Athrun Data Intelligence

Menú
Contáctanos

Anunciando la Agrupación Token de OIDC para una mejor seguridad para compartir delta


Estamos entusiasmados de presentar la traza previa pública de Agrupación de token de OIDC para una decano seguridad para compartir delta una gran restablecimiento de seguridad y usabilidad para Al compartir con los destinatarios de Databricks. Con este extensión, proveedores de datos puede compartir datos de forma segura con no databricks usuarios en cualquier plataforma informática que prefieren autenticarse usando un Proveedor de identidad personalizado (IDP), como Azure Entra Id o Okta. Esto elimina la pobreza de credenciales estáticas, restablecimiento la seguridad y habilita Control de entrada de semilla fino—Enentando que solo los usuarios o máquinas adecuadas tienen entrada a datos compartidos.

5 Beneficios de la convenio segura de token de OpenID Connect

Delta Compartir es el primer enfoque de código franco de la industria para el intercambio de datos entre datos, estudio e IA. Esto significa que no está encerrado en ningún proveedor o plataforma específico. Delta Compartir de Databricks Permite dos tipos de intercambio: compartir con destinatarios no Databricks y compartir con destinatarios de Databricks (igualmente conocidos como D2D Sharing). Controlar fuera del blog «Cómo Delta Sharing permite una colaboración segura de extremo a extremo» Para más detalles sobre uno y otro tipos de intercambio. Si comparte datos con otro cliente de Databricks en su cuenta de Databricks, ya puede usar D2D Sharing, que proporciona una experiencia perfecta e integrada adentro del ecosistema de Databricks.

Por otro flanco, cuando comparte de forma segura con usuarios externos que no están en Databricks, Delta Sharing siempre ha proporcionado una forma simple y rápida de compartir datos utilizando tokens Bearer. Sin confiscación, para los usuarios que no son de Databricks que priorizan la seguridad mejorada, Agrupación de token de OIDC para decano seguridad Ofrece un mecanismo de autenticación más robusto y flexible. Este enfoque minimiza los riesgos de exposición y garantiza una colaboración segura.

Beneficios secreto del uso de la convenio de token OIDC al compartir con usuarios que no son de Databricks en cualquier plataforma informática:

  1. Identidades administradas por IDP: Los clientes pueden usar sus proveedores de identidad actuales (como Entra ID o OKTA) para la autenticación, evitando la pobreza de configurar nuevos sistemas o procesos.
  2. Control de entrada de heredero de semilla fino: Los clientes obtienen un control preciso sobre quién puede consentir a los datos, asegurando que solo las personas o sistemas adecuados tengan permisos.
  3. Soporte de autenticación multifactor (MFA): Si su proveedor de identidad admite la autenticación multifactor (MFA), agrega una capa adicional de protección, asegurando que solo los usuarios autorizados accedan a los datos compartidos.
  4. Riesgos de seguridad reducidos: Los tokens de corta duración caducan automáticamente, minimizando la posibilidad de entrada no competente sin requerir una intervención manual.
  5. No hay secretos compartidos: Elimina la pobreza de distribuir credenciales estáticas entre Databricks, proveedores y destinatarios.

¿Cómo funciona la Agrupación Token OIDC cuando se comparte con los destinatarios de Databricks?

Con la Agrupación de Token OIDC al compartir con destinatarios no Databricks, cada destinatario de Delta Compartir está configurado con las políticas de la convenio, asegurando que solo los usuarios o máquinas autorizados puedan consentir a datos compartidos. Así es como funciona:

1. Configuración de entrada para el destinatario no Databricks

  • El proveedor de datos (heredero de Databricks) configura un Política de convenio de token de OIDC para el destinatario, especificando su IDP forastero (por ejemplo, Entra ID, OKTA).
  • La política define qué usuarios, aplicaciones o sistemas Desde el sistema de identidad del destinatario puede consentir a los datos compartidos.

2. Autenticación segura con tokens de corta duración

  1. Cuando el destinatario intenta consentir a datos compartidos, Delta Sharing Connector se autenticará en su nombre en su nombre de su IDP de configuración (por ejemplo, ID de Entra o OKTA).
  2. Tras una autenticación exitosa, el sistema de identidad crea un pase digital temporal, llamado Token web JSON (JWT), que incluye información sobre quiénes son. Esto se comparte con Delta Sharing Connector.
  3. El conector Delta Sharing combinará el token JWT emitido por el IDP a lo desprendido de la solicitud Delta Sharing y lo enviará al servidor Databricks Delta Sharing.
  4. Databricks Delta Sharing valida el JWT contra la política del destinatario, y coincide con las reglas establecidas por el proveedor de datos, como efectuar quién lo emitió, para quién es y quién solicita entrada.
  5. Tras una autenticación exitosa, Databricks Delta Sharing Server comparte los datos solicitados.
  6. Delta compartiendo el cliente a su vez lo devuelve al flujo de trabajo del destinatario.

