Udostępnij przez

Łączenie klientów spoza usługi Databricks z serwerami MCP usługi Databricks

Important

Ta funkcja jest dostępna w wersji beta. Administratorzy obszaru roboczego mogą kontrolować dostęp do tej funkcji ze strony Podglądy . Zobacz Zarządzanie wersjami zapoznawczami usługi Azure Databricks.

Łączenie klientów spoza usługi Databricks (zewnętrznych), asystentów sztucznej inteligencji i środowisk IDE obsługujących protokół MCP (Model Context Protocol) z serwerami MCP usługi Databricks. Zapewnia to dostęp do danych i narzędzi usługi Databricks bezpośrednio w środowisku projektowym.

Łącząc klientów zewnętrznych z serwerami MCP usługi Databricks, można wykonywać następujące czynności:

  • Uzyskaj dostęp do funkcji, tabel i indeksów wektorowych Katalogu Unity z poziomu swojego środowiska IDE lub asystenta sztucznej inteligencji
  • Wykonywanie zapytań dotyczących danych usługi Databricks bezpośrednio z narzędzi Claude, Cursor, Replit lub innych narzędzi z obsługą protokołu MCP

Prerequisites

  • Adresy URL serwera: pobierz odpowiednie adresy URL serwera dla serwera MCP usługi Databricks, którego chcesz użyć:
  • Dostęp do zasobów: sprawdź, czy twoje konto ma dostęp do zasobów Unity Catalog, których chcesz użyć
  • Dostęp do sieci: Jeśli obszar roboczy ma ograniczenia dotyczące adresów IP, należy dodać adresy IP klienta do listy dozwolonych.

Metody uwierzytelniania

Wybierz metodę uwierzytelniania, która najlepiej odpowiada wymaganiom w zakresie zabezpieczeń:

Metoda Zarządzana/zewnętrzna platforma MCP Niestandardowa umowa MCP Poziom zabezpieczeń Najlepsze dla
OAuth Wsparte Wsparte Uprawnienia o wysokim zasięgu, automatyczne odnawianie tokenów Korzystanie z środowiska produkcyjnego, środowiska zespołowe, długoterminowy dostęp
Osobiste tokeny dostępu Wsparte Niewspierane Średni — dostęp oparty na tokenach z wygaśnięciem Programowanie indywidualne, testowanie, dostęp krótkoterminowy

Łączenie klientów przy użyciu uwierzytelniania OAuth

Protokół OAuth zapewnia bezpieczne uwierzytelnianie z uprawnieniami o określonym zakresie i automatycznym odświeżaniem tokenu.

Uwaga / Notatka

Serwery MCP usługi Databricks obsługują oba typy klientów zgodnie ze specyfikacją autoryzacji MCP:

  • Klienci publiczni: nie jest wymagany tajny klucz klienta
  • Poufni klienci: zawierają tajemnicę klienta

Uzyskiwanie adresu URL przekierowania OAuth klienta

Każdy klient MCP wymaga określonych adresów URL przekierowania protokołu OAuth na potrzeby wywołań zwrotnych uwierzytelniania. Typowe wzorce adresów URL przekierowania obejmują:

  • Klienci internetowi: https://<domain>/oauth/callback lub https://<domain>/api/mcp/auth_callback
  • Lokalne narzędzia programistyczne: http://localhost:<port>/oauth/callback

Sprawdź dokumentację klienta, aby znaleźć dokładne wymagane adresy URL przekierowania.

Utwórz aplikację OAuth dla Databricks.

Administrator konta może utworzyć aplikację OAuth usługi Databricks. Pobierz identyfikator klienta, a jeśli klient tego wymaga, tajny klucz klienta.

Oparty na interfejsie użytkownika (konsola konta)

Utwórz aplikację OAuth usługi Databricks przy użyciu konsoli konta:

  1. W konsoli konta usługi Databricks przejdź do pozycji Ustawienia>Połączenia> aplikacjiDodaj połączenie.

  2. Skonfiguruj ustawienia aplikacji:

    • Nazwa: wprowadź opisową nazwę aplikacji OAuth (na przykład claude-mcp-client, mcp-inspector)
    • Adresy URL przekierowania: dodaj adresy URL przekierowania wymagane przez klienta zewnętrznego
    • Typ klienta: w przypadku klientów publicznych (opartych na przeglądarce, na urządzeniach przenośnych) usuń zaznaczenie pola wyboru Wygeneruj klucz tajny klienta. W przypadku klientów poufnych (po stronie serwera) zachowaj zaznaczenie.
    • Zakresy: Konfigurowanie zakresów interfejsu API (zobacz Konfigurowanie zakresów protokołu OAuth poniżej)
    • Wygaśnięcie tokenu: ustawianie odpowiednich czasów dostępu do tokenu i odświeżania

CLI

Utwórz aplikację OAuth usługi Databricks przy użyciu interfejsu wiersza polecenia usługi Databricks:

databricks account custom-app-integration create --json '{
  "name": "mcp-oauth-client",
  "redirect_urls": ["https://<your-client-redirect-url>"],
  "confidential": false,
  "scopes": ["all-apis"],
  "token_access_policy": {
    "access_token_ttl_in_minutes": 60,
    "refresh_token_ttl_in_minutes": 10080
  }
}'

Zastąp <your-client-redirect-url> rzeczywistym adresem URL przekierowania klienta.

Konfigurowanie zakresów OAuth

Zakresy protokołu OAuth kontrolują, do których interfejsów API usługi Databricks może uzyskiwać dostęp klient. W większości przypadków użycia, użyj zakresu all-apis, który zapewnia dostęp do wszystkich interfejsów API Databricks i jest najprostszą opcją.

Aby uzyskać bardziej szczegółową kontrolę, można określić zakresy specyficzne dla MCP zamiast all-apis:

Typ serwera MCP Wymagane zakresy
Przestrzenie MCP Genie mcp.genie
Funkcje katalogu Unity MCP mcp.functions
Wyszukiwanie wektorów MCP mcp.vectorsearch
MCP Databricks SQL mcp.sql, sql.warehousessql.statement-execution
Funkcje zewnętrzne MCP mcp.external

Aby uzyskać więcej informacji na temat deklarowania zakresów interfejsu API REST i używania ich z agentami, zobacz Deklarowanie zakresów interfejsu API REST podczas rejestrowania agenta.

Konfigurowanie dostępu do sieci (opcjonalnie)

Jeśli obszar roboczy usługi Databricks ma ograniczenia dostępu do adresów IP, dodaj wychodzące adresy IP klienta do listy dozwolonych obszarów roboczych. W przeciwnym razie obszar roboczy blokuje żądania uwierzytelniania od klienta. Zobacz Zarządzanie listami dostępu do adresów IP.

Konfigurowanie klienta

Po utworzeniu aplikacji OAuth w usłudze Databricks skonfiguruj określonego klienta MCP przy użyciu poświadczeń protokołu OAuth. Każdy klient ma własną metodę konfiguracji. Zapoznaj się z poniższymi przykładami specyficznymi dla platformy, aby uzyskać szczegółowe instrukcje dotyczące popularnych klientów MCP.

Przykłady uwierzytelniania OAuth

W poniższych przykładach pokazano, jak skonfigurować określonych klientów MCP przy użyciu uwierzytelniania OAuth. Najpierw wykonaj ogólne kroki konfiguracji protokołu OAuth w poprzedniej sekcji, a następnie użyj tych przykładów, aby skonfigurować określonego klienta.

Inspektor MCP

McP Inspector to narzędzie deweloperskie do testowania i debugowania serwerów MCP.

Inspektor MCP

Postępuj zgodnie z powyższymi ustawieniami uwierzytelniania OAuth przy użyciu następujących ustawień specyficznych dla inspektora:

  • Adresy URL przekierowania:
    • http://localhost:6274/oauth/callback
    • http://localhost:6274/oauth/callback/debug
  • Typ klienta: Publiczny (usuń zaznaczenie pola wyboru Wygeneruj klucz tajny klienta)

Konfigurowanie inspektora MCP:

  1. Uruchom inspektora: npx @modelcontextprotocol/inspector.
  2. Ustaw Typ transportu na Streamable HTTP.
  3. Wprowadź adres URL serwera MCP usługi Databricks.
  4. W sekcji Uwierzytelnianie dodaj identyfikator klienta OAuth.
  5. Kliknij Otwórz ustawienia uwierzytelniania i wybierz Prowadzony lub Szybki przepływ.
  6. Po pomyślnym uwierzytelnieniu wklej token dostępu w Token typu Bearer w sekcji Uwierzytelnianie Tokenu API.
  7. Kliknij Połącz.

Przepływ uwierzytelniania inspektora MCP

Łączniki Claude'a

Połącz Claude'a z zarządzanymi i zewnętrznymi serwerami MCP usługi Databricks przy użyciu Łączników Claude'a zdalnego MCP.

Wykonaj proces konfiguracji uwierzytelniania OAuth powyżej, aby zastosować ustawienia specyficzne dla Claude:

  • Adres URL przekierowania: https://claude.ai/api/mcp/auth_callback i https://claude.com/api/mcp/auth_callback
  • Lista dozwolonych adresów IP (w razie potrzeby): Dodaj wychodzące adresy IP Claude'a

Skonfiguruj Claude'a:

  1. Przejdź do Ustawienia > w aplikacji Claude.
  2. Kliknij pozycję Dodaj łącznik niestandardowy.
  3. Wprowadź adres URL serwera MCP usługi Databricks.
  4. Wprowadź identyfikator klienta aplikacji OAuth.
  5. Kliknij przycisk Dodaj , aby zakończyć.

Konfigurowanie łącznika w programie Claude

Kursor/Windsurf

Aby bezpiecznie połączyć lokalne środowisko IDE, takie jak Cursor lub Windsurf, z serwerem MCP usługi Databricks, użyj protokołu mcp-remote OAuth. Postępuj zgodnie z instrukcjami mcp-remote repo, aby skonfigurować mcp-remote . Następnie postępuj zgodnie z konfiguracją uwierzytelniania OAuth , aby upewnić się, że protokół OAuth został poprawnie skonfigurowany.

Skonfiguruj kursor lub windsurf:

  1. Znajdź plik konfiguracji MCP:

    • Kursor: ~/.cursor/mcp.json
    • Windsurf: ~/.codeium/windsurf/mcp_config.json

  2. W pliku konfiguracji dodaj serwer MCP:

    W przypadku poufnych klientów OAuth (z kluczem tajnym klienta):

    {
  "mcpServers": {
    "databricks-mcp-server": {
      "command": "npx",
      "args": [
        "mcp-remote",
        "https://<your-workspace-hostname>/api/2.0/mcp/functions/system/ai",
        "--static-oauth-client-info",
        "{ \"client_id\": \"$MCP_REMOTE_CLIENT_ID\", \"client_secret\": \"$MCP_REMOTE_CLIENT_SECRET\" }"
      ]
    }
  }
}

    W przypadku publicznych klientów OAuth (bez klucza tajnego klienta):

    {
  "mcpServers": {
    "databricks-mcp-server": {
      "command": "npx",
      "args": [
        "mcp-remote",
        "https://<your-workspace-hostname>/api/2.0/mcp/functions/system/ai",
        "--static-oauth-client-info",
        "{ \"client_id\": \"$MCP_REMOTE_CLIENT_ID\" }"
      ]
    }
  }
}

  3. Zastąp <your-workspace-hostname> nazwą hosta obszaru roboczego Databricks.

  4. Ustaw zmienną środowiskową MCP_REMOTE_CLIENT_ID przy użyciu identyfikatora klienta OAuth. W przypadku klientów poufnych należy również ustawić MCP_REMOTE_CLIENT_SECRET klucz tajny klienta.

Łączenie klientów przy użyciu uwierzytelniania osobistego tokenu dostępu

Osobiste tokeny dostępu zapewniają prostszą metodę uwierzytelniania odpowiednią do indywidualnego programowania, testowania i krótkoterminowego dostępu do serwerów MCP usługi Databricks.

Uwaga / Notatka

Osobiste tokeny dostępu są obsługiwane tylko w przypadku zarządzanych i zewnętrznych serwerów MCP. Niestandardowe serwery MCP wymagają uwierzytelniania OAuth.

  1. Wygeneruj osobisty token dostępu w obszarze roboczym usługi Databricks. Zobacz Uwierzytelnianie przy użyciu osobistych tokenów dostępu usługi Azure Databricks (starsza wersja).

  2. Skonfiguruj dostęp sieciowy (opcjonalnie).

    Jeśli obszar roboczy usługi Databricks ma ograniczenia dostępu do adresów IP, dodaj wychodzące adresy IP klienta do listy dozwolonych. Zapoznaj się z dokumentacją klienta lub konfiguracją sieci środowiska wdrażania, aby uzyskać wymagane adresy IP.

  3. Skonfiguruj klienta.

    Po wygenerowaniu tokenu dostępu skonfiguruj klienta MCP, aby używał go do uwierzytelniania. Każdy klient ma własną metodę konfiguracji. Zapoznaj się z poniższymi przykładami specyficznymi dla platformy, aby uzyskać szczegółowe instrukcje dotyczące popularnych klientów MCP.

Przykłady PAT

W poniższych przykładach pokazano, jak skonfigurować określonych klientów MCP przy użyciu osobistego uwierzytelniania tokenu dostępu. Najpierw postępuj zgodnie z konfiguracją uwierzytelniania pat powyżej, a następnie użyj tych przykładów, aby skonfigurować określonego klienta.

Cursor

Kursor obsługuje protokół MCP poprzez konfigurację ustawień.

  1. Otwórz ustawienia kursora.

  2. Dodaj następującą konfigurację (dostosuj adres URL wybranego serwera MCP):

    {
  "mcpServers": {
    "uc-function-mcp": {
      "type": "streamable-http",
      "url": "https://<your-workspace-hostname>/api/2.0/mcp/functions/{catalog_name}/{schema_name}",
      "headers": {
        "Authorization": "Bearer <YOUR_TOKEN>"
      },
      "note": "Databricks UC function"
    }
  }
}

  3. Zastąp <your-workspace-hostname> nazwą hosta obszaru roboczego Databricks.

  4. Zastąp <YOUR_TOKEN> osobistym tokenem dostępu.

Claude Desktop

Claude Desktop może łączyć się z serwerami MCP usługi Databricks przy użyciu programu mcp-remote.

  1. Znajdź swój plik claude_desktop_config.json:

    • macOS: ~/Library/Application Support/Claude/claude_desktop_config.json
    • Windows: %APPDATA%\Claude\claude_desktop_config.json

  2. Dodaj następującą konfigurację (dostosuj adres URL wybranego serwera MCP):

    {
  "mcpServers": {
    "uc-function-mcp": {
      "command": "npx",
      "args": [
        "mcp-remote",
        "https://<your-workspace-hostname>/api/2.0/mcp/functions/{catalog_name}/{schema_name}",
        "--header",
        "Authorization: Bearer <YOUR_TOKEN>"
      ]
    }
  }
}

  3. Zastąp <your-workspace-hostname> nazwą hosta obszaru roboczego Databricks.

  4. Zastąp <YOUR_TOKEN> osobistym tokenem dostępu.

  5. Uruchom ponownie program Claude Desktop, aby zmiany zaczęły obowiązywać.

Powtórzenie

Replit obsługuje nawiązywanie połączenia z serwerami MCP usługi Databricks za pomocą niestandardowej konfiguracji serwera MCP.

  1. W obszarze roboczym Replit kliknij pozycję Dodaj serwer MCP.

  2. Wprowadź adres URL serwera MCP usługi Databricks, na przykład:

    https://<your-workspace-hostname>/api/2.0/mcp/genie/{genie_space_id}

  3. Dodaj nagłówek niestandardowy:

    • Klucz: Authorization
    • Wartość: Bearer <YOUR_TOKEN>

Zobacz dokumentację programu Replit MCP.

Ograniczenia

  • Dynamiczna rejestracja klienta: usługa Databricks nie obsługuje dynamicznych przepływów OAuth rejestracji klienta dla zarządzanych, zewnętrznych lub niestandardowych serwerów MCP. Zewnętrzni klienci i środowiska IDE, które nakazują dynamiczną rejestrację klienta, nie są obsługiwane przy użyciu uwierzytelniania OAuth.
  • Obsługa niestandardowych serwerów MCP i osobistych tokenów dostępu: niestandardowe serwery MCP hostowane w aplikacjach Databricks nie obsługują osobistych tokenów dostępu do uwierzytelniania.
  • Autoryzacja w imieniu użytkownika: Niestandardowe serwery MCP hostowane w usłudze Databricks Apps nie obsługują autoryzacji w imieniu użytkownika.

Dalsze kroki

  • Last updated on