Поделиться через

Управление подключениями в Partner Connect

  • Статья

Вы можете выполнять административные задачи с помощью подключений рабочей области Azure Databricks к партнерским решениям, например:

  • Управление пользователями учетных записей партнеров.
  • Управление учетной записью службы Azure Databricks и связанным личным токеном доступа Azure Databricks, используемого соединением.
  • Отключение рабочей области от партнера.

Чтобы администрировать Partner Connect, необходимо войти в рабочую область в качестве администратора рабочей области. Дополнительные сведения см. в разделе "Управление пользователями".

Управление пользователями учетной записи партнера

Для партнеров, которые позволяют пользователям использовать Partner Connect для входа в учетную запись или веб-сайт партнера (например, Fivetran и Rivery), когда кто-то в вашей организации подключается из одной из рабочих областей Azure Databricks к партнеру впервые, этот пользователь становится администратором учетной записи партнера для этого партнера во всех рабочих областях вашей организации. Чтобы разрешить другим пользователям в вашей организации входить в учетную запись этого партнера, администратор учетной записи партнера должен сначала добавить этих пользователей в учетную запись партнера вашей организации. Некоторые партнеры также позволяют администратору учетной записи партнера делегировать это разрешение. Подробные сведения см. в документации на веб-сайте партнера.

Если никто не может добавить пользователей в учетную запись партнера вашей организации (например, администратор учетной записи партнера больше не доступен), обратитесь за помощью к партнеру. Ссылки на поддержку см. в списке партнеров Azure Databricks Partner Connect.

Подключение данных, управляемых каталогом Unity, к партнерским решениям

Если рабочая область включена в каталоге Unity, вы можете подключить партнерские решения к данным, управляемым каталогом Unity. При создании подключения с помощью Partner Connect можно выбрать, использует ли партнер устаревшее хранилище метаданных Hive (hive_metastore) или другой каталог, принадлежащий вам. Администраторы хранилища метаданных могут выбрать любой каталог в хранилище метаданных, который назначен вашему рабочему пространству.

Примечание.

Если партнерское решение не поддерживает каталог Unity с помощью Partner Connect, можно использовать только каталог рабочей области по умолчанию. Если hive_metastore не является каталогом по умолчанию и вы не являетесь владельцем каталога по умолчанию, вы получите сообщение об ошибке.

Список партнеров, поддерживающих каталог Unity с помощью Partner Connect, см. в списке партнеров Azure Databricks Partner Connect.

Сведения об устранении неполадок с подключениями см. в разделе "Устранение неполадок с партнером Connect".

Управление учетными записями служб и личными токенами доступа

Если партнерам требуются служебные учетные записи Azure Databricks, то, когда кто-то в вашей рабочей области Azure Databricks впервые подключается к определенному партнеру, Partner Connect создает служебную учетную запись Azure Databricks в вашей рабочей области для использования с этим партнером. Partner Connect создает отображаемые имена служебных пользователей с использованием формата <PARTNER-NAME>_USER. Например, для партнера Fivetran отображаемое имя служебной учетной записи — FIVETRAN_USER.

Partner Connect также создает личный маркер доступа Azure Databricks и прикрепляет его к данной учетной записи службы Azure Databricks. Partner Connect предоставляет партнеру значение этого маркера в фоновом режиме для выполнения подключения к этому партнеру. Вы не можете увидеть или получить значение этого маркера. Срок действия этого маркера не истекает до тех пор, пока вы или кто-нибудь другой не удалит его. См. также раздел Отключение от партнера.

Partner Connect предоставляет следующие права доступа учетным записям служб Azure Databricks в вашей рабочей области.

