Freigeben über

Nicht-Databricks-Clients mit Databricks MCP-Servern verbinden

Important

Dieses Feature befindet sich in der Betaversion. Arbeitsbereichsadministratoren können den Zugriff auf dieses Feature über die Vorschauseite steuern. Siehe Verwalten von Azure Databricks-Vorschauen.

Verbinden Sie die Nicht-Databricks (externen) Clients, KI-Assistenten und IDEs, die das Model Context Protocol (MCP) unterstützen, mit den Databricks MCP-Servern. Dies ermöglicht den Zugriff auf Databricks-Daten und -Tools direkt in Ihrer Entwicklungsumgebung.

Indem Sie externe Clients mit Databricks MCP-Servern verbinden, können Sie:

  • Zugreifen auf Unity-Katalogfunktionen, Tabellen und Vektorindizes aus Ihrem IDE- oder KI-Assistenten
  • Direkte Abfrage von Databricks-Daten aus Claude, Cursor, Replit oder anderen MCP-fähigen Tools

Prerequisites

  • Server-URLs: Abrufen der entsprechenden Server-URLs für den Databricks MCP-Server, den Sie verwenden möchten:
  • Ressourcenzugriff: Überprüfen Sie, ob Ihr Konto Zugriff auf die Unity-Katalogressourcen hat, die Sie verwenden möchten.
  • Netzwerkzugriff: Wenn Ihr Arbeitsbereich IP-Einschränkungen aufweist, lassen Sie die IP-Adressen Ihres Clients zu.

Authentifizierungsmethoden

Wählen Sie die Authentifizierungsmethode aus, die ihren Sicherheitsanforderungen am besten entspricht:

Methode Verwaltete/externe MCP Benutzerdefinierter MCP Sicherheitsstufe Am besten geeignet für:
OAuth Unterstützt Unterstützt Hoch – eingeschränkte Berechtigungen, automatische Token-Erneuerung Produktionsnutzung, Teamumgebungen, langfristiger Zugriff
Persönliche Zugriffstoken Unterstützt Nicht unterstützt Mittel – tokenbasierter Zugriff mit Ablauf Individuelle Entwicklung, Tests, kurzfristiger Zugriff

Verbinden von Clients mithilfe der OAuth-Authentifizierung

OAuth bietet eine sichere Authentifizierung mit erweiterten Berechtigungen und automatischer Tokenaktualisierung.

Hinweis

Databricks MCP-Server unterstützen beide Clienttypen gemäß der MCP-Autorisierungsspezifikation:

  • Öffentliche Clients: Kein geheimer Clientschlüssel erforderlich
  • Vertrauliche Clients: Clientschlüssel einschließen

Abrufen der OAuth-Umleitungs-URL Ihres Clients

Jeder MCP-Client erfordert bestimmte OAuth-Umleitungs-URLs für Authentifizierungsrückrufe. Zu den allgemeinen Umleitungs-URL-Mustern gehören:

  • Webbasierte Clients: https://<domain>/oauth/callback oder https://<domain>/api/mcp/auth_callback
  • Lokale Entwicklungstools: http://localhost:<port>/oauth/callback

Überprüfen Sie die Dokumentation Ihres Clients, um die genauen Umleitungs-URLs zu finden, die erforderlich sind.

Erstellen der OAuth-Anwendung Databricks

Lassen Sie einen Kontoadministrator eine OAuth-Anwendung für Databricks erstellen. Rufen Sie die Client-ID ab, und falls Ihr Kunde es erfordert, das Client-Geheimnis.

UI-basiert (Kontokonsole)

Erstellen Sie eine Databricks OAuth-Anwendung mithilfe der Kontokonsole:

  1. Gehen Sie in der Databricks-Kontokonsole zu Einstellungen>App Connections>Verbindung hinzufügen.

  2. Konfigurieren Sie die Anwendungseinstellungen:

    • Name: Geben Sie einen beschreibenden Namen für Ihre OAuth-Anwendung ein (z. B. claude-mcp-client, mcp-inspector)
    • Umleitungs-URLs: Hinzufügen der vom externen Client erforderlichen Umleitungs-URLs
    • Clienttyp: Deaktivieren Sie für öffentliche Clients (browserbasiert, mobil) das Kontrollkästchen "Geheimen Clientschlüssel generieren". Bei vertraulichen Clients (serverseitig) lassen Sie es aktiviert.
    • Bereiche: Konfigurieren der API-Bereiche (siehe Konfigurieren von OAuth-Bereichen unten)
    • Ablauf des Tokens: Festlegen der entsprechenden Tokenzugriffs- und Aktualisierungszeiten

