Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page fournit une vue d’ensemble de la façon dont les fournisseurs peuvent utiliser le protocole de partage OpenSharing Databricks-to-Open pour partager des données à partir de votre espace de travail Azure Databricks compatible avec le catalogue Unity avec n’importe quel utilisateur sur n’importe quelle plateforme informatique, où que vous soyez. Si vous êtes un destinataire de données (utilisateur ou groupe d’utilisateurs avec lesquels les données sont partagées), consultez plutôt Accéder aux données partagées avec vous à l’aide d’OpenSharing (pour les destinataires).
Qui doit utiliser le protocole de partage OpenSharing Databricks-to-Open ?
Il existe trois façons de partager des données à l’aide d’OpenSharing :
Le protocole de partage Databricks-to-Open, abordé dans cet article, vous permet de partager des données que vous gérez dans un espace de travail Databricks compatible avec le catalogue Unity avec des utilisateurs sur n’importe quelle plateforme informatique.
Cette approche utilise le serveur OpenSharing intégré à Azure Databricks et est utile lorsque vous gérez des données à l'aide de Unity Catalog et souhaitez le partager avec des utilisateurs qui n'utilisent pas Databricks ou qui n'ont pas accès à un espace de travail Databricks compatible avec le catalogue Unity. L’intégration à Unity Catalog côté fournisseur simplifie la configuration et la gouvernance pour les fournisseurs.
Une implémentation gérée par le client du serveur OpenSharing open source vous permet de partager à partir de n’importe quelle plateforme, qu’il s’agisse de Databricks ou non.
Consultez le projet open source.
Le protocole de partage Databricks-to-Databricks vous permet de partager des données à partir de votre espace de travail compatible Unity Catalog avec des utilisateurs qui ont également accès à un espace de travail Databricks compatible Unity Catalog.
Voir qu’est-ce que le protocole OpenSharing Databricks-to-Databricks ?.
Pour une présentation d’OpenSharing et plus d’informations sur ces trois approches, consultez Qu’est-ce qu’OpenSharing ?.
Flux de travail de partage OpenSharing Databricks-to-Open
Cette section fournit une vue d’ensemble générale du flux de travail de partage Databricks-to-Open, avec des liens vers une documentation détaillée pour chaque étape.
Dans le modèle de partage OpenSharing Databricks-to-Open :
Le fournisseur de données crée un destinataire. Il s’agit d’un objet nommé qui représente un utilisateur ou un groupe d’utilisateurs avec lesquels le fournisseur de données souhaite partager des données.
Lorsque le fournisseur de données crée le destinataire, le fournisseur configure l’authentification à l’aide d’un jeton de porteur de longue durée ou d’une fédération Open ID Connect (OIDC). Si le fournisseur utilise un jeton du porteur, Azure Databricks génère un fichier d’informations d’identification et un lien d’activation que le fournisseur de données peut envoyer au destinataire pour accéder au fichier d’informations d’identification. Dans le flux de fédération OIDC, l’IDP du destinataire gère l’authentification, en fonction d’une stratégie créée par le fournisseur.
Pour plus d’informations, consultez Créer un objet destinataire pour les utilisateurs autres que Databricks à l’aide de jetons du porteur (partage Databricks-to-Open) ou Activer la fédération Open ID Connect (OIDC) pour les destinataires OpenSharing.
Le fournisseur de données crée un partage, qui est un objet nommé qui contient une collection de tables inscrites dans un metastore Unity Catalog dans le compte du fournisseur.
Pour plus d’informations, consultez Créer des partages pour OpenSharing.
Le fournisseur de données accorde au destinataire l’accès au partage.
Pour plus d’informations, consultez Gérer l’accès aux partages de données OpenSharing (pour les fournisseurs).
Dans le flux de jeton du porteur, le fournisseur de données envoie le lien d’activation au destinataire via un canal sécurisé, ainsi que des instructions d’utilisation du lien d’activation pour télécharger le fichier d’informations d’identification que le destinataire utilisera pour établir une connexion sécurisée avec le fournisseur de données pour recevoir les données partagées.
Pour plus d’informations, consultez Obtenir le lien d’activation.
Dans le flux de fédération OIDC, les destinataires s’authentifient par l’intermédiaire de leur fournisseur d’identité. Consultez Activer la fédération Open ID Connect (OIDC) pour les destinataires OpenSharing.
Dans le flux de jeton du porteur, le destinataire des données suit le lien d’activation pour télécharger le fichier d’informations d’identification, puis utilise le fichier d’informations d’identification pour accéder aux données partagées.
Les données partagées sont disponibles en lecture seule. Les utilisateurs peuvent accéder aux données à l’aide de la plateforme ou des outils de leur choix. Pour plus d’informations, consultez Lire les données partagées à l’aide du partage OpenSharing Databricks-to-Open avec des jetons du porteur.
Dans le flux de fédération OIDC, les destinataires s’authentifient par l’intermédiaire de leur fournisseur d’identité. Consultez Activer la fédération Open ID Connect (OIDC) pour les destinataires OpenSharing.
Configurations spécifiques au fournisseur
De nombreux fournisseurs ont leurs propres réseaux OpenSharing pour le partage. Pour obtenir des instructions de partage spécifiques, consultez, par exemple :
Jetons cloud et accès en fonction du répertoire
Lorsque vous partagez des tables Delta éligibles à l'aide du partage Databricks-to-Open, Azure Databricks retourne l'emplacement de stockage cloud de la table en même temps que les informations d'identification cloud temporaires (jetons cloud) que les destinataires peuvent utiliser pour lire les données directement à partir du stockage cloud. Il s’agit du mode d’accès basé sur l’annuaire et fait partie du protocole de partage Databricks to Open. Elle est activée par défaut pour les ressources nouvellement partagées qui répondent aux exigences d’éligibilité. Si une table partagée ne répond pas à toutes les exigences, les destinataires utilisent l’accès URL pré-signé comme normal.
Pour connaître les conditions d’éligibilité et les considérations relatives à la confidentialité des données, consultez l’éligibilité des jetons cloud.
Configuration du fournisseur et considérations de sécurité pour le partage de Databricks vers Open
Une bonne gestion des jetons est essentielle pour partager des données en toute sécurité lorsque vous utilisez le modèle de partage Databricks-to-Open :
- Les fournisseurs de données sur Azure Databricks qui ont l’intention d’utiliser le partage Databricks-to-Open lorsqu’ils créent des partages doivent configurer la durée de validité par défaut du jeton de destinataire lorsqu’ils activent Open Sharing pour leur metastore Unity Catalog. Databricks vous recommande de configurer les jetons pour qu’ils expirent. Consultez Activer OpenSharing sur un metastore.
- Si vous devez modifier la durée de vie par défaut du jeton, consultez Modifier la durée de vie du jeton du destinataire.
- Encouragez les destinataires à gérer le fichier d’informations d’identification téléchargé de façon sécurisée.
- Pour plus d’informations sur la gestion des jetons et la sécurité de partage Databricks-to-Open, consultez Gérer les jetons de destinataire.
- Le partage de Databricks vers Open est pris en charge entre tous les types d’environnements cloud.
Les fournisseurs de données peuvent renforcer la sécurité en attribuant des listes d’accès IP pour restreindre l’accès des destinataires à des emplacements réseau spécifiques. Consultez Restreindre l’accès des destinataires d’Open Sharing à l’aide de listes d’accès IP (partage Databricks vers Open).