Leggere in inglese

Condividi tramite

Gestire le connessioni in Partner Connect

  • Articolo

È possibile eseguire attività amministrative con le connessioni dell'area di lavoro Azure Databricks alle soluzioni dei partner, ad esempio:

  • Gestione degli utenti degli account partner.
  • Gestione dell'entità del servizio di Azure Databricks e del relativo token di accesso personale utilizzato da una connessione.
  • Disconnettere un'area di lavoro da un partner.

Per amministrare Partner Connect, è necessario accedere all'area di lavoro come amministratore dell'area di lavoro. Per altre informazioni, si veda Gestire gli utenti.

Gestire gli utenti dell'account partner

Per i partner che consentono agli utenti di utilizzare Partner Connect per accedere all'account o al sito web del partner (come Fivetran e Rivery), quando una persona dell'organizzazione si connette per la prima volta da una delle aree di lavoro di Azure Databricks a un partner, diventa amministratore dell'account partner per quel partner in tutte le aree di lavoro dell'organizzazione. Per consentire ad altri utenti all'interno dell'organizzazione di accedere a quel partner, l'amministratore dell'account partner deve prima aggiungere quegli utenti all'account partner dell'organizzazione. Alcuni partner consentono all'amministratore dell'account partner di delegare anche questa autorizzazione. Per informazioni dettagliate, si veda la documentazione sul sito Web del partner.

Se nessuno può aggiungere utenti all'account partner dell'organizzazione (ad esempio, se l'amministratore dell'account partner non è più disponibile), contattare il partner per ricevere assistenza. Per i collegamenti di supporto, si veda l'elenco dei partner Azure Databricks Partner Connect.

Connettere i dati gestiti dal catalogo Unity alle soluzioni partner

Se l'area di lavoro è abilitata per il catalogo Unity, è possibile connettere le soluzioni partner selezionate ai dati gestiti dal catalogo Unity. Quando si crea la connessione tramite Partner Connect, è possibile scegliere se il partner usa il metastore Hive legacy (hive_metastore) oppure un altro catalogo che possiedi. Gli amministratori metastore possono selezionare qualsiasi catalogo nel metastore assegnato all'area di lavoro.

Nota

Se una soluzione partner non supporta il catalogo Unity con Partner Connect, si potrà usare solo il catalogo predefinito dell'area di lavoro. Se il catalogo predefinito non è hive_metastore e non si è proprietari del catalogo predefinito, verrà generato un errore.

Per un elenco dei partner che supportano il catalogo Unity con Partner Connect, si veda l'elenco dei partner di Azure Databricks Partner Connect.

Per informazioni sulla risoluzione dei problemi di connessione, si veda Risoluzione dei problemi di Partner Connect.

Gestire i principali del servizio e i token di accesso personale

Per i partner che richiedono entità servizio di Azure Databricks, quando un utente dell'area di lavoro di Azure Databricks si connette a un partner specifico per la prima volta, Partner Connect crea un'entità servizio di Azure Databricks nell'area di lavoro da utilizzare con quel partner. Partner Connect genera nomi visualizzati per l'entità servizio usando il formato <PARTNER-NAME>_USER. Ad esempio, per il partner Fivetran, il nome visualizzato del principale del servizio è FIVETRAN_USER.

Partner Connect crea anche un token di accesso personale di Azure Databricks e lo associa all'entità servizio di Azure Databricks. Partner Connect fornisce il valore di questo token al partner in background per completare la connessione a quel partner. Non è possibile visualizzare o ottenere il valore del token. Questo token non scade finché non viene eliminato dall'utente o da un altro utente. Si veda anche Disconnettersi da un partner.

Partner Connect concede le seguenti autorizzazioni di accesso alle entità servizio di Azure Databricks nell'area di lavoro:

Partner Autorizzazioni
Fivetran, Matillion, Power BI, Tableau, erwin Data Modeler, Precisely Data Integrity Suite Queste soluzioni non richiedono i principali del servizio di Azure Databricks.
dbt Cloud, Hevo Data, Rivery, Rudderstack, Snowplow
  • La autorizzazione CAN USE per creare un token di accesso personale.
  • Autorizzazione di creazione di SQL Warehouse.
  • Accesso all'area di lavoro.
  • Accesso a Databricks SQL.
  • (Unity Catalog) Il privilegio USE CATALOG sul catalogo selezionato.
  • (Catalogo Unity) Il privilegio CREATE SCHEMA sul catalogo selezionato.
  • (Metastore Hive Legacy) Privilegio USAGE nel catalogo hive_metastore.
  • (Metastore Hive legacy) Il privilegio CREATE nel catalogo hive_metastore in modo che Partner Connect possa creare oggetti nel metastore Hive legacy per conto dell'utente.
  • Proprietà delle tabelle che crea. Il principale del servizio non può eseguire query su alcuna tabella che non ha creato.
Profezia
  • L'autorizzazione "CAN USE" per creare un token di accesso personale.
  • Accedere all'area di lavoro.
  • Autorizzazione di creazione del cluster. L'entità servizio non può eseguire accessi a cluster che non ha creato.
  • Autorizzazione alla creazione di lavoro. L'entità servizio non può accedere a lavori che non ha creato.
John Snow Labs, Labelbox
  • Autorizzazione CAN USE token per creare un token di accesso personale.
  • Accesso all'area di lavoro.
Anomalo, AtScale, Census, Hex, Hightouch, Lightup, Monte Carlo, Preset, Privacera, Qlik Sense, Sigma, Stardog
  • Autorizzazione CAN USE token per creare un token di accesso personale.
  • Il privilegio CAN USE nel databricks SQL warehouse selezionato.
  • Privilegio SELECT sullo schema selezionato.
  • (Unity Catalog) Il privilegio USE CATALOG sul catalogo selezionato.
  • (Unity Catalog) Privilegio USE SCHEMA sullo schema selezionato.
  • (Metastore Hive legacy) Privilegio USAGE sullo schema selezionato.
  • (Legacy del metastore Hive) Il privilegio READ METADATA per lo schema selezionato.
Dataiku
  • Autorizzazione CAN USE token per creare un token di accesso personale.
  • Autorizzazione di creazione di SQL Warehouse.
  • (Unity Catalog) Il privilegio USE CATALOG sul catalogo selezionato.
  • (Catalogo Unity) Il privilegio USE SCHEMA sugli schemi selezionati.
  • (Catalogo Unity) Il privilegio CREATE SCHEMA sul catalogo selezionato.
  • "Il privilegio USAGE sul catalogo hive_metastore e sugli schemi selezionati nel 'Metastore Hive legacy'."
  • (Metastore Hive legacy) Il privilegio CREATE nel catalogo hive_metastore in modo che Partner Connect possa creare oggetti nel metastore Hive legacy per conto dell'utente.
  • (Metastore Hive legacy) Privilegio SELECT per gli schemi selezionati.
SuperAnnotate
  • Autorizzazione CAN USE token per creare un token di accesso personale.
  • Il privilegio di CAN USE nel Databricks SQL Warehouse selezionato.
  • Privilegio SELECT per gli schemi selezionati.
  • (Unity Catalog) Il privilegioUSE CATALOG sul catalogo selezionato.
  • (Unity Catalog) Privilegio USE SCHEMA sugli schemi selezionati.
  • (Metastore legacy di Hive) Il privilegio USAGE sul catalogo hive_metastore e sugli schemi selezionati.
  • Legacy metastore Hive: il privilegio SELECT sugli schemi selezionati.
Integrazione dati di Informatica Cloud
  • Autorizzazione CAN USE token per creare un token di accesso personale.
  • Il privilegio CAN MANAGE nel Databricks SQL Warehouse selezionato.
  • Privilegio CREATE e USAGE sugli oggetti dati.
  • (Catalogo Unity) Il privilegioUSE CATALOG sul catalogo selezionato.
  • (Catalogo Unity) Privilegio USE SCHEMA sugli schemi selezionati.
  • (Metastore Hive legacy) Privilegi di USAGE e CREATE nel catalogo hive_metastore e negli schemi selezionati.
  • (legacy Metastore Hive) Il privilegio SELECT sui schemi selezionati.

Disconnettersi da un partner.

Se il riquadro per un partner ha un'icona dei segno di spunta, significa che un utente dell'area di lavoro di Azure Databricks ha già creato una connessione a quel partner. Per disconnettersi da quel partner, reimpostare il riquadro del partner in Partner Connect. La reimpostazione del riquadro di un partner esegue le seguenti operazioni:

  • Cancella l'icona del segno di spunta dal riquadro del partner.
  • Elimina il cluster o il warehouse SQL associato se il partner ne richiede uno.
  • Elimina il service principal di Azure Databricks associato, qualora il partner ne richieda uno. L'eliminazione di un'entità servizio elimina anche il token di accesso personale di Azure Databricks correlato all'entità servizio. Il valore di questo token è ciò che completa la connessione tra l'area di lavoro e il partner. Per altre informazioni, si veda Come gestire le entità servizio e i token di accesso personale.

Avviso

L'eliminazione di un warehouse SQL, di un cluster, di un'entità servizio Azure Databricks o del token di accesso personale di un'entità servizio Azure Databricks è un'operazione irreversibile e non può essere annullata.

La reimpostazione del riquadro di un partner non comporta l'eliminazione dell'account partner correlato dell'organizzazione o la modifica delle impostazioni di connessione correlate con il partner. Tuttavia, la reimpostazione del riquadro di un partner interrompe la connessione tra l'area di lavoro e l'account partner correlato. Per riconnettersi, è necessario creare una nuova connessione dall'area di lavoro al partner, per poi modificare manualmente le impostazioni di connessione originali nell'account partner correlato in modo che corrispondano alle nuove impostazioni di connessione.

Per reimpostare il riquadro di un partner, fare clic sul riquadro e poi su Elimina connessione e seguire le istruzioni visualizzate.

In alternativa, è possibile disconnettere manualmente un'area di lavoro di Azure Databricks da un partner eliminando l'entità servizio di Azure Databricks correlata nell'area di lavoro associata a quel partner. Questa operazione può essere utile se si desidera scollegare l'area di lavoro da un partner, mantenendo però le altre risorse associate e mantenendo l'icona del segno di spunta nel riquadro. L'eliminazione di un'entità servizio elimina anche il token di accesso personale correlato all'entità servizio. Il valore di questo token è ciò che completa la connessione tra l'area di lavoro e il partner. Per altre informazioni, si veda Come gestire le entità servizio e i token di accesso personale.

Per eliminare un principale del servizio di Azure Databricks, utilizzare l'API REST di Databricks come indicato di seguito:

  1. Ottieni l'ID dell'applicazione del principale del servizio di Azure Databricks chiamando l'operazione GET /preview/scim/v2/ServicePrincipals nell'API dei Principali del Servizio per lo spazio di lavoro. Prendere nota del valore del principale del servizio applicationId nella risposta.
  2. Utilizzare il service principal per chiamare l'operazione nell'API Principali dei servizi dell'area di lavoro .

Ad esempio, per ottenere l'elenco dei nomi visualizzati e degli ID applicazione dell'entità servizio disponibili per un'area di lavoro, è possibile chiamare curl come segue:

curl --netrc --request GET \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals \
| jq '[ .Resources[] | { displayName: .displayName, applicationId: .applicationId } ]'

Sostituire <databricks-instance> con l'URL di Azure Databricks per area di lavoro, ad esempio adb-1234567890123456.7.azuredatabricks.net per l'area di lavoro.

Il nome visualizzato del principale del servizio si trova nel campo output displayName. Partner Connect genera i nomi visualizzati del principale del servizio usando il formato <PARTNER-NAME>_USER. Ad esempio, per il partner Fivetran, il nome visualizzato del principale del servizio è FIVETRAN_USER.

Il valore dell'ID applicazione dell'entità servizio si trova nel campo dell'output applicationId, ad esempio 123456a7-8901-2b3c-45de-f678a901b2c.

Per eliminare il principale del servizio, è possibile chiamare curl come segue:

curl --netrc --request DELETE \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals/<application-id>

Sostituire:

  • Sostituire <databricks-instance> con l'URL per area di lavoro, ad esempio adb-1234567890123456.7.azuredatabricks.net per l'area di lavoro.
  • <application-id> con il valore dell'ID applicazione del principale di servizio.

Gli esempi precedenti usano un file .netrc e jq. Si noti che, in questo caso, il file.netrc usa il tuovalore del token di accesso personale, non quello per l'entità servizio.

Dopo aver disconnesso l'area di lavoro da un partner, è possibile pulire tutte le risorse correlate create dal partner nell'area di lavoro. Può includere un magazzino SQL o un cluster e qualsiasi luogo di archiviazione dei dati correlato. Per altre informazioni, si veda Connettersi a un'istanza di SQL Warehouse oppure Eliminare un ambiente di calcolo.

Se si è certi che nell'organizzazione non vi siano altre aree di lavoro collegate al partner, si potrebbe anche eliminare l'account dell'organizzazione con il partner in questione. A tale scopo, contattare il partner per ricevere assistenza. Per i collegamenti di supporto, consultare la guida alla connessione del relativo partner.