Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här sidan ger en översikt över hur leverantörer kan använda delningsprotokollet OpenSharing Databricks-to-Open för att dela data från din Unity Catalog-aktiverade Azure Databricks arbetsyta med alla användare på valfri datorplattform, var som helst. Om du är en datamottagare (en användare eller grupp av användare som data delas med), se i stället Åtkomst till data som delas med dig med OpenSharing (för mottagare).
Vem ska använda delningsprotokollet OpenSharing Databricks-to-Open?
Det finns tre sätt att dela data med OpenSharing:
Med delningsprotokollet Databricks-to-Open, som beskrivs i den här artikeln, kan du dela data som du hanterar på en Unity Catalog-aktiverad Databricks-arbetsyta med användare på alla databehandlingsplattformar.
Den här metoden använder OpenSharing-servern som är inbyggd i Azure Databricks och är användbar när du hanterar data med Unity Catalog och vill dela dem med användare som inte använder Databricks eller inte har åtkomst till en Unity Catalog-aktiverad Databricks-arbetsyta. Integreringen med Unity Catalog på providersidan förenklar konfigurationen och styrningen för leverantörer.
Med en kundhanterad implementering av OpenSharing-servern med öppen källkod kan du dela från valfri plattform till valfri plattform, oavsett om det är Databricks eller inte.
Med delningsprotokollet Databricks-till-Databricks kan du dela data från din Unity Catalog-aktiverade arbetsyta med användare som också har åtkomst till en Unity Catalog-aktiverad Databricks-arbetsyta.
Se Vad är OpenSharing Databricks-to-Databricks-protokollet?.
En introduktion till OpenSharing och mer information om dessa tre metoder finns i Vad är OpenSharing?.
OpenSharing Databricks-to-Open-delningsarbetsflöde
Det här avsnittet innehåller en översikt över databricks-till-open-delningsarbetsflödet med länkar till detaljerad dokumentation för varje steg.
I delningsmodellen OpenSharing Databricks-to-Open:
Dataprovidern skapar en mottagare, som är ett namngivet objekt som representerar en användare eller grupp av användare som dataleverantören vill dela data med.
När dataleverantören skapar mottagaren konfigurerar leverantören autentisering med antingen en långlivad bärartoken eller federation via Open ID Connect (OIDC). Om providern använder en ägartoken genererar Azure Databricks en autentiseringsfil och en aktiveringslänk som dataleverantören kan skicka till mottagaren för att få åtkomst till autentiseringsfilen. I OIDC-federationsflödet hanterar mottagarens IdP autentisering baserat på en princip som skapats av providern.
Mer information finns i Skapa ett mottagarobjekt för icke-Databricks-användare som använder ägartoken (Databricks-to-Open-delning) eller Aktivera OIDC-federation (Open ID Connect) för OpenSharing-mottagare.
Dataprovidern skapar en resurs, som är ett namngivet objekt som innehåller en samling tabeller som är registrerade i ett Unity Catalog-metaarkiv i providerns konto.
Mer information finns i Skapa resurser för OpenSharing.
Dataleverantören ger mottagaren åtkomst till resursen.
Mer information finns i Hantera åtkomst till OpenSharing-dataresurser (för leverantörer).
I flödet för ägartoken skickar dataprovidern aktiveringslänken till mottagaren via en säker kanal, tillsammans med instruktioner för att använda aktiveringslänken för att ladda ned den autentiseringsfil som mottagaren använder för att upprätta en säker anslutning till dataleverantören för att ta emot delade data.
Mer information finns i Hämta aktiveringslänken.
I OIDC-federationsflödet autentiserar mottagarna via sin IdP. Se Aktivera OIDC-federation (Open ID Connect) för OpenSharing-mottagare.
I flödet för ägartoken följer datamottagaren aktiveringslänken för att ladda ned autentiseringsfilen och använder sedan autentiseringsfilen för att komma åt delade data.
Delade data kan endast läsas. Användare kan komma åt data med valfri plattform eller verktyg. Mer information finns i Läsa data som delas med OpenSharing Databricks-to-Open-delning med ägartoken.
I OIDC-federationsflödet autentiserar mottagarna via sin IdP. Se Aktivera OIDC-federation (Open ID Connect) för OpenSharing-mottagare.
Providerspecifika konfigurationer
Många leverantörer har egna OpenSharing-nätverk för delning. Specifika delningsinstruktioner finns i till exempel:
Molntoken och katalogbaserad åtkomst
När du delar berättigade Delta-tabeller med databricks-till-öppen-delning returnerar Azure Databricks tabellens molnlagringsplats tillsammans med tillfälliga molnautentiseringsuppgifter (molntoken) som mottagarna kan använda för att läsa data direkt från molnlagring. Detta kallas katalogbaserat åtkomstläge och är en del av delningsprotokollet Databricks-to-Open. Den är aktiverad som standard för nyligen delade tillgångar som uppfyller behörighetskraven. Om en delad tabell inte uppfyller alla krav använder mottagarna försignerad URL-åtkomst som vanligt.
Behörighetskrav och överväganden för datasekretess finns i Behörighet för molntoken.
Leverantörskonfiguration och säkerhetsöverväganden för databricks-till-öppen-delning
Bra tokenhantering är nyckeln till att dela data på ett säkert sätt när du använder delningsmodellen Databricks-to-Open:
- Dataprovidrar på Azure Databricks som tänker använda Databricks-to-Open-delning när de tillhandahåller resurser måste konfigurera standardlivslängden för mottagartoken när de aktiverar OpenSharing för sitt Unity Catalog-metaarkiv. Databricks rekommenderar att du konfigurerar att token upphör att gälla. Se Aktivera OpenSharing i ett metaarkiv.
- Om du behöver ändra standardlivslängden för en token, se Ändra livslängden för mottagartoken.
- Uppmuntra mottagarna att hantera sin nedladdade autentiseringsfil på ett säkert sätt.
- Mer information om tokenhantering och Databricks-to-Open-delningssäkerhet finns i Hantera mottagartoken.
- Databricks-to-Open-delning stöds mellan alla typer av molnmiljöer.
Dataleverantörer kan ge ytterligare säkerhet genom att tilldela IP-åtkomstlistor för att begränsa mottagarens åtkomst till specifika nätverksplatser. Se Begränsa openSharing-mottagaråtkomst med hjälp av IP-åtkomstlistor (Databricks-till-Open-delning).