Управление подключениями в Partner Connect

Вы можете выполнять административные задачи с помощью подключений рабочей области Azure Databricks к партнерским решениям, например:

• Управление пользователями учетных записей партнеров.
• Управление субъектом-службой Azure Databricks и связанным личным маркером доступа Azure Databricks, который используется соединением.
• Отключение рабочей области от партнера.

Чтобы администрировать Partner Connect, необходимо войти в рабочую область в качестве администратора рабочей области. Дополнительные сведения см. в разделе "Управление пользователями".

Управление пользователями учетной записи партнера

Для партнеров, которые позволяют пользователям использовать Partner Connect для входа в учетную запись или веб-сайт партнера (например, Fivetran и Rivery), когда кто-то в вашей организации подключается из одной из рабочих областей Azure Databricks к партнеру впервые, этот пользователь становится администратором учетной записи партнера для этого партнера во всех рабочих областях вашей организации. Чтобы разрешить другим пользователям в вашей организации входить в учетную запись этого партнера, администратор учетной записи партнера должен сначала добавить этих пользователей в учетную запись партнера вашей организации. Некоторые партнеры также позволяют администратору учетной записи партнера делегировать это разрешение. Подробные сведения см. в документации на веб-сайте партнера.

Если никто не может добавить пользователей в учетную запись партнера вашей организации (например, администратор учетной записи партнера больше не доступен), обратитесь за помощью к партнеру. Ссылки на поддержку см. в списке партнеров Azure Databricks Partner Connect.

Подключение данных, управляемых каталогом Unity, к партнерским решениям

Если рабочая область включена в каталоге Unity, вы можете подключить партнерские решения к данным, управляемым каталогом Unity. При создании подключения с помощью Partner Connect можно выбрать, использует ли партнер устаревшее хранилище метаданных Hive (hive_metastore) или другой каталог, принадлежащий вам. Администраторы хранилища метаданных могут выбрать любой каталог в хранилище метаданных, назначенном рабочей области.

Примечание.

Если партнерское решение не поддерживает каталог Unity с помощью Partner Connect, можно использовать только каталог рабочей области по умолчанию. Если каталог по умолчанию не hive_metastore является и вы не владеете каталогом по умолчанию, вы получите сообщение об ошибке.

Список партнеров, поддерживающих каталог Unity с помощью Partner Connect, см. в списке партнеров Azure Databricks Partner Connect.

Сведения об устранении неполадок с подключениями см. в разделе "Устранение неполадок с партнером Connect".

Управление субъектами-службами и личными маркерами доступа

Если партнеры требуют субъекты-службы Azure Databricks, то когда кто-то в вашей рабочей области Azure Databricks впервые подключается к определенному партнеру, Partner Connect создает субъект-службу Azure Databricks в рабочей области для использования с этим партнером. Partner Connect создает отображаемые имена субъекта-службы с использованием формата <PARTNER-NAME>_USER. Например, для партнера Fivetran отображаемое имя субъекта-службы — FIVETRAN_USER.

Partner Connect также создает личный маркер доступа Azure Databricks и связывает его с этим субъектом-службой Azure Databricks. Partner Connect предоставляет партнеру значение этого маркера в фоновом режиме для выполнения подключения к этому партнеру. Вы не можете увидеть или получить значение этого маркера. Срок действия этого маркера не истекает до тех пор, пока вы или кто-нибудь другой не удалит его. См. также раздел Отключение от партнера.

Partner Connect предоставляет следующие права доступа к субъектам-службам Azure Databricks в вашей рабочей области:

