Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina offre una panoramica del modo in cui i provider possono usare il protocollo OpenSharing Databricks-to-Open per condividere i dati dall'area di lavoro di Unity Catalog abilitata per Azure Databricks con qualsiasi utente su qualsiasi piattaforma di calcolo, ovunque. Se si è un destinatario di dati (un utente o un gruppo di utenti con cui vengono condivisi i dati), vedere invece Accedere ai dati condivisi con l'utente usando OpenSharing (per i destinatari).
Chi deve usare il protocollo di condivisione OpenSharing Databricks-to-Open?
Esistono tre modi per condividere i dati con OpenSharing:
Il protocollo di condivisione da Databricks a Open, descritto in questo articolo, consente di condividere i dati gestiti in un'area di lavoro databricks abilitata per Unity Catalog con gli utenti in qualsiasi piattaforma di elaborazione.
Questo approccio usa il server OpenSharing integrato in Azure Databricks ed è utile quando si gestiscono i dati usando Unity Catalog e si vuole condividerlo con gli utenti che non usano Databricks o non hanno accesso a un'area di lavoro di Databricks abilitata per Unity Catalog. L'integrazione con Unity Catalog sul lato provider semplifica la configurazione e la governance per i provider.
Un'implementazione gestita dal cliente del server OpenSharing open source consente di condividere da qualsiasi piattaforma a qualsiasi piattaforma, indipendentemente dal fatto che Databricks o meno.
Vedere il progetto open source.
Il protocollo Da Databricks a Databricks consente di condividere dati dalla tua area di lavoro abilitata per Unity Catalog con utenti che hanno anche accesso a un'area di lavoro di Databricks abilitata per Unity Catalog.
Vedi Che cos'è il protocollo OpenSharing Databricks-to-Databricks?.
Per un'introduzione a OpenSharing e altre informazioni su questi tre approcci, vedere Informazioni su OpenSharing.For an introduction to OpenSharing and more information about these three approaches, see What is OpenSharing?.
Flusso di lavoro di condivisione da OpenSharing Databricks a Open
Questa sezione offre una panoramica generale del flusso di lavoro di condivisione da Databricks a Open, con collegamenti alla documentazione dettagliata per ogni passaggio.
Nel modello di condivisione da OpenSharing Databricks a Open:
Il provider di dati crea un destinatario, ovvero un oggetto denominato che rappresenta un utente o un gruppo di utenti con cui il provider di dati desidera condividere i dati.
Quando il provider di dati crea il destinatario, il provider configura l'autenticazione usando un token portatore di lunga durata o una federazione OpenID Connect (OIDC). Se il provider usa un token di connessione, Azure Databricks genera un file di credenziali e un collegamento di attivazione che il provider di dati può inviare al destinatario per accedere al file delle credenziali. Nel flusso di federazione OIDC, il provider di identità del destinatario gestisce l'autenticazione, in base a una politica creata dal provider.
Per maggiori dettagli, vedi Creare un oggetto destinatario per utenti non Databricks utilizzando token bearer (condivisione da Databricks a Open) o Abilitare la federazione Open ID Connect (OIDC) per i destinatari Open Sharing.
Il provider di dati crea una condivisione, ovvero un oggetto denominato che contiene una raccolta di tabelle registrate in un metastore del catalogo Unity nell'account del provider.
Per informazioni dettagliate, vedere Creare condivisioni per OpenSharing.
Il provider di dati concede al destinatario l'accesso alla condivisione.
Per informazioni dettagliate, vedere Gestire l'accesso alle condivisioni dati OpenSharing (per i provider).
Nel flusso del token di connessione, il provider di dati invia il collegamento di attivazione al destinatario tramite un canale sicuro, insieme alle istruzioni per l'uso del collegamento di attivazione per scaricare il file di credenziali che il destinatario userà per stabilire una connessione sicura con il provider di dati per ricevere i dati condivisi.
Per informazioni dettagliate, vedere Ottenere il collegamento di attivazione.
Nel flusso di federazione OIDC, i destinatari eseguono l'autenticazione tramite il loro provider di identità. Vedere Abilitare la federazione OIDC (Open ID Connect) per i destinatari OpenSharing.
Nel flusso del token di connessione il destinatario dei dati segue il collegamento di attivazione per scaricare il file delle credenziali e quindi usa il file delle credenziali per accedere ai dati condivisi.
I dati condivisi sono disponibili solo per la lettura. Gli utenti possono accedere ai dati usando la piattaforma o gli strumenti scelti. Per dettagli, vedere Leggere i dati condivisi tramite OpenSharing da Databricks a Open Sharing con token bearer.
Nel flusso di federazione OIDC, i destinatari eseguono l'autenticazione tramite il loro provider di identità. Vedere Abilitare la federazione OIDC (Open ID Connect) per i destinatari OpenSharing.
Configurazioni specifiche del provider
Molti provider hanno le proprie reti OpenSharing per la condivisione. Per istruzioni di condivisione specifiche, vedere, ad esempio:
Token cloud e accesso basato su directory
Quando si condividono tabelle Delta idonee usando la condivisione da Databricks a Open, Azure Databricks restituisce il percorso di archiviazione cloud della tabella insieme alle credenziali cloud temporanee (token cloud) che i destinatari possono usare per leggere i dati direttamente dall'archiviazione cloud. Questa operazione è denominata modalità di accesso basato su directory e fa parte del protocollo di condivisione da Databricks a Open. È abilitato per impostazione predefinita per gli asset appena condivisi che soddisfano i requisiti di idoneità. Se una tabella condivisa non soddisfa tutti i requisiti, i destinatari usano l'accesso con URL prefirmato come di consueto.
Per i requisiti di idoneità e le considerazioni sulla privacy dei dati, vedere Idoneità dei token cloud.
Considerazioni sulla configurazione e la sicurezza del provider per la condivisione da Databricks a Open
Una buona gestione dei token è fondamentale per condividere i dati in modo sicuro quando si usa il modello di condivisione da Databricks a Open:
- I provider di dati in Azure Databricks che intendono usare la condivisione da Databricks a Open quando forniscono condivisioni devono configurare la durata predefinita del token del destinatario quando abilitano OpenSharing per il metastore del catalogo Unity. Databricks consiglia di configurare i token per la scadenza. Vedere Abilitare OpenSharing in un metastore.
- Se è necessario modificare la durata predefinita del token, vedere Modificare la durata del token del destinatario.
- Incoraggiare i destinatari a gestire il file di credenziali scaricato in modo sicuro.
- Per altre informazioni sulla gestione dei token e sulla sicurezza di condivisione da Databricks a Open, vedere Gestire i token dei destinatari.
- La condivisione da Databricks a Open è supportata tra tutti i tipi di ambiente cloud.
I provider di dati possono fornire maggiore sicurezza assegnando elenchi di accesso IP per limitare l'accesso dei destinatari a percorsi di rete specifici. Vedere Limitare l'accesso dei destinatari OpenSharing usando gli elenchi di accesso IP (condivisione da Databricks a Open).