Gerenciar conexões no Partner Connect
Você pode executar tarefas administrativas com conexões de espaço de trabalho do Azure Databricks para soluções de parceiros, como:
- Gerenciamento de usuários de contas de parceiros.
- Gerenciando a entidade de serviço do Azure Databricks e o token de acesso pessoal relacionado do Azure Databricks usado por uma conexão.
- Desconectando um espaço de trabalho de um parceiro.
Para administrar o Partner Connect, tem de iniciar sessão na sua área de trabalho como administrador da área de trabalho. Para obter mais informações, consulte Gerenciar usuários.
Gerenciar usuários de contas de parceiros
Para parceiros que permitem que os usuários usem o Partner Connect para entrar na conta ou site desse parceiro (como Fivetran e Rivery), quando alguém em sua organização se conecta de um de seus espaços de trabalho do Azure Databricks a um parceiro pela primeira vez, essa pessoa se torna o administrador da conta de parceiro desse parceiro em todos os espaços de trabalho da sua organização. Para permitir que outros usuários dentro da sua organização entrem nesse parceiro, o administrador da conta de parceiro deve primeiro adicionar esses usuários à conta de parceiro da sua organização. Alguns parceiros permitem que o administrador da conta de parceiro também delegue essa permissão. Para obter detalhes, consulte a documentação no site do parceiro.
Se ninguém puder adicionar usuários à conta de parceiro da sua organização (por exemplo, o administrador da conta de parceiro não está mais disponível), entre em contato com o parceiro para obter assistência. Para obter links de suporte, consulte a lista de parceiros do Azure Databricks Partner Connect.
Conecte dados gerenciados pelo Unity Catalog a soluções de parceiros
Se seu espaço de trabalho estiver habilitado para Unity Catalog, você poderá conectar soluções de parceiros selecionadas aos dados gerenciados pelo Unity Catalog. Ao criar a conexão usando o Partner Connect, você pode escolher se o parceiro usa o metastore herdado do Hive (hive_metastore) ou outro catálogo de sua propriedade. Os administradores do Metastore podem selecionar qualquer catálogo no metastore atribuído ao seu espaço de trabalho.
Nota
Se uma solução de parceiro não oferecer suporte ao Catálogo Unity com o Partner Connect, você só poderá usar o catálogo padrão do espaço de trabalho. Se o catálogo padrão não hive_metastore for e você não for o proprietário do catálogo padrão, você receberá um erro.
Para obter uma lista de parceiros que suportam o Catálogo Unity com o Partner Connect, consulte a lista de parceiros do Azure Databricks Partner Connect.
Para obter informações sobre como solucionar problemas de conexões, consulte Solucionar problemas do Partner Connect.
Gerenciar entidades de serviço e tokens de acesso pessoal
Para parceiros que precisam de entidades de serviço do Azure Databricks, quando alguém no seu espaço de trabalho do Azure Databricks se conecta a um parceiro específico pela primeira vez, o Partner Connect cria uma entidade de serviço do Azure Databricks em seu espaço de trabalho para uso com esse parceiro. O Partner Connect gera nomes de exibição da entidade de serviço usando o formato <PARTNER-NAME>_USER. Por exemplo, para o parceiro Fivetran, o nome de exibição da entidade de serviço é FIVETRAN_USER.
O Partner Connect também cria um token de acesso pessoal do Azure Databricks e o associa a essa entidade de serviço do Azure Databricks. O Partner Connect fornece o valor desse token ao parceiro nos bastidores para concluir a conexão com esse parceiro. Não é possível visualizar ou obter o valor deste token. Este token não expira até que você ou outra pessoa o exclua. Consulte também Desconectar de um parceiro.