Участники	Разрешения
Fivetran, Matillion, Power BI, Tableau, erwin Data Modeler, точно Data Integrity Suite	Для этих решений не требуются субъекты-службы Azure Databricks.
dbt Cloud, Hevo Data, Rivery, Rudderstack, Snowplow	— Разрешение на использование токена CAN для создания личного маркера доступа. — разрешение на создание хранилища SQL. — Доступ к рабочей области. — Доступ к Databricks SQL. — (каталог Unity) Привилегия USE CATALOG выбранного каталога. — (каталог Unity) Привилегия CREATE SCHEMA выбранного каталога. — (Устаревшее хранилище метаданных Hive) USAGE — привилегия каталога hive_metastore . - (Устаревшее хранилище метаданных Hive) CREATE Привилегия каталога hive_metastore , чтобы Partner Connect могли создавать объекты в устаревшем хранилище метаданных Hive от вашего имени. — владение создаваемыми таблицами. Субъект-служба не может запрашивать какие-либо таблицы, которые он не создает.
Prophecy	— Разрешение на использование токена CAN для создания личного маркера доступа. — Доступ к рабочей области. — Разрешение на создание кластера. Субъект-служба не может получить доступ к кластерам, которые он не создает. — разрешение на создание задания. Субъект-служба не может получить доступ к любым заданиям, которые он не создает.
Джон Snow Labs, Labelbox	— Разрешение на использование токена CAN для создания личного маркера доступа. — Доступ к рабочей области.
Anomalo, AtScale, Перепись, Гекс, Hightouch, Lightup, Монте-Карло, предустановка, Приватера, Qlik Sense, Sigma, Stardog	— Разрешение на использование токена CAN для создания личного маркера доступа. — Привилегия CAN USE в выбранном хранилище Databricks SQL. — привилегия SELECT выбранной схемы. — (каталог Unity) Привилегия USE CATALOG выбранного каталога. — (каталог Unity) USE SCHEMA Привилегия выбранной схемы. — (Устаревшее хранилище метаданных Hive) USAGE — привилегия выбранной схемы. — (Устаревшее хранилище метаданных Hive) READ METADATA — привилегия выбранной схемы.
Dataiku	— Разрешение на использование токена CAN для создания личного маркера доступа. — разрешение на создание хранилища SQL. — (каталог Unity) Привилегия USE CATALOG выбранного каталога. — (каталог Unity) USE SCHEMA Привилегия для выбранных схем. — (каталог Unity) Привилегия CREATE SCHEMA выбранного каталога. — (Устаревшее хранилище метаданных Hive) USAGE Привилегия каталога hive_metastore и выбранных схем. - (Устаревшее хранилище метаданных Hive) CREATE Привилегия каталога hive_metastore , чтобы Partner Connect могли создавать объекты в устаревшем хранилище метаданных Hive от вашего имени. - (Устаревшее хранилище метаданных Hive) SELECT Привилегия для выбранных схем.
SuperAnnotate	— Разрешение на использование токена CAN для создания личного маркера доступа. — Привилегия CAN USE в выбранном хранилище Databricks SQL. — привилегия SELECT для выбранных схем. — (каталог Unity) ПривилегияUSE CATALOG выбранного каталога. — (каталог Unity) USE SCHEMA Привилегия для выбранных схем. — (Устаревшее хранилище метаданных Hive) USAGE Привилегия каталога hive_metastore и выбранных схем. - (Устаревшее хранилище метаданных Hive) SELECT Привилегия для выбранных схем.
Informatica Cloud Интеграция данных	— Разрешение на использование токена CAN для создания личного маркера доступа. — Привилегия CAN MANAGE в выбранном хранилище Databricks SQL. — и USAGE привилегии CREATE для объектов данных. — (каталог Unity) ПривилегияUSE CATALOG выбранного каталога. — (каталог Unity) USE SCHEMA Привилегия для выбранных схем. — (Устаревшее хранилище метаданных Hive) — USAGE и CREATE привилегии каталога hive_metastore и выбранных схем. - (Устаревшее хранилище метаданных Hive) SELECT Привилегия для выбранных схем.

Отключение от партнера

Если на плитке партнера имеется значок галочки, это означает, что кто-то в вашей рабочей области Azure Databricks уже создал подключение к этому партнеру. Чтобы отключиться от этого партнера, необходимо сбросить его плитку в Partner Connect. При сбросе плитки партнера происходит следующее.

• Удаляется значок галочки с плитки партнера.
• Удаляется связанный кластер или хранилище SQL, если партнеру они требовались.
• Удаляется связанный субъект-службы Azure Databricks, если партнеру он требовался. При удалении субъекта-службы также удаляется личный маркер доступа, связанный с субъектом-службой Azure Databricks. Значение этого маркера используется при выполнении подключения между вашей рабочей областью и партнером. Дополнительные сведения см. в разделе Управление субъектами-службами и личными маркерами доступа.

Предупреждение

Удаление хранилища SQL, кластера, субъекта-службы Azure Databricks или личного маркера доступа субъекта-службы Azure Databricks является окончательным и не может быть отменено.

Сброс плитки партнера не приводит к удалению связанной с вашей организацией учетной записи партнера и не изменяет соответствующие параметры подключения к партнеру. Однако сброс плитки партнера приводит к разрыву подключения между рабочей областью и соответствующей учетной записью партнера. Для повторного подключения необходимо создать новое подключение из рабочей области к партнеру, а затем вручную изменить исходные параметры подключения в связанной учетной записи партнера, чтобы они соответствовали новым параметрам подключения.

Чтобы сбросить плитку партнера, щелкните плитку, выберите Удалить подключение, а затем следуйте инструкциям на экране.

Кроме того, вы можете вручную отключить рабочую область Azure Databricks от партнера, удалив связанный субъект-службу Azure Databricks в рабочей области, связанной с этим партнером. Это может потребоваться, если вы хотите отключить рабочую область от партнера, но сохранить другие связанные ресурсы, а также сохранить значок галочки на плитке. При удалении субъекта-службы также удаляется личный маркер доступа, связанный с субъектом-службой. Значение этого маркера используется при выполнении подключения между вашей рабочей областью и партнером. Дополнительные сведения см. в разделе Управление субъектами-службами и личными маркерами доступа.

Чтобы удалить субъект-службу Azure Databricks, используйте REST API Databricks следующим образом.

1. Получите идентификатор приложения субъекта-службы Azure Databricks, вызвав GET /preview/scim/v2/ServicePrincipals операцию в API субъектов-служб рабочей области для рабочей области. Запишите applicationId субъекта-службы, полученный в ответе.
2. Используйте субъект-службу applicationId для вызова DELETE /preview/scim/v2/ServicePrincipals операции в API субъектов-служб рабочей области для рабочей области.

Например, чтобы получить список доступных отображаемых имен субъектов-служб и идентификаторов приложений для рабочей области, можно вызвать curl следующим образом.

curl --netrc --request GET \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals \
| jq '[ .Resources[] | { displayName: .displayName, applicationId: .applicationId } ]'

Измените <databricks-instance> на URL-адрес рабочей области Azure Databricks, например, на adb-1234567890123456.7.azuredatabricks.net для вашей рабочей области.

Отображаемое имя субъекта-службы находится в поле displayName выходных данных. Partner Connect создает отображаемые имена субъекта-службы, используя формат <PARTNER-NAME>_USER. Например, для партнера Fivetran отображаемое имя субъекта-службы — FIVETRAN_USER.

Значение идентификатора приложения субъекта-службы находится в поле applicationId выходных данных, например, 123456a7-8901-2b3c-45de-f678a901b2c.

Чтобы удалить субъект-службу, можно вызвать curl следующим образом.

curl --netrc --request DELETE \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals/<application-id>

Замена:

• <databricks-instance> на URL-адрес рабочей области, например, на adb-1234567890123456.7.azuredatabricks.net для вашей рабочей области;
• <application-id> на значение идентификатора приложения субъекта-службы.

В предыдущих примерах используется файл .netrc и jq. Обратите внимание, .netrc что в этом случае файл использует значение маркера личного доступа, а не значение субъекта-службы.

После отключения рабочей области от партнера может потребоваться очистить все связанные с ним ресурсы, создаваемые партнером в рабочей области. Это может включать хранилище SQL или кластер, а также все связанные места хранения данных. Дополнительные сведения см. в разделе "Подключение к хранилищу SQL" или "Удаление вычислительных ресурсов".

Если вы уверены, что в вашей организации нет других рабочих областей, подключенных к партнеру, то можете также захотеть удалить учетную запись вашей организации для этого партнера. Для этого обратитесь за помощью к партнеру. Ссылки на поддержку см. в соответствующем руководстве по подключению к партнеру.