Verwalten von Verbindungen in Partner Connect
Sie können administrative Aufgaben mit Azure Databricks-Arbeitsbereichsverbindungen zu Partnerlösungen ausführen, z. B.:
- Verwalten der Benutzer von Partnerkonten.
- Verwalten des Azure Databricks-Dienstprinzipals und des zugehörigen persönlichen Azure Databricks-Zugriffstokens, die von einer Verbindung verwendet werden.
- Trennen eines Arbeitsbereichs von einem Partner.
Um Partner Connect verwalten zu können, müssen Sie sich bei Ihrem Arbeitsbereich als Azure Databricks-Admin anmelden. Weitere Informationen finden Sie unter Verwalten von Benutzern.
Verwalten der Benutzer von Partnerkonten
Für Partner, die Benutzern das Anmelden beim Konto oder bei der Website des Partners über Partner Connect ermöglichen (z. B. Fivetran und Rivery), gilt Folgendes: Wenn jemand in Ihrer Organisation sich erstmals über einen Ihrer Azure Databricks-Arbeitsbereiche bei einem der Partner anmeldet, wird diese Person in allen Arbeitsbereichen Ihrer Organisation als Partnerkontoadministrator für diesen Partner festgelegt. Damit sich andere Benutzer in Ihrer Organisation bei diesem Partner anmelden können, muss Ihr Partnerkontoadministrator diese Benutzer zunächst dem Partnerkonto Ihrer Organisation hinzufügen. Einige Partner ermöglichen es dem Partnerkontoadministrator, diese Berechtigung auch zu delegieren. Weitere Informationen finden Sie in der Dokumentation auf der Website des Partners.
Wenn niemand dem Partnerkonto Ihrer Organisation Benutzer hinzufügen kann (wenn Ihr Partnerkontoadministrator beispielsweise nicht mehr verfügbar ist), wenden Sie sich an den Partner, um Unterstützung zu erhalten. Supportlinks finden Sie in der Liste der Partner Connect-Partner in Azure Databricks.
Verbinden von Daten, die von Unity Catalog verwaltet werden, mit Partnerlösungen
Wenn Ihr Arbeitsbereich Unity Catalog-fähig ist, können Sie ausgewählte Partnerlösungen mit Daten verbinden, die von Unity Catalog verwaltet werden. Wenn Sie die Verbindung mithilfe von Partner Connect erstellen, können Sie auswählen, ob der Partner den Hive-Legacymetastore (hive_metastore) oder einen anderen Katalog, den Sie besitzen, verwendet. Metastore-Admins können einen beliebigen Katalog im Metastore auswählen, der Ihrem Arbeitsbereich zugewiesen ist.
Hinweis
Wenn eine Partnerlösung Unity Catalog mit Partner Connect nicht unterstützt, können Sie nur den Standardkatalog des Arbeitsbereichs verwenden. Wenn der Standardkatalog nicht hive_metastore ist und Sie nicht im Besitz des Standardkatalogs sind, erhalten Sie eine Fehlermeldung.
Eine Liste der Partner, die Unity Catalog mit Partner Connect unterstützen, finden Sie in der Liste Partner Connect-Partner in Azure Databricks.
Informationen zur Problembehandlung bei Verbindungen finden Sie unter Problembehandlung bei Partner Connect.
Verwalten von Dienstprinzipalen und persönlichen Zugriffstoken
Für Partner, die Azure Databricks-Dienstprinzipale benötigen, erstellt Partner Connect beim erstmaligen Verbinden einer Person in Ihrem Azure Databricks-Arbeitsbereich mit einem bestimmten Partner einen Azure Databricks-Dienstprinzipal in Ihrem Arbeitsbereich, der für diesen Partner verwendet werden kann. Partner Connect generiert Anzeigenamen für Dienstprinzipale im Format <PARTNER-NAME>_USER. Für den Partner Fivetran lautet der Anzeigename des Dienstprinzipals beispielsweise FIVETRAN_USER.
Partner Connect erstellt auch ein persönliches Zugriffstoken für Azure Databricks und ordnet es diesem Azure Databricks-Dienstprinzipal zu. Partner Connect stellt dem Partner den Wert dieses Tokens im Hintergrund bereit, um die Verbindung mit diesem Partner herzustellen. Sie können den Wert dieses Tokens nicht anzeigen oder abrufen. Dieses Token läuft erst ab, wenn Sie oder eine andere Person es löschen. Informationen hierzu finden Sie auch unter Trennen der Verbindung mit einem Partner.
Partner Connect gewährt Azure Databricks-Dienstprinzipalen in Ihrem Arbeitsbereich die folgenden Zugriffsberechtigungen:
| Partner | Berechtigungen |
|---|---|
| Fivetran, Matillion, Power BI, Tableau, erwin Data Modeler | Diese Lösungen erfordern keine Azure Databricks-Dienstprinzipale. |
| dbt Cloud, Hevo Data, Rivery, Rudderstack, Snowplow | * Die Tokenberechtigung KANN VERWENDEN zum Erstellen eines persönlichen Zugriffstokens. * SQL Warehouse-Erstellungsberechtigung. * Zugriff auf Ihren Arbeitsbereich. * Zugriff auf Databricks SQL. * (Unity-Katalog) Die USE CATALOG Berechtigungen für den ausgewählten Katalog.* (Unity-Katalog) Die CREATE SCHEMA Berechtigungen für den ausgewählten Katalog.* (Legacy-Hive-Metaspeicher) Die USAGE-Berechtigung für den hive_metastore-Katalog.* (Legacy Hive-Metastore) Die CREATE-Berechtigung für den hive_metastore-Katalog, damit Partner Connect Objekte im Legacy-Hive-Metastore in Ihrem Auftrag erstellen kann.* Eigentum der von ihm erstellten Tabellen. Der Dienstprinzipal kann keine Tabellen abfragen, die er nicht erstellt hat. |
| Prophecy | * Die Tokenberechtigung KANN VERWENDEN zum Erstellen eines persönlichen Zugriffstokens. * Zugriff auf Ihren Arbeitsbereich. * Berechtigung zum Erstellen von Clustern. Der Dienstprinzipal kann nicht auf Cluster zugreifen, die er nicht erstellt hat. * Berechtigung zum Erstellen von Aufträgen. Der Dienstprinzipal kann nicht auf Aufträge zugreifen, die er nicht erstellt hat. |
| John Snow Labs, LabelBox | * Die Tokenberechtigung KANN VERWENDEN zum Erstellen eines persönlichen Zugriffstokens. * Zugriff auf Ihren Arbeitsbereich. |
| Anomalo, AtScale, Census, Hex, Hightouch, Lightup, Monte Carlo, Preset, Privacera, Qlik Sense, Sigma, Stardog | * Die Tokenberechtigung KANN VERWENDEN zum Erstellen eines persönlichen Zugriffstokens. * Die KANN VERWENDEN-Berechtigung für das ausgewählte Databricks SQL-Warehouse. * Die SELECT-Berechtigung für das ausgewählte Schema.* (Unity-Katalog) Die USE CATALOG-Berechtigungen für den ausgewählten Katalog.* (Unity Catalog) Die USE SCHEMA-Berechtigung für das ausgewählte Schema.* (Legacy-Hive-Metastore) Die USAGE-Berechtigung für das ausgewählte Schema.* (Legacy-Hive-Metastore) Die READ METADATA-Berechtigung für das ausgewählte Schema. |
| Dataiku | * Die Tokenberechtigung KANN VERWENDEN zum Erstellen eines persönlichen Zugriffstokens. * SQL Warehouse-Erstellungsberechtigung. * (Unity-Katalog) Die USE CATALOG-Berechtigungen für den ausgewählten Katalog.* (Unity Catalog) Die USE SCHEMA-Berechtigung für die ausgewählten Schemas.* (Unity-Katalog) Die CREATE SCHEMA Berechtigungen für den ausgewählten Katalog.* (Legacy-Hive-Metastore) Die USAGE-Berechtigung für den hive_metastore-Katalog und die ausgewählten Schemas.* (Legacy Hive-Metastore) Die CREATE-Berechtigung für den hive_metastore-Katalog, damit Partner Connect Objekte im Legacy-Hive-Metastore in Ihrem Auftrag erstellen kann.* (Legacy-Hive-Metastore) Die SELECT-Berechtigung für die ausgewählten Schemas. |
Trennen der Verbindung mit einem Partner
Wenn die Kachel für einen Partner ein Häkchensymbol aufweist, bedeutet dies, dass eine Person in Ihrem Azure Databricks-Arbeitsbereich bereits eine Verbindung mit diesem Partner hergestellt hat. Um die Verbindung mit diesem Partner zu trennen, setzen Sie die Kachel dieses Partners in Partner Connect zurück. Durch das Zurücksetzen der Kachel eines Partners wird Folgendes ausgeführt:
- Das Häkchensymbol wird von der Kachel des Partners entfernt.
- Das zugeordnete SQL-Warehouse oder der Cluster wird gelöscht, wenn der Partner ein SQL-Warehouse oder einen Cluster erfordert.
- Der zugeordnete Azure Databricks-Dienstprinzipal wird gelöscht, wenn der Partner einen Dienstprinzipal erfordert. Beim Löschen eines Dienstprinzipals wird auch das zugehörige persönliche Azure Databricks-Zugriffstoken des Dienstprinzipals gelöscht. Der Wert dieses Tokens schließt die Verbindung zwischen Ihrem Arbeitsbereich und dem Partner ab. Weitere Informationen finden Sie unter Verwalten von Dienstprinzipals und persönlichen Zugriffstoken.
Warnung
Das Löschen eines SQL-Warehouse, eines Clusters, eines Azure Databricks-Dienstprinzipals oder des persönlichen Zugriffstokens eines Azure Databricks-Dienstprinzipals ist endgültig und kann nicht rückgängig gemacht werden.