Befehlszeilenschnittstelle (CLI)

Erstellen Sie eine Databricks OAuth-Anwendung mit der Databricks CLI:

databricks account custom-app-integration create --json '{
  "name": "mcp-oauth-client",
  "redirect_urls": ["https://<your-client-redirect-url>"],
  "confidential": false,
  "scopes": ["all-apis"],
  "token_access_policy": {
    "access_token_ttl_in_minutes": 60,
    "refresh_token_ttl_in_minutes": 10080
  }
}'

Ersetzen Sie <your-client-redirect-url> durch die tatsächliche Umleitungs-URL Ihres Clients.

Konfigurieren von OAuth-Bereichen

OAuth-Bereiche steuern, auf welche Databricks-APIs Ihr Client zugreifen kann. Verwenden Sie für die meisten Anwendungsfälle den all-apis Bereich, der Zugriff auf alle Databricks-APIs gewährt und die einfachste Option ist.

Für eine genauere Kontrolle können Sie MCP-spezifische Geltungsbereiche anstelle von all-apis:

MCP-Servertyp Erforderlicher Bereich(e)
MCP Genie Spaces mcp.genie
Funktionen des MCP Unity Catalog mcp.functions
MCP-Vektorsuche mcp.vectorsearch
MCP Databricks SQL mcp.sql, sql.warehousessql.statement-execution
EXTERNE MCP-Funktionen mcp.external

Weitere Informationen zum Deklarieren von REST-API-Bereichen und deren Verwendung mit Agents finden Sie unter Deklarieren von REST-API-Bereichen beim Protokollieren des Agents.

Konfigurieren des Netzwerkzugriffs (optional)

Wenn Ihr Databricks-Arbeitsbereich IP-Zugriffsbeschränkungen aufweist, fügen Sie die ausgehenden IP-Adressen Ihres Clients zur Zulassungsliste des Arbeitsbereichs hinzu. Andernfalls blockiert der Arbeitsbereich Authentifizierungsanforderungen von Ihrem Client. Siehe Verwalten von IP-Zugriffslisten.

Konfigurieren Des Clients

Konfigurieren Sie nach dem Erstellen der OAuth-Anwendung in Databricks Ihren spezifischen MCP-Client mit den OAuth-Anmeldeinformationen. Jeder Client verfügt über eine eigene Konfigurationsmethode. Ausführliche Anweisungen zu beliebten MCP-Clients finden Sie in den folgenden plattformspezifischen Beispielen.

OAuth-Beispiele

Die folgenden Beispiele zeigen, wie Sie bestimmte MCP-Clients mit OAuth-Authentifizierung konfigurieren. Führen Sie zuerst die allgemeinen OAuth-Setupschritte im vorherigen Abschnitt aus, und verwenden Sie dann diese Beispiele, um Ihren spezifischen Client zu konfigurieren.

MCP-Inspektor

Der MCP Inspector ist ein Entwicklertool zum Testen und Debuggen von MCP-Servern.

MCP Inspector

Folgen Sie dem oben aufgeführten OAuth-Authentifizierungssetup mit den folgenden Inspektor-spezifischen Einstellungen:

  • Umleitungs-URLs:
    • http://localhost:6274/oauth/callback
    • http://localhost:6274/oauth/callback/debug
  • Clienttyp: Öffentlich (deaktivieren Sie das Kontrollkästchen "Geheimen Clientschlüssel generieren")

Konfigurieren des MCP-Inspektors:

  1. Führen Sie den Inspektor aus: npx @modelcontextprotocol/inspector.
  2. Legen Sie den Transporttyp auf Streamable HTTP.
  3. Geben Sie Ihre Databricks MCP-Server-URL ein.
  4. Fügen Sie im Abschnitt "Authentifizierung " Ihre OAuth-Client-ID hinzu.
  5. Klicken Sie auf " Authentifizierungseinstellungen öffnen" , und wählen Sie "Geführt" oder "Schnellablauf " aus.
  6. Fügen Sie nach erfolgreicher Authentifizierung das Zugriffstoken im Bearer-Token unter dem Abschnitt "API-Tokenauthentifizierung " ein.
  7. Klicken Sie auf Verbinden.

MCP Inspector-Authentifizierungsfluss

Claude Connectors

Verbinden Sie Claude mit von Databricks verwalteten und externen MCP-Servern mithilfe von Claude Connectors mit Remote MCP.

Folgen Sie dem OAuth-Authentifizierungssetup oben mit den folgenden Claude-spezifischen Einstellungen:

  • Umleitungs-URL: https://claude.ai/api/mcp/auth_callback und https://claude.com/api/mcp/auth_callback
  • IP-Zulassungsliste (falls erforderlich): Hinzufügen von Claudes ausgehenden IP-Adressen

Claude konfigurieren:

  1. Wechseln Sie zu Einstellungen >Connectors in Claude.
  2. Klicken Sie auf " Benutzerdefinierten Connector hinzufügen".
  3. Geben Sie Ihre Databricks MCP-Server-URL ein.
  4. Geben Sie die Client-ID Ihrer OAuth-Anwendung ein.
  5. Klicken Sie auf "Hinzufügen" , um den Vorgang abzuschließen.

Konfigurieren von Connector in Claude

Cursor/Windsurf

Um eine lokale IDE wie Cursor oder Windsurf sicher mit einem Databricks MCP-Server zu verbinden, verwenden Sie mcp-remote OAuth. Befolgen Sie die Mcp-Remote-Repositoryanweisungen , um mcp-remote einzurichten. Folgen Sie dann dem OAuth-Authentifizierungssetup , um sicherzustellen, dass Ihre OAuth ordnungsgemäß eingerichtet ist.

Cursor oder Windsurf konfigurieren:

  1. Suchen Sie Ihre MCP-Konfigurationsdatei:

    • Cursor: ~/.cursor/mcp.json
    • Windsurfen: ~/.codeium/windsurf/mcp_config.json

  2. Fügen Sie in Ihrer Konfigurationsdatei Ihren MCP-Server hinzu:

    Für vertrauliche OAuth-Clients (mit geheimen Clientschlüsseln):

    {
  "mcpServers": {
    "databricks-mcp-server": {
      "command": "npx",
      "args": [
        "mcp-remote",
        "https://<your-workspace-hostname>/api/2.0/mcp/functions/system/ai",
        "--static-oauth-client-info",
        "{ \"client_id\": \"$MCP_REMOTE_CLIENT_ID\", \"client_secret\": \"$MCP_REMOTE_CLIENT_SECRET\" }"
      ]
    }
  }
}

    Für öffentliche OAuth-Clients (ohne geheimen Clientschlüssel):

    {
  "mcpServers": {
    "databricks-mcp-server": {
      "command": "npx",
      "args": [
        "mcp-remote",
        "https://<your-workspace-hostname>/api/2.0/mcp/functions/system/ai",
        "--static-oauth-client-info",
        "{ \"client_id\": \"$MCP_REMOTE_CLIENT_ID\" }"
      ]
    }
  }
}

  3. Ersetzen Sie <your-workspace-hostname> mit dem Hostnamen Ihres Databricks-Arbeitsbereichs.

  4. Legen Sie die Umgebungsvariable MCP_REMOTE_CLIENT_ID mit Ihrer OAuth-Client-ID fest. Legen Sie für vertrauliche Clients auch ihren geheimen Clientschlüssel fest MCP_REMOTE_CLIENT_SECRET .

Verbinden von Clients mithilfe der PAT-Authentifizierung (Personal Access Token)

Persönliche Zugriffstoken bieten eine einfachere Authentifizierungsmethode, die für individuelle Entwicklung, Tests und kurzfristigen Zugriff auf Databricks MCP-Server geeignet ist.

Hinweis

Persönliche Zugriffstoken werden nur für verwaltete und externe MCP-Server unterstützt. Benutzerdefinierte MCP-Server erfordern OAuth-Authentifizierung.

  1. Generieren Sie ein persönliches Zugriffstoken in Ihrem Databricks-Arbeitsbereich. Siehe Authentifizieren mit Azure Databricks persönlichen Zugriffstoken (Legacy).

  2. Konfigurieren des Netzwerkzugriffs (optional).

    Wenn Ihr Databricks-Arbeitsbereich IP-Zugriffsbeschränkungen aufweist, fügen Sie die ausgehenden IP-Adressen Ihres Clients zur Zulassungsliste hinzu. Wenden Sie sich an die Dokumentation Ihres Clients oder die Netzwerkkonfiguration Ihrer Bereitstellungsumgebung, um die erforderlichen IP-Adressen abzurufen.

  3. Konfigurieren Sie Ihren Client.

    Konfigurieren Sie nach dem Generieren des PAT Ihren MCP-Client so, dass er für die Authentifizierung verwendet wird. Jeder Client verfügt über eine eigene Konfigurationsmethode. Detaillierte Anweisungen zu beliebten MCP-Clients finden Sie in den folgenden plattformspezifischen Beispielen.

PAT-Beispiele

Die folgenden Beispiele zeigen, wie Sie bestimmte MCP-Clients mit der Authentifizierung mit persönlichem Zugriffstoken konfigurieren. Befolgen Sie zuerst das PAT-Authentifizierungssetup, und verwenden Sie dann diese Beispiele, um Ihren spezifischen Client zu konfigurieren.

Mauszeiger

Cursor unterstützt MCP über seine Einstellungskonfiguration.

  1. Öffnen Sie die Cursoreinstellungen.

  2. Fügen Sie die folgende Konfiguration hinzu (passen Sie die URL für den ausgewählten MCP-Server an):

    {
  "mcpServers": {
    "uc-function-mcp": {
      "type": "streamable-http",
      "url": "https://<your-workspace-hostname>/api/2.0/mcp/functions/{catalog_name}/{schema_name}",
      "headers": {
        "Authorization": "Bearer <YOUR_TOKEN>"
      },
      "note": "Databricks UC function"
    }
  }
}

  3. Ersetzen Sie <your-workspace-hostname> mit dem Hostnamen Ihres Databricks-Arbeitsbereichs.

  4. Ersetzen Sie es <YOUR_TOKEN> durch Ihr persönliches Zugriffstoken.

Claude-Desktop

Claude Desktop kann eine Verbindung mit Databricks MCP-Servern mithilfe von mcp-remote herstellen.

  1. Suchen Sie Ihre claude_desktop_config.json Datei:

    • macOS: ~/Library/Application Support/Claude/claude_desktop_config.json
    • Windows: %APPDATA%\Claude\claude_desktop_config.json

  2. Fügen Sie die folgende Konfiguration hinzu (passen Sie die URL für den ausgewählten MCP-Server an):

    {
  "mcpServers": {
    "uc-function-mcp": {
      "command": "npx",
      "args": [
        "mcp-remote",
        "https://<your-workspace-hostname>/api/2.0/mcp/functions/{catalog_name}/{schema_name}",
        "--header",
        "Authorization: Bearer <YOUR_TOKEN>"
      ]
    }
  }
}

  3. Ersetzen Sie <your-workspace-hostname> mit dem Hostnamen Ihres Databricks-Arbeitsbereichs.

  4. Ersetzen Sie es <YOUR_TOKEN> durch Ihr persönliches Zugriffstoken.

  5. Starten Sie Claude Desktop neu, damit die Änderungen wirksam werden.

Replit

Replit unterstützt die Verbindung mit Databricks MCP-Servern über eine benutzerdefinierte MCP-Serverkonfiguration.

  1. Klicken Sie in Ihrem Replit-Arbeitsbereich auf "MCP-Server hinzufügen".

  2. Geben Sie Ihre Databricks MCP-Server-URL ein, z. B.:

    https://<your-workspace-hostname>/api/2.0/mcp/genie/{genie_space_id}

  3. Hinzufügen einer benutzerdefinierten Kopfzeile:

    • Schlüssel: Authorization
    • Wert: Bearer <YOUR_TOKEN>

Siehe Replit MCP-Dokumentation.

Einschränkungen

  • Dynamische Clientregistrierung: Databricks unterstützt keine OAuth-Flows für die dynamische Clientregistrierung für verwaltete, externe oder benutzerdefinierte MCP-Server. Externe Clients und IDEs, die die dynamische Clientregistrierung erfordern, werden nicht mithilfe der OAuth-Authentifizierung unterstützt.
  • Unterstützung für benutzerdefinierte MCP-Server und persönliche Zugriffstoken: Benutzerdefinierte MCP-Server, die in Databricks-Apps betrieben werden, unterstützen keine persönlichen Zugriffstoken.
  • Autorisierung im Auftrag von: Benutzerdefinierte MCP-Server, die in Databricks-Apps gehostet werden, unterstützen keine Autorisierung im Namen des Benutzers.

Nächste Schritte

  • Last updated on