O Partner Connect concede as seguintes permissões de acesso às entidades de serviço do Azure Databricks em seu espaço de trabalho:
| Parceiros | Permissões |
|---|---|
| Fivetran, Matillion, Power BI, Tableau, erwin Data Modeler | Essas soluções não exigem entidades de serviço do Azure Databricks. |
| dbt Cloud, Hevo Data, Rivery, Leme, Snowplow | * A permissão de token CAN USE para criar um token de acesso pessoal. * Permissão de criação de armazém SQL. * Acesso ao seu espaço de trabalho. * Acesso ao Databricks SQL. * (Unity Catalog) O USE CATALOG privilégio no catálogo selecionado.* (Unity Catalog) O CREATE SCHEMA privilégio no catálogo selecionado.* (Legacy Hive metastore) O USAGE privilégio no hive_metastore catálogo.* (metastore do Hive herdado) O CREATE privilégio no catálogo para que o hive_metastore Partner Connect possa criar objetos no metastore herdado do Hive em seu nome.* Propriedade das tabelas que cria. A entidade de serviço não pode consultar nenhuma tabela que não crie. |
| Profecia | * A permissão de token CAN USE para criar um token de acesso pessoal. * Aceda ao seu espaço de trabalho. * Permissão de criação de cluster. A entidade de serviço não pode acessar nenhum cluster que não crie. * Permissão de criação de emprego. A entidade de serviço não pode acessar nenhum trabalho que não crie. |
| John Snow Labs, Caixa de etiquetas | * A permissão de token CAN USE para criar um token de acesso pessoal. * Acesso ao seu espaço de trabalho. |
| Anomalo, AtScale, Census, Hex, Hightouch, Lightup, Monte Carlo, Predefinição, Privacera, Qlik Sense, Sigma, Stardog | * A permissão de token CAN USE para criar um token de acesso pessoal. * O privilégio CAN USE no armazém SQL Databricks selecionado. * O SELECT privilégio no esquema selecionado.* (Unity Catalog) O USE CATALOG privilégio no catálogo selecionado.* (Unity Catalog) O USE SCHEMA privilégio no esquema selecionado.* (Metastore do Hive herdado) O USAGE privilégio no esquema selecionado.* (Metastore do Hive herdado) O READ METADATA privilégio para o esquema selecionado. |
| Dataiku | * A permissão de token CAN USE para criar um token de acesso pessoal. * Permissão de criação de armazém SQL. * (Unity Catalog) O USE CATALOG privilégio no catálogo selecionado.* (Unity Catalog) O USE SCHEMA privilégio nos esquemas selecionados.* (Unity Catalog) O CREATE SCHEMA privilégio no catálogo selecionado.* (Legacy Hive metastore) O USAGE privilégio no hive_metastore catálogo e nos esquemas selecionados.* (metastore do Hive herdado) O CREATE privilégio no catálogo para que o hive_metastore Partner Connect possa criar objetos no metastore herdado do Hive em seu nome.* (Metastore do Hive herdado) O SELECT privilégio nos esquemas selecionados. |
Desconectar-se de um parceiro
Se o bloco de um parceiro tiver um ícone de marca de seleção, isso significa que alguém em seu espaço de trabalho do Azure Databricks já criou uma conexão com esse parceiro. Para se desconectar desse parceiro, você redefine o bloco desse parceiro no Partner Connect. A redefinição do bloco de um parceiro faz o seguinte:
- Limpa o ícone de marca de seleção do bloco do parceiro.
- Exclui o SQL warehouse ou cluster associado se o parceiro precisar de um.
- Exclui a entidade de serviço do Azure Databricks associada, se o parceiro precisar de uma. A exclusão de uma entidade de serviço também exclui o token de acesso pessoal relacionado ao Azure Databricks dessa entidade de serviço. O valor desse token é o que completa a conexão entre seu espaço de trabalho e o parceiro. Para obter mais informações, consulte Gerenciar entidades de serviço e tokens de acesso pessoal.
Aviso
A exclusão de um SQL warehouse, um cluster, uma entidade de serviço do Azure Databricks ou um token de acesso pessoal da entidade de serviço do Azure Databricks é permanente e não pode ser desfeita.
