthält eine allgemeine Übersicht über den Databricks-to-Open-Freigabeworkflow mit Links zu detaillierten Dokumentationen für jeden Schritt.
Im OpenSharing Databricks-to-Open-Freigabemodell:
Der Datenanbieter erstellt einen Empfänger, d. h. ein benanntes Objekt, das einen Benutzer oder eine Benutzergruppe repräsentiert, für den bzw. die der Datenanbieter Daten freigeben möchte.
Wenn der Datenanbieter den Empfänger erstellt, richtet der Anbieter die Authentifizierung entweder mit einem Langzeit-Bearertoken oder einem OIDC-Verbund (Open ID Connect) ein. Wenn der Anbieter ein Bearertoken verwendet, generiert Azure Databricks eine Anmeldeinformationsdatei und einen Aktivierungslink, den der Datenanbieter an den Empfänger senden kann, um auf die Anmeldeinformationsdatei zuzugreifen. Im OIDC-Partnerverbundablauf verwaltet der IdP des Empfängers die Authentifizierung basierend auf einer vom Anbieter erstellten Richtlinie.
Weitere Informationen finden Sie unter Ein Empfängerobjekt für Nicht-Databricks-Benutzer mithilfe von Bearer-Token erstellen (Databricks-to-Open-Sharing) oder Die Open ID Connect (OIDC)-Föderation für Open-Sharing-Empfänger aktivieren.
Der Datenanbieter erstellt eine Freigabe, die ein benanntes Objekt ist, das eine Auflistung von Tabellen enthält, die in einem Unity Catalog-Metastore im Konto des Anbieters registriert sind.
Ausführliche Informationen finden Sie unter Erstellen von Freigaben für OpenSharing.
Der Datenanbieter gewährt dem Empfänger Zugriff auf die Freigabe.
Ausführliche Informationen finden Sie unter Verwalten des Zugriffs auf OpenSharing-Datenfreigaben (für Anbieter).
Im Bearer-Token-Flow sendet der Datenanbieter den Aktivierungslink über einen sicheren Kanal an den Empfänger zusammen mit Anweisungen zur Verwendung des Links, um die Anmeldedatei herunterzuladen. Der Empfänger wird diese Datei nutzen, um eine sichere Verbindung mit dem Datenanbieter herzustellen, um die freigegebenen Daten zu empfangen.
Ausführliche Informationen finden Sie unter "Abrufen des Aktivierungslinks".
Im OIDC-Föderationsablauf melden sich die Empfänger über ihren IdP an. Siehe Aktivieren des Open ID Connect (OIDC)-Partnerverbunds für OpenSharing-Empfänger.
Im Bearertokenfluss folgt der Datenempfänger dem Aktivierungslink zum Herunterladen der Anmeldeinformationsdatei und verwendet dann die Anmeldeinformationsdatei, um auf die freigegebenen Daten zuzugreifen.
Freigegebene Daten können nur gelesen werden. Benutzer können über eine Plattform oder einem Tool ihrer Wahl auf die Daten zugreifen. Ausführliche Informationen finden Sie unter Lesen von Daten, die über OpenSharing Databricks-to-Open Sharing mit Bearer-Token freigegeben werden.
Im OIDC-Föderationsablauf melden sich die Empfänger über ihren IdP an. Siehe Aktivieren des Open ID Connect (OIDC)-Partnerverbunds für OpenSharing-Empfänger.
Anbieterspezifische Konfigurationen
Viele Anbieter verfügen über eigene OpenSharing-Netzwerke zum Teilen. Sie finden spezifische Freigabeanweisungen beispielsweise unter:
Cloudtoken und verzeichnisbasierter Zugriff
Wenn Sie berechtigte Delta-Tabellen mit Databricks-to-Open-Freigabe freigeben, gibt Azure Databricks den Cloudspeicherort der Tabelle zusammen mit temporären Cloudanmeldeinformationen (Cloudtoken) zurück, die Empfänger verwenden können, um Daten direkt aus dem Cloudspeicher zu lesen. Dies wird als verzeichnisbasierter Zugriffsmodus bezeichnet und ist Teil des Databricks-to-Open-Freigabeprotokolls. Sie ist standardmäßig für neu freigegebene Ressourcen aktiviert, die die Berechtigungsanforderungen erfüllen. Wenn eine freigegebene Tabelle nicht allen Anforderungen entspricht, verwenden Empfänger den vorab signierten URL-Zugriff wie gewohnt.
Informationen zu Berechtigungsanforderungen und Datenschutzaspekten finden Sie unter Cloudtokenberechtigung.
Einrichtungs- und Sicherheitsaspekte für die Databricks-to-Open-Freigabe durch den Anbieter
Eine gute Tokenverwaltung ist der Schlüssel zum sicheren Teilen von Daten, wenn Sie das Databricks-to-Open-Freigabemodell verwenden:
- Datenanbieter in Azure Databricks, die beim Bereitstellen von Freigaben Databricks-to-Open-Sharing verwenden möchten, müssen die Standardlebensdauer des Empfängertokens konfigurieren, wenn sie OpenSharing für ihren Unity Catalog-Metastore aktivieren. Databricks empfiehlt, Token so zu konfigurieren, dass sie ablaufen. Siehe Aktivieren von OpenSharing in einem Metastore.
- Wenn Sie die Standardlebensdauer des Tokens ändern müssen, lesen Sie Ändern der Lebensdauer des Empfängertokens.
- Fordern Sie die Empfänger auf, die heruntergeladene Datei mit den Anmeldeinformationen sicher zu verwalten.
- Weitere Informationen zur Tokenverwaltung und databricks-to-Open-Freigabesicherheit finden Sie unter Verwalten von Empfängertoken.
- Databricks-to-Open-Freigabe wird zwischen allen Cloudumgebungstypen unterstützt.
Datenanbieter können für zusätzliche Sicherheit sorgen, indem sie IP-Zugriffslisten zuweisen, um den Empfängerzugriff auf bestimmte Netzwerkstandorte zu beschränken. Siehe Einschränken des OpenSharing-Empfängerzugriffs mithilfe von IP-Zugriffslisten (Databricks-to-Open Sharing)