Freigeben über

Verwalten von Verbindungen in Partner Connect

  • Artikel

Sie können administrative Aufgaben mit Azure Databricks-Arbeitsbereichsverbindungen zu Partnerlösungen ausführen, z. B.:

  • Verwalten der Benutzer von Partnerkonten.
  • Verwalten des Azure Databricks-Dienstprinzipals und des zugehörigen persönlichen Azure Databricks-Zugriffstokens, die von einer Verbindung verwendet werden.
  • Trennen eines Arbeitsbereichs von einem Partner.

Um Partner Connect verwalten zu können, müssen Sie sich bei Ihrem Arbeitsbereich als Azure Databricks-Admin anmelden. Weitere Informationen finden Sie unter Verwalten von Benutzern.

Verwalten der Benutzer von Partnerkonten

Für Partner, die Benutzern das Anmelden beim Konto oder bei der Website des Partners über Partner Connect ermöglichen (z. B. Fivetran und Rivery), gilt Folgendes: Wenn jemand in Ihrer Organisation sich erstmals über einen Ihrer Azure Databricks-Arbeitsbereiche bei einem der Partner anmeldet, wird diese Person in allen Arbeitsbereichen Ihrer Organisation als Partnerkontoadministrator für diesen Partner festgelegt. Damit sich andere Benutzer in Ihrer Organisation bei diesem Partner anmelden können, muss Ihr Partnerkontoadministrator diese Benutzer zunächst dem Partnerkonto Ihrer Organisation hinzufügen. Einige Partner ermöglichen es dem Partnerkontoadministrator, diese Berechtigung auch zu delegieren. Weitere Informationen finden Sie in der Dokumentation auf der Website des Partners.

Wenn niemand dem Partnerkonto Ihrer Organisation Benutzer hinzufügen kann (wenn Ihr Partnerkontoadministrator beispielsweise nicht mehr verfügbar ist), wenden Sie sich an den Partner, um Unterstützung zu erhalten. Supportlinks finden Sie in der Liste der Partner Connect-Partner in Azure Databricks.

Verbinden von Daten, die von Unity Catalog verwaltet werden, mit Partnerlösungen

Wenn Ihr Arbeitsbereich Unity Catalog-fähig ist, können Sie ausgewählte Partnerlösungen mit Daten verbinden, die von Unity Catalog verwaltet werden. Wenn Sie die Verbindung mithilfe von Partner Connect erstellen, können Sie auswählen, ob der Partner den Hive-Legacymetastore (hive_metastore) oder einen anderen Katalog, den Sie besitzen, verwendet. Metastore-Admins können einen beliebigen Katalog im Metastore auswählen, der Ihrem Arbeitsbereich zugewiesen ist.

Hinweis

Wenn eine Partnerlösung Unity Catalog mit Partner Connect nicht unterstützt, können Sie nur den Standardkatalog des Arbeitsbereichs verwenden. Wenn der Standardkatalog nicht hive_metastore ist und Sie nicht im Besitz des Standardkatalogs sind, erhalten Sie eine Fehlermeldung.

Eine Liste der Partner, die Unity Catalog mit Partner Connect unterstützen, finden Sie in der Liste Partner Connect-Partner in Azure Databricks.

Informationen zur Problembehandlung bei Verbindungen finden Sie unter Problembehandlung bei Partner Connect.

Verwalten von Dienstprinzipalen und persönlichen Zugriffstoken

Für Partner, die Azure Databricks-Dienstprinzipale benötigen, erstellt Partner Connect beim erstmaligen Verbinden einer Person in Ihrem Azure Databricks-Arbeitsbereich mit einem bestimmten Partner einen Azure Databricks-Dienstprinzipal in Ihrem Arbeitsbereich, der für diesen Partner verwendet werden kann. Partner Connect generiert Anzeigenamen für Dienstprinzipale im Format <PARTNER-NAME>_USER. Für den Partner Fivetran lautet der Anzeigename des Dienstprinzipals beispielsweise FIVETRAN_USER.

Partner Connect erstellt auch ein persönliches Zugriffstoken für Azure Databricks und ordnet es diesem Azure Databricks-Dienstprinzipal zu. Partner Connect stellt dem Partner den Wert dieses Tokens im Hintergrund bereit, um die Verbindung mit diesem Partner herzustellen. Sie können den Wert dieses Tokens nicht anzeigen oder abrufen. Dieses Token läuft erst ab, wenn Sie oder eine andere Person es löschen. Informationen hierzu finden Sie auch unter Trennen der Verbindung mit einem Partner.

Partner Connect gewährt Azure Databricks-Dienstprinzipalen in Ihrem Arbeitsbereich die folgenden Zugriffsberechtigungen:

Partner Berechtigungen
Fivetran, Matillion, Power BI, Tableau, erwin Data Modeler, Precisely Data Integrity Suite Diese Lösungen erfordern keine Azure Databricks-Dienstprinzipale.
dbt Cloud, Hevo Data, Rivery, Rudderstack, Snowplow – Die Tokenberechtigung KANN VERWENDEN zum Erstellen eines persönlichen Zugriffstokens.
– SQL Warehouse-Erstellungsberechtigung.
– Zugriff auf Ihren Arbeitsbereich.
– Zugriff auf Databricks SQL.
– (Unity Catalog) Die Berechtigung USE CATALOG für den ausgewählten Katalog.
– (Unity Catalog) Die Berechtigung CREATE SCHEMA für den ausgewählten Katalog.
– (Legacy-Hive-Metaspeicher) Die USAGE-Berechtigung für den hive_metastore-Katalog.
– (Legacy Hive-Metastore) Die CREATE-Berechtigung für den hive_metastore-Katalog, damit Partner Connect Objekte im Legacy-Hive-Metastore in Ihrem Auftrag erstellen kann.
– Eigentum der von ihm erstellten Tabellen. Der Dienstprinzipal kann keine Tabellen abfragen, die er nicht erstellt hat.
Prophecy – Die Tokenberechtigung KANN VERWENDEN zum Erstellen eines persönlichen Zugriffstokens.
– Zugriff auf Ihren Arbeitsbereich.
– Berechtigung zum Erstellen von Clustern. Der Dienstprinzipal kann nicht auf Cluster zugreifen, die er nicht erstellt hat.
– Berechtigung zum Erstellen von Aufträgen. Der Dienstprinzipal kann nicht auf Aufträge zugreifen, die er nicht erstellt hat.
John Snow Labs, LabelBox – Die Tokenberechtigung KANN VERWENDEN zum Erstellen eines persönlichen Zugriffstokens.
– Zugriff auf Ihren Arbeitsbereich.
Anomalo, AtScale, Census, Hex, Hightouch, Lightup, Monte Carlo, Preset, Privacera, Qlik Sense, Sigma, Stardog – Die Tokenberechtigung KANN VERWENDEN zum Erstellen eines persönlichen Zugriffstokens.
– Die KANN VERWENDEN-Berechtigung für das ausgewählte Databricks SQL-Warehouse.
– Die SELECT-Berechtigung für das ausgewählte Schema.
– (Unity Catalog) Die Berechtigung USE CATALOG für den ausgewählten Katalog.
– (Unity Catalog) Die USE SCHEMA-Berechtigung für das ausgewählte Schema.
– (Legacy-Hive-Metastore) Die USAGE-Berechtigung für das ausgewählte Schema.
– (Legacy-Hive-Metastore) Die READ METADATA-Berechtigung für das ausgewählte Schema.
Dataiku – Die Tokenberechtigung KANN VERWENDEN zum Erstellen eines persönlichen Zugriffstokens.
– SQL Warehouse-Erstellungsberechtigung.
– (Unity Catalog) Die Berechtigung USE CATALOG für den ausgewählten Katalog.
– (Unity Catalog) Die USE SCHEMA-Berechtigung für die ausgewählten Schemas.
– (Unity Catalog) Die Berechtigung CREATE SCHEMA für den ausgewählten Katalog.
– (Legacy-Hive-Metastore) Die USAGE-Berechtigung für den hive_metastore-Katalog und die ausgewählten Schemas.
– (Legacy Hive-Metastore) Die CREATE-Berechtigung für den hive_metastore-Katalog, damit Partner Connect Objekte im Legacy-Hive-Metastore in Ihrem Auftrag erstellen kann.
– (Legacy-Hive-Metastore) Die SELECT-Berechtigung für die ausgewählten Schemas.
SuperAnnotate – Die Tokenberechtigung KANN VERWENDEN zum Erstellen eines persönlichen Zugriffstokens.
– Die KANN VERWENDEN-Berechtigung für das ausgewählte Databricks SQL-Warehouse.
– Die SELECT-Berechtigung für die ausgewählten Schemas.
– (Unity Catalog) Die Berechtigung USE CATALOG für den ausgewählten Katalog.
– (Unity Catalog) Die USE SCHEMA-Berechtigung für die ausgewählten Schemas.
– (Legacy-Hive-Metastore) Die USAGE-Berechtigung für den hive_metastore-Katalog und die ausgewählten Schemas.
– (Legacy-Hive-Metastore) Die SELECT-Berechtigung für die ausgewählten Schemas.
Informatica Clouddatenintegration – Die Tokenberechtigung KANN VERWENDEN zum Erstellen eines persönlichen Zugriffstokens.
– Die KANN VERWALTEN-Berechtigung für das ausgewählte Databricks SQL-Warehouse.
– Das Recht CREATE und USAGE für Datenobjekte.
– (Unity Catalog) Die Berechtigung USE CATALOG für den ausgewählten Katalog.
– (Unity Catalog) Die USE SCHEMA-Berechtigung für die ausgewählten Schemas.
– (Legacy-Hive-Metastore) Die USAGE- und CREATE-Berechtigung für den hive_metastore-Katalog und die ausgewählten Schemas.
– (Legacy-Hive-Metastore) Die SELECT-Berechtigung für die ausgewählten Schemas.

Trennen der Verbindung mit einem Partner

Wenn die Kachel für einen Partner ein Häkchensymbol aufweist, bedeutet dies, dass eine Person in Ihrem Azure Databricks-Arbeitsbereich bereits eine Verbindung mit diesem Partner hergestellt hat. Um die Verbindung mit diesem Partner zu trennen, setzen Sie die Kachel dieses Partners in Partner Connect zurück. Durch das Zurücksetzen der Kachel eines Partners wird Folgendes ausgeführt:

  • Das Häkchensymbol wird von der Kachel des Partners entfernt.
  • Das zugeordnete SQL-Warehouse oder der Cluster wird gelöscht, wenn der Partner ein SQL-Warehouse oder einen Cluster erfordert.
  • Der zugeordnete Azure Databricks-Dienstprinzipal wird gelöscht, wenn der Partner einen Dienstprinzipal erfordert. Beim Löschen eines Dienstprinzipals wird auch das zugehörige persönliche Azure Databricks-Zugriffstoken des Dienstprinzipals gelöscht. Der Wert dieses Tokens schließt die Verbindung zwischen Ihrem Arbeitsbereich und dem Partner ab. Weitere Informationen finden Sie unter Verwalten von Dienstprinzipals und persönlichen Zugriffstoken.

Warnung

Das Löschen eines SQL-Warehouse, eines Clusters, eines Azure Databricks-Dienstprinzipals oder des persönlichen Zugriffstokens eines Azure Databricks-Dienstprinzipals ist endgültig und kann nicht rückgängig gemacht werden.

Durch das Zurücksetzen der Kachel eines Partners wird weder das zugehörige Partnerkonto Ihrer Organisation gelöscht, noch werden die zugehörigen Verbindungseinstellungen für den Partner geändert. Durch das Zurücksetzen der Kachel eines Partners wird jedoch die Verbindung zwischen dem Arbeitsbereich und dem entsprechenden Partnerkonto unterbrochen. Um die Verbindung wiederherzustellen, müssen Sie eine neue Verbindung zwischen dem Arbeitsbereich und dem Partner herstellen. Anschließend müssen Sie die ursprünglichen Verbindungseinstellungen im zugehörigen Partnerkonto manuell bearbeiten, damit sie den neuen Verbindungseinstellungen entsprechen.

Um die Kachel eines Partners zurückzusetzen, klicken Sie auf die Kachel, klicken Sie auf Verbindung löschen, und befolgen Sie dann die Anweisungen auf dem Bildschirm.

Alternativ können Sie einen Azure Databricks-Arbeitsbereich manuell von einem Partner trennen, indem Sie den zugehörigen Azure Databricks-Dienstprinzipal in Ihrem Arbeitsbereich löschen, der diesem Partner zugeordnet ist. Dies ist möglicherweise sinnvoll, wenn Sie Ihren Arbeitsbereich von einem Partner trennen, aber trotzdem andere zugeordnete Ressourcen behalten und das Häkchensymbol weiterhin auf der Kachel anzeigen möchten. Beim Löschen eines Dienstprinzipals wird auch das zugehörige persönliche Zugriffstoken des Dienstprinzipals gelöscht. Der Wert dieses Tokens schließt die Verbindung zwischen Ihrem Arbeitsbereich und dem Partner ab. Weitere Informationen finden Sie unter Verwalten von Dienstprinzipals und persönlichen Zugriffstoken.

Um einen Azure Databricks-Dienstprinzipal zu löschen, verwenden Sie die Databricks-REST-API wie folgt:

  1. Rufen Sie die Anwendungs-ID des Azure Databricks-Dienstprinzipals ab, indem Sie den Vorgang GET /preview/scim/v2/ServicePrincipals in der Arbeitsbereich-Dienstprinzipal-API für Ihren Arbeitsbereich aufrufen. Notieren Sie sich die applicationId des Dienstprinzipals in der Antwort.
  2. Verwenden Sie die applicationId des Dienstprinzipals zum Aufrufen des Vorgangs DELETE /preview/scim/v2/ServicePrincipals in der Arbeitsbereich-Dienstprinzipal-API für Ihren Arbeitsbereich.

Um beispielsweise die Liste verfügbarer Anzeigenamen und Anwendungs-IDs von Dienstprinzipalen für einen Arbeitsbereich zu erhalten, können Sie curl wie folgt aufrufen:

curl --netrc --request GET \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals \
| jq '[ .Resources[] | { displayName: .displayName, applicationId: .applicationId } ]'

Ersetzen Sie <databricks-instance> durch die arbeitsbereichsbezogene Azure Databricks-URL, z. B. adb-1234567890123456.7.azuredatabricks.net für Ihren Arbeitsbereich.

Der Anzeigename des Dienstprinzipals befindet sich im Feld displayName der Ausgabe. Partner Connect generiert Anzeigenamen für Dienstprinzipale im Format <PARTNER-NAME>_USER. Für den Partner Fivetran lautet der Anzeigename des Dienstprinzipals beispielsweise FIVETRAN_USER.

Der Wert der Anwendungs-ID des Dienstprinzipals befindet sich im Feld applicationId der Ausgabe, z. B. 123456a7-8901-2b3c-45de-f678a901b2c.

Um den Dienstprinzipal zu löschen, können Sie curl wie folgt aufrufen:

curl --netrc --request DELETE \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals/<application-id>

Ersetzen Sie:

  • <databricks-instance> durch die arbeitsbereichsbezogene URL, z. B. adb-1234567890123456.7.azuredatabricks.net für Ihren Arbeitsbereich.
  • <application-id> durch den Wert der Anwendungs-ID des Dienstprinzipals.

In den vorherigen Beispielen werden eine NETRC-Datei und jq verwendet. Beachten Sie, dass die .netrc-Datei in diesem Fall den Wert Ihres persönlichen Zugriffstokens und nicht den Wert des Dienstprinzipals verwendet.

Nachdem Sie Ihren Arbeitsbereich von einem Partner getrennt haben, sollten Sie alle zugehörigen Ressourcen bereinigen, die der Partner im Arbeitsbereich erstellt. Dies kann ein SQL-Warehouse oder einen Cluster und alle zugehörigen Datenspeicherorte umfassen. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einem SQL-Warehouse oder Löschen eines Rechners.

Wenn Sie sicher sind, dass in Ihrer Organisation keine weiteren Arbeitsbereiche mit dem Partner verbunden sind, sollten Sie auch das Konto Ihrer Organisation bei diesem Partner löschen. Wenden Sie sich hierzu an den Partner, um Unterstützung zu erhalten. Supportlinks finden Sie im entsprechenden Partnerverbindungsleitfaden.