A redefinição do bloco de um parceiro não exclui a conta de parceiro relacionada da sua organização nem altera as configurações de conexão relacionadas com o parceiro. No entanto, a redefinição do bloco de um parceiro quebra a conexão entre o espaço de trabalho e a conta de parceiro relacionada. Para se reconectar, você deve criar uma nova conexão do espaço de trabalho com o parceiro e, em seguida, editar manualmente as configurações de conexão originais na conta de parceiro relacionada para corresponder às novas configurações de conexão.
Para repor o mosaico de um parceiro, clique no mosaico, clique em Eliminar Ligação e, em seguida, siga as instruções apresentadas no ecrã.
Como alternativa, você pode desconectar manualmente um espaço de trabalho do Azure Databricks de um parceiro excluindo a entidade de serviço do Azure Databricks relacionada em seu espaço de trabalho associado a esse parceiro. Talvez você queira fazer isso se quiser desconectar seu espaço de trabalho de um parceiro, mas ainda manter outros recursos associados e ainda manter o ícone de marca de seleção exibido no bloco. A exclusão de uma entidade de serviço também exclui o token de acesso pessoal relacionado à entidade de serviço. O valor desse token é o que completa a conexão entre seu espaço de trabalho e o parceiro. Para obter mais informações, consulte Gerenciar entidades de serviço e tokens de acesso pessoal.
Para excluir uma entidade de serviço do Azure Databricks, use a API REST do Databricks da seguinte maneira:
- Obtenha a ID do aplicativo da entidade de serviço do Azure Databricks chamando a
GET /preview/scim/v2/ServicePrincipalsoperação na API de Entidades de Serviço de Espaço de Trabalho para seu espaço de trabalho. Anote a entidade de serviço naapplicationIdresposta. - Use a entidade de
applicationIdserviço para chamar aDELETE /preview/scim/v2/ServicePrincipalsoperação na API de Entidades de Serviço de Espaço de Trabalho para seu espaço de trabalho.
Por exemplo, para obter a lista de nomes de exibição de entidade de serviço e IDs de aplicativo disponíveis para um espaço de trabalho, você pode chamar curl da seguinte maneira:
curl --netrc --request GET \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals \
| jq '[ .Resources[] | { displayName: .displayName, applicationId: .applicationId } ]'
Substitua <databricks-instance> pela URL do Azure Databricks por espaço de trabalho, por exemploadb-1234567890123456.7.azuredatabricks.net, para seu espaço de trabalho.
O nome de exibição da entidade de serviço está no campo da displayName saída. O Partner Connect gera nomes de exibição da entidade de serviço usando o formato <PARTNER-NAME>_USER. Por exemplo, para o parceiro Fivetran, o nome de exibição da entidade de serviço é FIVETRAN_USER.
O valor da ID do aplicativo da entidade de serviço está no campo da applicationId saída, por exemplo 123456a7-8901-2b3c-45de-f678a901b2c.
Para excluir a entidade de serviço, você pode chamar curl da seguinte maneira:
curl --netrc --request DELETE \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals/<application-id>
Substituir:
<databricks-instance>com o URL por espaço de trabalho, por exemploadb-1234567890123456.7.azuredatabricks.net, para o seu espaço de trabalho.<application-id>com o valor de ID do aplicativo da entidade de serviço.
Os exemplos anteriores usam um arquivo .netrc e jq. Observe que, nesse caso, o .netrc arquivo usa seuvalor de token de acesso pessoal, não o da entidade de serviço.
Depois de desconectar seu espaço de trabalho de um parceiro, convém limpar todos os recursos relacionados que o parceiro cria no espaço de trabalho. Isso pode incluir um armazém ou cluster SQL e quaisquer locais de armazenamento de dados relacionados. Para obter mais informações, consulte O que é um SQL warehouse? ou Excluir um computador.
Se tiver certeza de que não há outros espaços de trabalho em sua organização conectados ao parceiro, talvez você também queira excluir a conta da sua organização com esse parceiro. Para fazer isso, entre em contato com o parceiro para obter assistência. Para obter links de suporte, consulte o guia de conexão de parceiro apropriado.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários