Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważna
Ta funkcja jest dostępna w wersji beta. Administratorzy kont mogą kontrolować dostęp do tej funkcji ze strony podglądów konsoli konta. Zobacz Zarządzanie wersjami zapoznawczami usługi Azure Databricks.
Usługa MCP to obiekt zabezpieczany w Unity Catalog, który rejestruje zewnętrzny serwer MCP i określa sposób korzystania z niego przez agentów. Odwołujesz się do niej za pomocą jej trzypoziomowej nazwy, catalog.schema.mcp_service, i wywołujesz ją za pośrednictwem Unity AI Gateway, warstwy sterowania służącej do zarządzania ruchem AI.
Zarejestrowanie serwera MCP jako obiektu zabezpieczanego w Unity Catalog oznacza, że zarządzasz nim przy użyciu tych samych mechanizmów, które chronią inne zasoby w Unity Catalog. Obejmują one uprawnienia określające, kto może je wywoływać, wybór narzędzi ograniczający, które narzędzia są udostępniane, polityki usługi umożliwiające zezwalanie na poszczególne wywołania narzędzi lub ich blokowanie, a także dzienniki audytowe i dzienniki użycia służące do śledzenia każdego wywołania.
Istnieją dwa sposoby korzystania z usług MCP:
| Approach | Użyj, gdy |
|---|---|
| Korzystanie z usługi MCP dostarczanej przez usługę Databricks | Potrzebujesz wspólnego narzędzia typu oprogramowanie jako usługa (SaaS) — Slack, GitHub, Google Drive i nie tylko — z zerową konfiguracją. Brak serwera do hostowania i brak połączenia do utworzenia. |
| Rejestrowanie własnego zewnętrznego serwera MCP | Masz do zarządzania własny lub zewnętrzny serwer MCP jako obiekt zabezpieczany w Unity Catalog. |
Usługi MCP łączą agentów z usługami zewnętrznymi. W przypadku danych usługi Azure Databricks użyj zarządzanych serwerów MCP; aby hostować własne narzędzia, użyj niestandardowego serwera MCP.
Aby zarejestrować i wywołać zewnętrzny serwer MCP, zobacz Rejestrowanie zewnętrznego serwera MCP. Aby ograniczyć jego narzędzia i wywołania, zobacz Zarządzanie usługą MCP.
Tip
Aby zobaczyć kompletny, praktyczny przykład — rejestrowania serwera GitHub MCP, ograniczania jego narzędzi, blokowania destrukcyjnych wywołań za pomocą zasad usługi i przeprowadzania audytu użycia — skorzystaj z samouczka Samouczek: Zarządzanie dostępem GitHub MCP agenta programistycznego.
Jak to działa
Agent wywołuje usługę MCP za pomocą adresu URL bramy Unity AI Gateway, a każde wywołanie przechodzi przez tę samą zarządzaną ścieżkę:
- Wywołaj: Agent wysyła żądanie MCP na adres URL usługi Unity AI Gateway, uwierzytelnione przy użyciu tożsamości Azure Databricks wywołującego.
-
Autoryzuj i zarządzaj: Brama sprawdza, czy wywołujący ma uprawnienie
EXECUTEdo usługi MCP w Unity Catalog. Usługa uwidacznia tylko wybrane narzędzia i ocenia wszelkie dołączone zasady usługi, które mogą zezwalać, odrzucać lub wymagać zatwierdzenia dla wywołania. - Serwer proxy z poświadczeniami zarządzanymi: żądanie jest przekazywane do zewnętrznego serwera MCP za pośrednictwem połączenia HTTP usługi. Azure Databricks przechowuje poświadczenia i obsługuje przepływy OAuth i odświeżanie tokenu, więc agent nigdy ich nie widzi.
- Rejestrowanie użycia, audyt i ślady: każde wywołanie jest rejestrowane w tabelach systemowych, dzięki czemu można monitorować wykorzystanie i audytować aktywność w czasie.
Requirements
- Obszar roboczy z włączonym Unity Catalog.
- Aby zarządzać zewnętrznym serwerem MCP jako usługą MCP, na Twoim koncie muszą być włączone Unity AI Gateway w wersji beta oraz funkcja podglądu Zarządzane serwery MCP. Zobacz Zarządzanie wersjami zapoznawczami usługi Azure Databricks.
- Obszar roboczy w regionie, w którym obsługiwane jest serwowanie modeli. Zobacz Dostępność funkcji obsługujących model.
Usługi MCP udostępniane przez usługę Databricks
Azure Databricks zapewnia gotowe do użycia usługi MCP w system.ai schemacie dla typowych aplikacji SaaS, dzięki czemu agenci mogą uzyskać dostęp do tych narzędzi bez hostowania lub rejestrowania własnego serwera MCP. Każda z nich jest wbudowaną usługą MCP, do której odwołujesz się za pomocą jej nazwy w Unity Catalog. Aby udzielić dostępu agentowi, przyznaj EXECUTE usłudze (na przykład system.ai.github) — nie jest wymagana żadna konfiguracja połączenia. Wbudowane usługi są dostarczane z narzędziami zarządzanymi przez platformę i wbudowanymi zasadami usług, takimi jak te, które blokują operacje zapisu. Zarządzasz nimi za pomocą uprawnień, a nie za pomocą niestandardowego wyboru narzędzi ani funkcji zasad.
| Usługa MCP | Nawiązuje połączenie z |
|---|---|
system.ai.slack |
Slack |
system.ai.github |
GitHub |
system.ai.atlassian |
Jira i Confluence |
system.ai.google_drive |
Dysk Google |
system.ai.google_calendar |
Kalendarz Google |
system.ai.gmail |
Gmail |
system.ai.sharepoint |
Microsoft SharePoint |
W przypadku Google Drive, Gmaila, Kalendarza Google lub SharePoint, te wbudowane usługi obsługują OAuth bez konieczności rejestracji aplikacji.
Uwierzytelnianie i zabezpieczenia
Azure Databricks używa zarządzanych serwerów proxy MCP oraz połączeń HTTP usługi Unity Catalog, aby bezpiecznie obsługiwać uwierzytelnianie do zewnętrznych serwerów MCP.
- Uwierzytelnianie za pomocą współdzielonego podmiotu: wszyscy użytkownicy współdzielą te same poświadczenia przy dostępie do usługi zewnętrznej. Obejmuje to token typu Bearer, protokół OAuth Machine-to-Machine (M2M) i współdzielone uwierzytelnianie OAuth od użytkownika do maszyny. Użyj tej opcji, gdy usługa zewnętrzna nie wymaga dostępu specyficznego dla użytkownika lub gdy wystarczy pojedyncze konto usługi.
- Uwierzytelnianie poszczególnych użytkowników (OAuth U2M Per User): każdy użytkownik uwierzytelnia się za pomocą własnych poświadczeń. Usługa zewnętrzna odbiera żądania w imieniu pojedynczego użytkownika, umożliwiając kontrolę dostępu specyficzną dla użytkownika, inspekcję i odpowiedzialność. Użyj tej funkcji podczas uzyskiwania dostępu do zasobów specyficznych dla użytkownika, takich jak repozytoria GitHub użytkownika, komunikaty usługi Slack lub kalendarz.
Azure Databricks obsługuje przepływy OAuth i odświeżanie tokenów, dzięki czemu użytkownicy końcowi nie widzą tokenów. Możesz przeglądać zewnętrzne połączenia MCP i zarządzać nimi obok punktów końcowych LLM z poziomu Unity AI Gateway. Aby uzyskać szczegółowe instrukcje dotyczące konfiguracji dla każdej metody uwierzytelniania, zobacz Połączenia HTTP.
Limitations
W wersji beta obowiązują następujące ograniczenia dotyczące usług MCP:
- Kod SQL DDL dla usług MCP (na przykład
CREATE MCP SERVICE) jest niedostępny. Tworzenie usług MCP i zarządzanie nimi za pomocą interfejsu użytkownika lub interfejsu API REST. - Możesz zarejestrować tylko zewnętrzne serwery MCP jako własną usługę MCP. Rejestrowanie źródeł jednostek Genie, Apps lub Unity Catalog jako usługa MCP nie jest obecnie obsługiwane. Azure Databricks udostępnia również wbudowane usługi MCP dla typowych aplikacji SaaS.
- Wybór narzędzi obsługuje wzorce prefiksowe (
get_*) i wzorce dokładnego dopasowania. Wzorce wykluczeń (na przykład!delete_*) nie są obsługiwane. - Wyszukiwanie globalne w Unity Catalog nie wyświetla usług MCP.
Zewnętrzne połączenia z serwerem MCP mają również następujące ograniczenia:
- Zewnętrzne serwery MCP są dostępne tylko w regionach, w których obsługiwana jest obsługa modelu, w tym w środowisku AI Playground, Genie Code i Chat in Genie. Zobacz Dostępność funkcji obsługujących model.
Następne kroki
- Zarejestruj zewnętrzny serwer MCP w celu zarejestrowania i wywołania zewnętrznego serwera MCP.
- Zarządzaj usługą MCP, aby ograniczać narzędzia i stosować zasady usługi.
- Użyj serwerów MCP w agentach , aby programowo wywołać usługę MCP z kodu agenta.
- Połącz agentów MCPs z asystentami sztucznej inteligencji i agentami kodowania, aby połączyć agentów kodowania i asystentów sztucznej inteligencji.
- Nadzór nad AI z Unity AI Gateway umożliwiający zarządzanie serwerami MCP i punktami końcowymi LLM z jednego centralnego miejsca.