Durch das Zurücksetzen der Kachel eines Partners wird weder das zugehörige Partnerkonto Ihrer Organisation gelöscht, noch werden die zugehörigen Verbindungseinstellungen für den Partner geändert. Durch das Zurücksetzen der Kachel eines Partners wird jedoch die Verbindung zwischen dem Arbeitsbereich und dem entsprechenden Partnerkonto unterbrochen. Um die Verbindung wiederherzustellen, müssen Sie eine neue Verbindung zwischen dem Arbeitsbereich und dem Partner herstellen. Anschließend müssen Sie die ursprünglichen Verbindungseinstellungen im zugehörigen Partnerkonto manuell bearbeiten, damit sie den neuen Verbindungseinstellungen entsprechen.
Um die Kachel eines Partners zurückzusetzen, klicken Sie auf die Kachel, klicken Sie auf Verbindung löschen, und befolgen Sie dann die Anweisungen auf dem Bildschirm.
Alternativ können Sie einen Azure Databricks-Arbeitsbereich manuell von einem Partner trennen, indem Sie den zugehörigen Azure Databricks-Dienstprinzipal in Ihrem Arbeitsbereich löschen, der diesem Partner zugeordnet ist. Dies ist möglicherweise sinnvoll, wenn Sie Ihren Arbeitsbereich von einem Partner trennen, aber trotzdem andere zugeordnete Ressourcen behalten und das Häkchensymbol weiterhin auf der Kachel anzeigen möchten. Beim Löschen eines Dienstprinzipals wird auch das zugehörige persönliche Zugriffstoken des Dienstprinzipals gelöscht. Der Wert dieses Tokens schließt die Verbindung zwischen Ihrem Arbeitsbereich und dem Partner ab. Weitere Informationen finden Sie unter Verwalten von Dienstprinzipals und persönlichen Zugriffstoken.
Um einen Azure Databricks-Dienstprinzipal zu löschen, verwenden Sie die Databricks-REST-API wie folgt:
- Rufen Sie die Anwendungs-ID des Azure Databricks-Dienstprinzipals ab, indem Sie den Vorgang
GET /preview/scim/v2/ServicePrincipalsin der Arbeitsbereich-Dienstprinzipal-API für Ihren Arbeitsbereich aufrufen. Notieren Sie sich dieapplicationIddes Dienstprinzipals in der Antwort. - Verwenden Sie die
applicationIddes Dienstprinzipals zum Aufrufen des VorgangsDELETE /preview/scim/v2/ServicePrincipalsin der Arbeitsbereich-Dienstprinzipal-API für Ihren Arbeitsbereich.
Um beispielsweise die Liste verfügbarer Anzeigenamen und Anwendungs-IDs von Dienstprinzipalen für einen Arbeitsbereich zu erhalten, können Sie curl wie folgt aufrufen:
curl --netrc --request GET \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals \
| jq '[ .Resources[] | { displayName: .displayName, applicationId: .applicationId } ]'
Ersetzen Sie <databricks-instance> durch die arbeitsbereichsbezogene Azure Databricks-URL, z. B. adb-1234567890123456.7.azuredatabricks.net für Ihren Arbeitsbereich.
Der Anzeigename des Dienstprinzipals befindet sich im Feld displayName der Ausgabe. Partner Connect generiert Anzeigenamen für Dienstprinzipale im Format <PARTNER-NAME>_USER. Für den Partner Fivetran lautet der Anzeigename des Dienstprinzipals beispielsweise FIVETRAN_USER.
Der Wert der Anwendungs-ID des Dienstprinzipals befindet sich im Feld applicationId der Ausgabe, z. B. 123456a7-8901-2b3c-45de-f678a901b2c.
Um den Dienstprinzipal zu löschen, können Sie curl wie folgt aufrufen:
curl --netrc --request DELETE \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals/<application-id>
Ersetzen Sie:
<databricks-instance>durch die arbeitsbereichsbezogene URL, z. B.adb-1234567890123456.7.azuredatabricks.netfür Ihren Arbeitsbereich.<application-id>durch den Wert der Anwendungs-ID des Dienstprinzipals.
In den vorherigen Beispielen werden eine NETRC-Datei und jq verwendet. Beachten Sie, dass in diesem Fall die .netrc-Datei den Wert Ihrespersönlichen Zugriffstokens und nicht den Wert für den Dienstprinzipal verwendet.
Nachdem Sie Ihren Arbeitsbereich von einem Partner getrennt haben, sollten Sie alle zugehörigen Ressourcen bereinigen, die der Partner im Arbeitsbereich erstellt. Dies kann ein SQL-Warehouse oder einen Cluster und alle zugehörigen Datenspeicherorte umfassen. Weitere Informationen finden Sie unter Erstellen eines SQL-Warehouses oder Löschen eines Rechners.
Wenn Sie sicher sind, dass in Ihrer Organisation keine weiteren Arbeitsbereiche mit dem Partner verbunden sind, sollten Sie auch das Konto Ihrer Organisation bei diesem Partner löschen. Wenden Sie sich hierzu an den Partner, um Unterstützung zu erhalten. Supportlinks finden Sie im entsprechenden Partnerverbindungsleitfaden.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für