外部 HTTP サービスに接続する

重要

このページでは、Azure Databricks によって管理されていない外部サービスデータに対してフェデレーションクエリを実行するように Lakehouse Federation を設定する方法について説明します。レイクハウスフェデレーションの詳細については、「レイクハウスフェデレーションとは」を参照してください。

Lakehouse Federation を使用して外部サービスデータベースに接続するには、Azure Databricks Unity カタログメタストアで次を作成する必要があります (2023 年 11 月 9 日以降に作成されたワークスペースには、Unity カタログメタストアが自動的にプロビジョニングされています)。

外部サービスデータベースへの接続。
Unity カタログのクエリ構文とデータガバナンスツールを使用してデータベースへの Azure Databricks ユーザーアクセスを管理できるように、Unity カタログの外部サービスデータベースをミラーリングする 外部カタログ 。

開始する前に

ワークスペースの要件:

Unity Catalog を使用できるワークスペース。 2023 年 11 月 9 日以降に作成されたワークスペースは、自動メタストアプロビジョニングを含め、Unity カタログに対して自動的に有効になります。ワークスペースが自動有効化の前にあり、Unity カタログに対して有効になっていない場合を除き、メタストアを手動で作成する必要はありません。「Unity Catalog の自動有効化」を参照してください。

コンピューティング要件:

コンピューティングリソースからターゲットデータベースシステムへのネットワーク接続。「レイクハウスフェデレーションのためのネットワークに関する推奨事項」を参照してください。
Azure Databricks コンピューティングでは、Databricks Runtime 15.4 LTS 以降と Standard または Dedicated アクセスモードを使用する必要があります。
SQL ウェアハウスはプロまたはサーバーレスである必要があり、2023.40 以降を使用する必要があります。

必要なアクセス許可:

接続を作成するには、メタストア管理者であるか、ワークスペースにアタッチされている Unity カタログメタストアに対する CREATE CONNECTION 権限を持つユーザーである必要があります。 Unity カタログが自動的に有効になっているワークスペースでは、ワークスペース管理者は既定で CREATE CONNECTION 特権を持っています。
外部カタログを作成するには、メタストアに対する CREATE CATALOG 権限を持ち、接続の所有者であるか、接続に対する CREATE FOREIGN CATALOG 特権を持っている必要があります。 Unity カタログが自動的に有効になっているワークスペースでは、ワークスペース管理者は既定で CREATE CATALOG 特権を持っています。

追加の権限要件は、以下の各タスクベースのセクションで規定されています。

次のいずれかの方法を使用して、外部サービスへの認証を設定します。
- ベアラートークン: 単純なトークンベースの認証用のベアラートークンを取得します。
- OAuth 2.0 Machine-to-Machine: コンピューター間認証を有効にするアプリを作成して構成します。
- OAuth 2.0 User-to-Machine Shared: サービス ID とマシンの間でアクセスを共有するために、ユーザーの操作で認証します。
- OAuth 2.0 User-to-Machine Per User: ユーザー ID とマシンの間でアクセスするために、ユーザーごとの操作で認証を行います。

外部サービスの認証方法

ベアラートークン

ベアラートークンは、トークンがクライアントに発行され、追加の資格情報を必要とせずにリソースにアクセスするために使用される、単純なトークンベースの認証メカニズムです。トークンは要求ヘッダーに含まれており、有効である限りアクセス権を付与します。

OAuth Machine-to-Machine

OAuth Machine-to-Machine (M2M) 認証は、2 つのシステムまたはアプリケーションが直接ユーザーの関与なしに通信するときに使用されます。トークンは、独自の資格情報を使用して認証する登録済みマシンクライアントに発行されます。これは、ユーザーコンテキストが不要なサーバー間通信、マイクロサービス、自動化タスクに最適です。 Databricks では、OAuth ユーザーからマシンへの共有よりも、OAuth マシン間を使用することをお勧めします。

OAuth ユーザーからマシンへの共有

OAuth ユーザー間共有認証を使用すると、1 人のユーザー ID が複数のクライアントまたはユーザー間で同じ資格情報セットを認証および共有できます。すべてのユーザーが同じアクセストークンを共有します。このアプローチは、一貫性のあるユーザー ID で十分な共有デバイスまたは環境に適していますが、個々の説明責任と追跡を減らします。 ID ログインが必要な場合は、[ユーザーからマシンへの共有] を選択します。 Databricks では、OAuth ユーザーからマシンへの共有よりも、OAuth マシン間を使用することをお勧めします。

ユーザーあたりの OAuth ユーザー対マシン数

OAuth のユーザー対マシン認証では、各ユーザー ID が独自の資格情報を認証し、それを用いてリソースアクセスを行います。各ユーザーには一意のアクセストークンが発行され、個々のアクセス制御、監査、アカウンタビリティが有効になります。この方法は、ユーザー固有のデータアクセスが必要な場合や、個々のユーザーに代わって外部サービスにアクセスする場合に適しています。

外部サービスは OAuth 2.0 仕様に準拠している必要があります

OAuth を使用する HTTP 接続では、 OAuth 2.0 の公式仕様に準拠したサービスに接続して、アクセストークンデータの処理方法と返し方法を確認する必要があります。つまり、サービスの応答では、 access_token、 expires_inなど、仕様で説明されている正確なフィールド名とデータ形式を使用する必要があります。

OAuth 2.0 を使用した外部サービスへの接続で問題が発生した場合は、サービスの応答が次の要件に従っていることを確認してください。

外部サービスへの接続を作成する

まず、サービスにアクセスするためのパスと資格情報を指定する外部サービスへの Unity カタログ接続を作成します。

Unity カタログ接続を使用する利点は次のとおりです。

セキュリティで保護された資格情報の管理: シークレットとトークンは Unity カタログに安全に格納および管理され、ユーザーに公開されないようにします。
詳細なアクセス制御: Unity カタログを使用すると、USE CONNECTION と MANAGE CONNECTION の特権で接続を使用または管理できるユーザーをきめ細かく制御できます。
ホスト固有のトークンの適用: トークンは、接続の作成時に指定された host_name に制限され、承認されていないホストで使用できないようにします。

必要な権限: メタストア管理者、または CREATE CONNECTION 特権を持つユーザー。

次のいずれかの方法を使用して接続を作成します。

カタログエクスプローラー UI を使用します。
Azure Databricks ノートブックまたは Databricks SQL クエリエディターで、CREATE CONNECTION SQL コマンドを実行します。
接続を作成するには、Databricks REST API または Databricks CLI を使用します。 POST /api/2.1/unity-catalog/connections および Unity Catalog コマンドを参照してください。

カタログエクスプローラー

カタログエクスプローラー UI を使用して接続を作成します。

Azure Databricks ワークスペースで、[ カタログ。
[カタログ] ウィンドウの上部にある の [追加] アイコンをクリックし、メニューから [接続の作成] を選択します。
[接続の作成] をクリックします。
わかりやすい接続名を入力します。
HTTPの 接続の種類 を選択します。
次のオプションから 認証の種類 を選択します。
- ベアラートークン
- OAuth マシン対マシン
- OAuth ユーザーからマシン共有へ
- OAuth ユーザーからマシンへ (ユーザーごと)
  - 独自の OAuth 資格情報を入力するには、[ 手動構成] を選択します。外部 MCP サーバーに接続していて、Databricks で OAuth 資格情報を管理する場合は、「マネージド OAuth フロー」を参照してください。

[認証] ページで、HTTP 接続の次の接続プロパティを入力します。

ベアラートークンのプロパティ

ベアラートークンの場合:

プロパティ	説明	値の例
ホスト	Databricks ワークスペースまたはデプロイのベース URL。	`https://databricks.com`
ポート	接続に使用されるネットワークポート (通常は HTTPS 用に `443` )。	`443`
ベアラートークン	API 要求の承認に使用される認証トークン。	`bearer-token`
ベースパス	API エンドポイントのルートパス。	`/api/`

OAuth Machine-to-Machine プロパティ

マシン対マシンのOAuthについて:

プロパティ	説明
クライアント ID	作成したアプリケーションの一意の識別子。
クライアントシークレット	作成したアプリケーション用に生成されたシークレットまたはパスワード。
OAuth の範囲	ユーザー承認時に付与するスコープ。スコープパラメーターは、スペースで区切られた大文字と小文字を区別する文字列の一覧として表されます。例: `channels:read channels:history chat:write`
トークンエンドポイント	承認許可または更新トークンを提示してアクセストークンを取得するためにクライアントによって使用されます。通常は次の形式です。 `https://authorization-server.com/oauth/token`

OAuth ユーザーからマシンへの共有プロパティ

OAuth ユーザーからマシンへの共有の場合:

OAuth 資格情報を使用してサインインするように求められます。使用する資格情報は、この接続を使用するすべてのユーザーによって共有されます。一部のプロバイダーでは、リダイレクト URL の許可リストが必要です。リダイレクト URL の許可リストとして <databricks_workspace_url>/login/oauth/http.html を含めてください。例: https://databricks.com/login/oauth/http.html

プロパティ	説明
クライアント ID	作成したアプリケーションの一意の識別子。
クライアントシークレット	作成したアプリケーション用に生成されたシークレットまたはパスワード。
OAuth の範囲	ユーザー承認時に付与するスコープ。スコープパラメーターは、スペースで区切られた大文字と小文字を区別する文字列の一覧として表されます。例: `channels:read channels:history chat:write`
承認エンドポイント	ユーザーエージェントのリダイレクトを通じてリソース所有者を認証するために使用されます。通常は次の形式です。 `https://authorization-server.com/oauth/authorize`
トークンエンドポイント	承認許可または更新トークンを提示してアクセストークンを取得するためにクライアントによって使用されます。通常は次の形式です。 `https://authorization-server.com/oauth/token`

OAuth ユーザーとマシンのユーザーごとのプロパティ

ユーザーあたりの OAuth ユーザー対マシンの場合:

各ユーザーは、HTTP 接続を初めて使用する際に、個々の OAuth 資格情報を使用してサインインするように求められます。一部のプロバイダーでは、リダイレクト URL の許可リストが必要です。リダイレクト URL の許可リストとして <databricks_workspace_url>/login/oauth/http.html を含めてください。例: https://databricks.com/login/oauth/http.html

プロパティ	説明
クライアント ID	作成したアプリケーションの一意の識別子。 OAuth フロー中にクライアントアプリケーションを識別するために承認サーバーによって使用されます。
クライアントシークレット	作成したアプリケーション用に生成されたシークレットまたはパスワード。トークンの承認コードを交換するときにクライアントアプリケーションを認証するために使用され、機密を保持する必要があります。
OAuth の範囲	ユーザー承認時に付与するスコープ。アプリケーションが要求するアクセス許可を定義する、スペース区切りの大文字と小文字を区別する文字列の一覧として表されます。例: `channels:read channels:history chat:write`
承認エンドポイント	ユーザーエージェントリダイレクトを使用してリソース所有者を認証し、承認を取得するために使用されるエンドポイント。通常は次の形式です。 `https://authorization-server.com/oauth/authorize` クライアントは、ユーザーをこのエンドポイントに誘導してログインし、アクセス許可に同意します。
トークンエンドポイント	アクセストークンの承認付与 (承認コードなど) または更新トークンを交換するためにクライアントによって使用されるエンドポイント。通常は次の形式です。 `https://authorization-server.com/oauth/token`
Oauth 資格情報の交換方法	プロバイダーは、トークン交換中に OAuth クライアント資格情報を渡すために異なる方法を必要とします。次のいずれかのオプションを選択します。 header_and_body: 承認ヘッダーと要求本文の両方に資格情報を配置します (既定)。 body_only: 資格情報は、承認ヘッダーなしで要求本文にのみ配置します。 header_only: 認証ヘッダーにのみ資格情報を配置します (OKTA などのプロバイダーの場合)。

[接続の作成] をクリックします。

SQL

CREATE CONNECTION SQL コマンドを使用して接続を作成します。

注

SQL コマンドを使用して、 OAuth Machine-to-User Shared を使用する接続を作成することはできません。代わりに、カタログエクスプローラーの UI の手順を参照してください。

ベアラートークンを使用して新しい接続を作成するには、ノートブックまたは Databricks SQL クエリエディターで次のコマンドを実行します。

CREATE CONNECTION <connection-name> TYPE HTTP
OPTIONS (
  host '<hostname>',
  port '<port>',
  base_path '<base-path>',
  bearer_token '<bearer-token>'
);

Databricks では、資格情報などの機密性の高い値にプレーンテキスト文字列ではなく、シークレット使用することをお勧めします。例えば次が挙げられます。

CREATE CONNECTION <connection-name> TYPE HTTP
OPTIONS (
  host '<hostname>',
  port '<port>',
  base_path '<base-path>',
  bearer_token secret ('<secret-scope>','<secret-key-password>')
)

OAuth Machine-to-Machine を使用して新しい接続を作成するには、ノートブックまたは Databricks SQL クエリエディターで次のコマンドを実行します。

CREATE CONNECTION <connection-name> TYPE HTTP
OPTIONS (
  host '<hostname>',
  port '<port>',
  base_path '<base-path>',
  client_id '<client-id>'
  client_secret '<client-secret>'
  oauth_scope '<oauth-scope1> <oauth-scope-2>'
  token_endpoint '<token-endpoint>'
)

接続 USE CONNECTION 使用する必要がある ID プリンシパルに特権を付与します。

ワークスペースで、[ Catalog>Connections> Your connection >Permissions] に移動します。
Unity カタログ接続への適切なアクセス権を ID に付与します。

外部システムに HTTP 要求を送信する

接続が確立されたので、http_request 組み込み SQL 関数を使用してサービスに HTTP 要求を送信する方法について説明します。

接続オブジェクトにUSE CONNECTION のアクセス許可が必要です。

ノートブックまたは Databricks SQL エディターで次の SQL コマンドを実行します。プレースホルダー値を次のように置き換えます。

connection-name: ホスト、ポート、base_path、およびアクセス資格情報を指定する接続オブジェクト。
http-method: 呼び出しを行うために使用される HTTP 要求メソッド。例: GET、POST、PUT、DELETE
path: サービスリソースを呼び出す base_path の後に連結するパス。
json: リクエストに含めて送信する JSON 本文。
headers: 要求ヘッダーを指定するマップ。

SELECT http_request(
  conn => <connection-name>,
  method => <http-method>,
  path => <path>,
  json => to_json(named_struct(
    'text', text
  )),
  headers => map(
    'Accept', "application/vnd.github+json"
  )
);

注

ユーザーからマシンまでのユーザー接続タイプでは、http_request を使用した SQL アクセスはブロックされます。代わりに Python Databricks SDK を使用してください。

from databricks.sdk import WorkspaceClient
from databricks.sdk.service.serving import ExternalFunctionRequestHttpMethod

WorkspaceClient().serving_endpoints.http_request(
  conn="connection-name",
  method=ExternalFunctionRequestHttpMethod.POST,
  path="/api/v1/resource",
  json={"key": "value"},
  headers={"extra-header-key": "extra-header-value"},
)

エージェントツールに HTTP 接続を使用する

AI エージェントは、HTTP 接続を使用して、Slack、Google カレンダー、または HTTP 要求を使用する API を使用して任意のサービスなどの外部アプリケーションにアクセスできます。エージェントは、外部に接続されたツールを使用して、タスクの自動化、メッセージの送信、サードパーティプラットフォームからのデータの取得を行うことができます。

「AI エージェントツールを外部サービスに接続する」を参照してください。

外部サービスへのネットワーク接続をセキュリティで保護する

Azure Databricks は、ワークスペースのサーバーレスコンピューティングプレーンを介して HTTP 接続のトラフィックを外部サービスにルーティングします。このトラフィックは、Private Link または IP 許可リストを使用してセキュリティで保護できます。

Private Link (推奨)

Private Link では、完全なテナント分離が提供されます。接続を介してサービスに到達できるのは、Azure Databricks ワークスペースだけです。トラフィックは、パブリックインターネットではなくプライベート接続経由で移動します。クラウドネットワーク (VPC または VNet) 内でホストされている外部サービスには Private Link を使用します。

Private Link を構成するには、 VNet 内のリソースへのプライベート接続の構成に関するページを参照してください。プロキシのセットアップパターンについては、 Azure Databricks サーバーレスのプライベート接続パターンと専用接続パターンに関するブログシリーズを参照してください。

IP 許可リスト

重要

ワークスペースが 2026 年 3 月より前に作成された場合、ファイアウォール規則はサーバーレス IP ではなくコントロールプレーン IP を参照する可能性があります。接続エラーを回避するには 、2026 年 4 月 30 日 より前に許可リストを更新する必要があります。 HTTP 接続のサーバーレスルーティングへの移行を参照してください。

Private Link がオプションでない場合は、Azure Databricks サーバーレス送信 IP を許可リストするように外部サービスのファイアウォール規則を構成します。 IP 許可リストでは、送信 IP は Azure Databricks のお客様間で共有されるため、このアプローチではテナントを分離できません。

サーバーレス送信 IP の一覧については、サーバーレスコンピューティングファイアウォールプレビューの送信 IP を参照してください。

注

HTTP 接続を使用すると、Azure Databricks のデータ転送料金が発生する場合があります。詳細については、「データ転送と接続の価格」を参照してください。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-03-15