Este enfoque Elimina la pobreza de secretos compartidos. En su ocasión, utiliza tokens de autenticación temporal que caducan rápidamente y permite un control preciso sobre quién o qué (un heredero o máquina específico) puede consentir a los datos.

Tres escenarios de autenticación compatibles

El enfoque de la convenio de token de OIDC es compatible Heredero a máquina (U2M) y Máquina a máquina (m2m) Flujos de autenticación, que permite una amplia grado de casos de uso.

1. Autenticación de heredero a máquina (U2M)

  • Un heredero humano de la ordenamiento destinatario se autentica a través de su IDP.
  • Si la autenticación multifactor (MFA) está habilitada en el IDP del destinatario o del proveedor, se aplicará.
  • El heredero puede usar herramientas como Power BI o Tableau para consentir y analizar los datos compartidos fácilmente.
  • El proveedor de datos puede establecer reglas para permitir el entrada solo a personas o grupos específicos, asegurando un control ajustado sobre quién obtiene entrada.

Esta demostración muestra cómo compartir de forma segura los datos de Databricks a Power BI con la autenticación Enlaid

2. Autenticación de máquina a máquina (M2M)

Delta Compartir ahora admite dos formas seguras para que las máquinas de destinatario que no sean databricks se autenticen automáticamente:

Atmósfera 1: Flujo de subvención de credenciales del cliente OAuth

  • La ordenamiento de receptor o proveedor registra un Director de servicio en su desplazamiento interno. Un principal de servicio es como una «identidad de heredero» para aplicaciones o sistemas automatizados, lo que les permite consentir de forma segura a los capital sin pobreza de que un humano inicie sesión.
  • No se comparten credenciales externamente entre Databricks, proveedor o destinatario, y Secret Management es recinto, todo se mantiene seguro adentro de cada ordenamiento.
  • Soporte Cliente de intercambio de Python Delta y Spark Delta Sharing Client asegura que los destinatarios puedan consentir a datos compartidos a través de scripts/automatización.

Esta demostración muestra cómo compartir de forma segura los datos de Databricks a Python Delta Sharing Client utilizando la subvención de credenciales del cliente OAuth

Atmósfera 2: autenticación de identidad administrada (próximamente)

  • Para las cargas de trabajo que se ejecutan en entornos en la aglomeración (p. Ej., Azure VMS), se produce la autenticación automáticamente usando Identidades administradas.
  • No se requieren secretos ni diligencia de credenciales manuales.
  • El soporte original se centrará en Azure Computcon posible expansión a otros proveedores de nubes.

Esta demostración muestra cómo compartir de forma segura los datos de Databricks a Python Delta Sharing Client utilizando la identidad administrada por el proveedor de la aglomeración

Designar el proveedor de identidad:

Los clientes pueden nominar autenticarse utilizando un Proveedor de identidad externa (administrado por el receptor) o un Proveedor de identidad interna (administrado por el proveedor).

  • Proveedor de identidad externa (administrado por el destinatario): Se utiliza el sistema de identidad del destinatario (como Entra ID o OKTA). El proveedor lo configura en la política de intercambio, por lo que el destinatario controla que de su ordenamiento pueden consentir a los datos.
  • Proveedor de identidad interna (administrado por el proveedor): Se utiliza el sistema de identidad del proveedor. El proveedor administra la autenticación al unir destinatarios externos como invitados en su propio sistema de identidad. Esto permite que el sistema del proveedor maneje el entrada en nombre del destinatario.

¿Qué sigue?

Haremos que sea más obvio configurar el intercambio de datos seguros con plantillas preconstruidas para políticas comunes de la Agrupación OIDC adaptadas a proveedores de identidad populares como Entra ID y OKTA. Adicionalmente, el próximo soporte para la autenticación de identidad administrada permitirá que las cargas de trabajo basadas en la aglomeración (por ejemplo, las máquinas virtuales de Azure) se autenticen sin pobreza de contraseñas o secretos, asegurando una conexión perfecta y segura con Databricks Delta Compartir puntos finales.

Despuntar

Agrupación de token OIDC para una decano seguridad al compartir con los destinatarios de Databricks está arreglado en la traza previa pública hoy a los clientes de AWS, GCP y Azure. Aprenda cómo Delta Sharing facilita a las organizaciones compartir datos de forma segura Con usuarios de no Databricks en cualquier plataforma informática, sin comprometer la seguridad.

Etiquetado , , , , , , , , ,

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *