Freigeben über

Verwalten von Verbindungen in Partner Connect

Sie können administrative Aufgaben mit Azure Databricks-Arbeitsbereichsverbindungen zu Partnerlösungen ausführen, z. B.:

  • Verwalten der Benutzer von Partnerkonten.
  • Verwalten des Azure Databricks-Dienstprinzipals und des zugehörigen persönlichen Azure Databricks-Zugriffstokens, die von einer Verbindung verwendet werden.
  • Trennen eines Arbeitsbereichs von einem Partner.

Um Partner Connect verwalten zu können, müssen Sie sich bei Ihrem Arbeitsbereich als Azure Databricks-Admin anmelden. Weitere Informationen finden Sie unter Verwalten von Benutzern.

Verwalten der Benutzer von Partnerkonten

Für Partner, die es Benutzern ermöglichen, sich mit Partner Connect beim Konto oder der Website dieses Partners (z. B. Fivetran und Rivery) anzumelden, wenn eine Person in Ihrer Organisation eine Verbindung von einem Ihrer Azure Databricks-Arbeitsbereiche mit einem Partner zum ersten Mal herstellt, wird diese Person zum Partnerkontoadministrator für diesen Partner in allen Arbeitsbereichen Ihrer Organisation. Damit sich andere Benutzer in Ihrer Organisation bei diesem Partner anmelden können, muss Ihr Partnerkontoadministrator diese Benutzer zuerst dem Partnerkonto Ihrer Organisation hinzufügen. Einige Partner ermöglichen es dem Partnerkontoadministrator, diese Berechtigung auch zu delegieren. Ausführliche Informationen finden Sie in der Dokumentation auf der Website des Partners.

Wenn niemand Benutzer zum Partnerkonto Ihrer Organisation hinzufügen kann (z. B. ist Ihr Partnerkontoadministrator nicht mehr verfügbar), wenden Sie sich an den Partner, um Hilfe zu erhalten. Supportlinks finden Sie in der Liste der Partner Connect-Partner in Azure Databricks.

Verbinden von Daten, die von Unity Catalog verwaltet werden, mit Partnerlösungen

Wenn Ihr Arbeitsbereich Unity Catalog-fähig ist, können Sie ausgewählte Partnerlösungen mit Daten verbinden, die von Unity Catalog verwaltet werden. Wenn Sie die Verbindung mithilfe von Partner Connect erstellen, können Sie auswählen, ob der Partner den Hive-Legacymetastore (hive_metastore) oder einen anderen Katalog, den Sie besitzen, verwendet. Metastore-Administratoren können einen beliebigen Katalog im Metastore auswählen, der Ihrem Arbeitsbereich zugewiesen ist.

Hinweis

Wenn eine Partnerlösung Unity-Katalog mit Partner Connect nicht unterstützt, können Sie nur den Standardkatalog des Arbeitsbereichs verwenden. Wenn der Standardkatalog nicht hive_metastore vorhanden ist und Sie nicht über den Standardkatalog verfügen, wird eine Fehlermeldung angezeigt.

Eine Liste der Partner, die Unity Catalog mit Partner Connect unterstützen, finden Sie in der Liste Partner Connect-Partner in Azure Databricks.

Informationen zur Problembehandlung bei Verbindungen finden Sie unter Problembehandlung bei Partner Connect.

Verwalten von Dienstprinzipalen und persönlichen Zugriffstoken

Für Partner, die Azure Databricks-Dienstprinzipale benötigen, erstellt Partner Connect beim erstmaligen Verbinden einer Person in Ihrem Azure Databricks-Arbeitsbereich mit einem bestimmten Partner einen Azure Databricks-Dienstprinzipal in Ihrem Arbeitsbereich, der für diesen Partner verwendet werden kann. Partner Connect generiert Anzeigenamen für Dienstprinzipale im Format <PARTNER-NAME>_USER. Zum Beispiel lautet für den Partner Fivetran der Anzeigename des Dienstprinzipals FIVETRAN_USER.

Partner Connect erstellt auch ein persönliches Zugriffstoken für Azure Databricks und ordnet es diesem Azure Databricks-Dienstprinzipal zu. Partner Connect stellt dem Partner hinter den Kulissen den Wert dieses Tokens bereit, um die Verbindung mit diesem Partner abzuschließen. Sie können den Wert dieses Tokens nicht anzeigen oder abrufen. Dieses Token läuft erst ab, wenn Sie oder eine andere Person es löschen. Informationen hierzu finden Sie auch unter Trennen der Verbindung mit einem Partner.

Partner Connect gewährt Azure Databricks-Dienstprinzipalen in Ihrem Arbeitsbereich die folgenden Zugriffsberechtigungen:

Partner Berechtigungen
Fivetran, Matillion, Power BI, Tableau, erwin Data Modeler, Precisely Data Integrity Suite Diese Lösungen erfordern keine Azure Databricks-Dienstprinzipale.
dbt Cloud, Hevo Data, Rivery, Rudderstack, Snowplow
  • Die CAN USE-Tokenberechtigung zum Erstellen eines persönlichen Zugriffstokens.
  • SQL Warehouse-Erstellungsberechtigung.
  • Zugriff auf Ihren Arbeitsbereich.
  • Zugriff auf Databricks SQL.
  • (Unity-Katalog) Die USE CATALOG Berechtigungen für den ausgewählten Katalog.
  • (Unity-Katalog) Die CREATE SCHEMA Berechtigungen für den ausgewählten Katalog.
  • (Legacy-Hive-Metaspeicher) Die USAGE Berechtigung für den hive_metastore Katalog.
  • (Legacy-Hive-Metaspeicher) Die CREATE Berechtigung für den hive_metastore Katalog, damit Partner Connect Objekte im älteren Hive-Metastore in Ihrem Auftrag erstellen kann.
  • Besitz der von ihr erstellten Tabellen. Der Dienstprinzipal kann keine Tabellen abfragen, die er nicht erstellt hat.
Prophezeiung
  • Die CAN USE-Tokenberechtigung zum Erstellen eines persönlichen Zugriffstokens.
  • Greifen Sie auf Ihren Arbeitsbereich zu.
  • Berechtigung zum Erstellen von Clustern. Der Dienstprinzipal kann nicht auf Cluster zugreifen, die er nicht erstellt hat.
  • Berechtigung zum Erstellen von Arbeitsplätzen. Der Dienstprinzipal kann nicht auf Aufträge zugreifen, die er nicht erstellt hat.
John Snow Labs, LabelBox
  • Die CAN USE-Tokenberechtigung zum Erstellen eines persönlichen Zugriffstokens.
  • Zugriff auf Ihren Arbeitsbereich.
Anomalo, AtScale, Census, Hex, Hightouch, Lightup, Monte Carlo, Preset, Privacera, Qlik Sense, Sigma, Stardog
  • Die CAN USE-Tokenberechtigung zum Erstellen eines persönlichen Zugriffstokens.
  • Die CAN USE-Berechtigung für das ausgewählte Databricks SQL Warehouse.
  • Die SELECT Berechtigung für das ausgewählte Schema.
  • (Unity-Katalog) Die USE CATALOG Berechtigungen für den ausgewählten Katalog.
  • (Unity-Katalog) Die USE SCHEMA Berechtigung für das ausgewählte Schema.
  • (Legacy-Hive-Metaspeicher) Die USAGE Berechtigung für das ausgewählte Schema.
  • (Legacy-Hive-Metaspeicher) Die READ METADATA Berechtigung für das ausgewählte Schema.
Dataiku
  • Die CAN USE-Tokenberechtigung zum Erstellen eines persönlichen Zugriffstokens.
  • SQL Warehouse-Erstellungsberechtigung.
  • (Unity-Katalog) Die USE CATALOG Berechtigungen für den ausgewählten Katalog.
  • (Unity-Katalog) Die USE SCHEMA Berechtigung für die ausgewählten Schemata.
  • (Unity-Katalog) Die CREATE SCHEMA Berechtigungen für den ausgewählten Katalog.
  • (Legacy-Hive-Metaspeicher) Die USAGE Berechtigung für den hive_metastore Katalog und für die ausgewählten Schemata.
  • (Legacy-Hive-Metaspeicher) Die CREATE Berechtigung für den hive_metastore Katalog, damit Partner Connect Objekte im älteren Hive-Metastore in Ihrem Auftrag erstellen kann.
  • (Legacy-Hive-Metaspeicher) Die SELECT Berechtigung für die ausgewählten Schemata.
SuperAnnotate
  • Die CAN USE-Tokenberechtigung zum Erstellen eines persönlichen Zugriffstokens.
  • Die CAN USE-Berechtigung für das ausgewählte Databricks SQL Warehouse.
  • Die SELECT Berechtigung für die ausgewählten Schemata.
  • (Unity-Katalog) DasUSE CATALOG Privileg für den ausgewählten Katalog.
  • (Unity-Katalog) Die USE SCHEMA Berechtigung für die ausgewählten Schemata.
  • (Legacy-Hive-Metaspeicher) Die USAGE Berechtigung für den hive_metastore Katalog und für die ausgewählten Schemata.
  • (Legacy-Hive-Metaspeicher) Die SELECT Berechtigung für die ausgewählten Schemata.
Informatica Clouddatenintegration
  • Die CAN USE-Tokenberechtigung zum Erstellen eines persönlichen Zugriffstokens.
  • Die CAN MANAGE-Berechtigung für das ausgewählte Databricks SQL Warehouse.
  • Das CREATE- und USAGE-Privileg für Datenobjekte.
  • (Unity-Katalog) DasUSE CATALOG Privileg für den ausgewählten Katalog.
  • (Unity-Katalog) Die USE SCHEMA Berechtigung für die ausgewählten Schemata.
  • (Legacy-Hive-Metaspeicher) Die USAGE und CREATE Privilegien für den hive_metastore Katalog und die ausgewählten Schemata.
  • (Legacy-Hive-Metaspeicher) Die SELECT Berechtigung für die ausgewählten Schemata.

Trennen der Verbindung mit einem Partner

Wenn die Kachel für einen Partner ein Häkchensymbol aufweist, bedeutet dies, dass eine Person in Ihrem Azure Databricks-Arbeitsbereich bereits eine Verbindung mit diesem Partner hergestellt hat. Um die Verbindung mit diesem Partner zu trennen, setzen Sie die Kachel dieses Partners in Partner Connect zurück. Das Zurücksetzen einer Partnerkachel führt Folgendes aus:

  • Löscht das Häkchensymbol aus der Kachel des Partners.
  • Das zugeordnete SQL-Warehouse oder der Cluster wird gelöscht, wenn der Partner ein SQL-Warehouse oder einen Cluster erfordert.
  • Der zugeordnete Azure Databricks-Dienstprinzipal wird gelöscht, wenn der Partner einen Dienstprinzipal erfordert. Durch das Löschen eines Dienstprinzipals wird auch dessen zugehöriges Azure Databricks-Zugriffstoken gelöscht. Der Wert dieses Tokens schließt die Verbindung zwischen Ihrem Arbeitsbereich und dem Partner ab. Weitere Informationen finden Sie unter Verwalten von Dienstprinzipals und persönlichen Zugriffstoken.

Warnung

Das Löschen eines SQL-Warehouses, eines Clusters, eines Azure-Databricks-Dienstprinzipals oder des persönlichen Zugriffstokens eines Azure-Databricks-Dienstprinzipals ist dauerhaft und kann nicht rückgängig gemacht werden.

Das Zurücksetzen der Kachel eines Partners löscht nicht das zugehörige Partnerkonto Ihrer Organisation und ändert auch nicht die Verbindungseinstellungen zu diesem Partner. Durch das Zurücksetzen der Kachel eines Partners wird jedoch die Verbindung zwischen dem Arbeitsbereich und dem zugehörigen Partnerkonto getrennt. Um die Verbindung wiederherzustellen, müssen Sie eine neue Verbindung zwischen dem Arbeitsbereich und dem Partner herstellen. Anschließend müssen Sie die ursprünglichen Verbindungseinstellungen im zugehörigen Partnerkonto manuell bearbeiten, damit sie den neuen Verbindungseinstellungen entsprechen.

Wenn Sie die Kachel eines Partners zurücksetzen möchten, klicken Sie auf die Kachel, klicken Sie auf " Verbindung löschen", und folgen Sie dann den Anweisungen auf dem Bildschirm.

Alternativ können Sie einen Azure Databricks-Arbeitsbereich manuell von einem Partner trennen, indem Sie den zugehörigen Azure Databricks-Dienstprinzipal in Ihrem Arbeitsbereich löschen, der diesem Partner zugeordnet ist. Dies ist möglicherweise sinnvoll, wenn Sie Ihren Arbeitsbereich von einem Partner trennen, aber trotzdem andere zugeordnete Ressourcen behalten und das Häkchensymbol weiterhin auf der Kachel anzeigen möchten. Beim Löschen eines Dienstprinzipals wird auch das zugehörige persönliche Zugriffstoken des Dienstprinzipals gelöscht. Der Wert dieses Tokens schließt die Verbindung zwischen Ihrem Arbeitsbereich und dem Partner ab. Weitere Informationen finden Sie unter Verwalten von Dienstprinzipals und persönlichen Zugriffstoken.

Um einen Azure Databricks-Dienstprinzipal zu löschen, verwenden Sie die Databricks-REST-API wie folgt:

  1. Rufen Sie die Anwendungs-ID des Azure Databricks-Dienstprinzipals ab, indem Sie den GET /preview/scim/v2/ServicePrincipals Vorgang in der Arbeitsbereichsdienstprinzipal-API für Ihren Arbeitsbereich aufrufen. Machen Sie eine Notiz von dem Dienstprinzipal applicationId in der Antwort.
  2. Verwenden Sie den applicationId Dienstprinzipal, um den DELETE /preview/scim/v2/ServicePrincipals Vorgang in der Arbeitsbereichs-Dienstprinzipal-API für Ihren Arbeitsbereich aufzurufen.

Um beispielsweise die Liste verfügbarer Anzeigenamen und Anwendungs-IDs von Dienstprinzipalen für einen Arbeitsbereich zu erhalten, können Sie curl wie folgt aufrufen:

curl --netrc --request GET \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals \
| jq '[ .Resources[] | { displayName: .displayName, applicationId: .applicationId } ]'

Ersetzen Sie <databricks-instance> durch die arbeitsbereichsbezogene Azure Databricks-URL, z. B. adb-1234567890123456.7.azuredatabricks.net für Ihren Arbeitsbereich.

Der Anzeigename des Dienstprinzipals befindet sich im Feld der Ausgabe displayName . Partner Connect generiert Anzeigenamen für Dienstprinzipale im Format <PARTNER-NAME>_USER. Zum Beispiel lautet für den Partner Fivetran der Anzeigename des Dienstprinzipals FIVETRAN_USER.

Der Anwendungs-ID-Wert des Dienstprinzipals befindet sich im Feld applicationId der Ausgabe, zum Beispiel 123456a7-8901-2b3c-45de-f678a901b2c.

Um den Dienstprinzipal zu löschen, können Sie curl wie folgt aufrufen:

curl --netrc --request DELETE \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals/<application-id>

Ersetzen Sie:

  • <databricks-instance> durch die arbeitsbereichsbezogene URL, z. B. adb-1234567890123456.7.azuredatabricks.net für Ihren Arbeitsbereich.
  • <application-id> mit dem Anwendungs-ID-Wert des Dienstprinzipals.

In den vorherigen Beispielen werden eine NETRC-Datei und jq verwendet. Beachten Sie, dass die .netrc-Datei in diesem Fall den Wert Ihrespersönlichen Zugriffstokens und nicht den Wert des Dienstprinzipals verwendet.

Nachdem Sie Ihren Arbeitsbereich von einem Partner getrennt haben, sollten Sie alle zugehörigen Ressourcen bereinigen, die der Partner im Arbeitsbereich erstellt. Dies kann ein SQL-Warehouse oder einen Cluster und alle zugehörigen Datenspeicherorte umfassen. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einem SQL-Warehouse oder Löschen eines Rechners.

Wenn Sie sicher sind, dass es in Ihrer Organisation keine anderen Arbeitsbereiche gibt, die mit dem Partner verbunden sind, möchten Sie möglicherweise auch das Konto Ihrer Organisation mit diesem Partner löschen. Wenden Sie sich hierzu an den Partner, um Unterstützung zu erhalten. Supportlinks finden Sie im entsprechenden Partnerverbindungsleitfaden.

  • Last updated on