Участники Разрешения
Fivetran, Matillion, Power BI, Tableau, erwin Data Modeler, Precisely Data Integrity Suite Для этих решений не требуются учетные записи служб Azure Databricks.
dbt Cloud, Hevo Data, Rivery, Rudderstack, Snowplow
  • разрешение CAN USE для создания персонального токена доступа.
  • Разрешение на создание хранилища SQL.
  • Доступ к рабочей области.
  • Доступ к Databricks SQL.
  • (Каталог Unity) Привилегия USE CATALOG в выбранном каталоге.
  • (Каталог Unity) Привилегия CREATE SCHEMA для выбранного каталога.
  • (Устаревшее хранилище метаданных Hive) Привилегия USAGE в каталоге hive_metastore.
  • (Устаревшее хранилище метаданных Hive) Привилегия CREATE в каталоге hive_metastore, которая позволяет Partner Connect создавать объекты в устаревшем хранилище метаданных Hive от вашего имени.
  • Владение создаваемыми таблицами. Сервисный принципал не может запрашивать таблицы, которые он сам не создает.
Пророчество
  • Разрешение на использование токена CAN USE для создания персонального токена доступа.
  • Доступ к рабочей области.
  • Разрешение на создание кластера. Субъект-служба не может получить доступ к кластерам, которые он не создает.
  • Разрешение на создание рабочих мест. Субъект-служба не может получить доступ к любым заданиям, которые он не создает.
Джон Сноу Лабс, Labelbox
  • Разрешение на использование токена CAN USE для создания персонального токена доступа.
  • Доступ к рабочей области.
Anomalo, AtScale, Census, Hex, Hightouch, Lightup, Монте-Карло, Preset, Privacera, Qlik Sense, Sigma, Stardog
  • Разрешение CAN USE токена для создания личного токена доступа.
  • Привилегия CAN USE в выбранном хранилище Databricks SQL.
  • Привилегия SELECT на выбранной схеме.
  • (Каталог Unity) Привилегия USE CATALOG на выбранный каталог.
  • (Каталог Unity) Привилегия USE SCHEMA для выбранной схемы.
  • (Устаревшее хранилище метаданных Hive) Привилегия USAGE на выбранную схему.
  • (Устаревшее хранилище метаданных Hive) Привилегия READ METADATA для выбранной схемы.
Dataiku
  • Разрешение CAN USE токена для создания персонального токена доступа.
  • Разрешение на создание хранилища SQL.
  • (Каталог Unity) Привилегия USE CATALOG выбранного каталога.
  • (Каталог Unity) Привилегия USE SCHEMA на выбранные схемы.
  • (Каталог Unity) Привилегия CREATE SCHEMA в выбранном каталоге.
  • (Устаревшее хранилище метаданных Hive) Привилегия USAGE в каталоге hive_metastore и на выбранных схемах.
  • (Устаревшее хранилище метаданных Hive) Привилегия CREATE в каталоге hive_metastore, чтобы Partner Connect мог создавать объекты в устаревшем хранилище метаданных Hive от вашего имени.
  • (Устаревшее хранилище метаданных Hive) Привилегия SELECT на выбранных схемах.
SuperAnnotate
  • Разрешение токена CAN USE для создания личного токена доступа.
  • Привилегия CAN USE в выбранном хранилище Databricks SQL.
  • привилегия SELECT на выбранных схемах.
  • (Каталог Unity) ПривилегияUSE CATALOG для выбранного каталога.
  • (Каталог Unity) Привилегия USE SCHEMA на выбранные схемы.
  • (Устаревшее хранилище метаданных Hive) Привилегия USAGE на каталог hive_metastore и на выбранные схемы.
  • (Устаревшее хранилище метаданных Hive) Привилегия SELECT на выбранные схемы.
Informatica Cloud Интеграция данных
  • Разрешение токена CAN USE для создания персонального токена доступа.
  • Привилегия CAN MANAGE в выбранном хранилище Databricks SQL.
  • Привилегии CREATE и USAGE для объектов данных.
  • (Каталог Unity) ПривилегияUSE CATALOG на выбранный каталог.
  • (Каталог Unity) Привилегия USE SCHEMA на выбранные схемы.
  • (Устаревшее хранилище метаданных Hive) Привилегии USAGE и CREATE в каталоге hive_metastore и выбранных схемах.
  • (Устаревшее хранилище метаданных Hive) Привилегия SELECT на выбранные схемы.

Отключение от партнера

Если на плитке партнера имеется значок галочки, это означает, что кто-то в вашей рабочей области Azure Databricks уже создал подключение к этому партнеру. Чтобы отключиться от этого партнера, необходимо сбросить его плитку в Partner Connect. При сбросе плитки вашего партнера происходит следующее.

  • Удаляется значок галочки с плитки партнера.
  • Удаляется связанный кластер или хранилище SQL, если партнеру они требовались.
  • Удаляет связанный субъект-службы Azure Databricks, если он требуется партнеру. При удалении субъекта-службы также удаляется личный маркер доступа, связанный с субъектом-службой Azure Databricks. Значение этого маркера завершает соединение между вашей рабочей областью и партнером. Дополнительные сведения см. в разделе Управление учетными записями служб и персональными токенами доступа.

Предупреждение

Удаление хранилища SQL, кластера, субъекта-службы Azure Databricks или личного маркера доступа субъекта-службы Azure Databricks является окончательным и не может быть отменено.

Сброс плитки партнера не приводит к удалению учетной записи партнера, связанной с вашей организацией, и не изменяет связанные с партнером настройки подключения. Однако сброс настроек плитки партнера разрывает соединение между рабочей областью и соответствующей учетной записью партнера. Для повторного подключения необходимо создать новое подключение из рабочей области к партнеру, а затем вручную изменить исходные параметры подключения в связанной учетной записи партнера, чтобы они соответствовали новым параметрам подключения.

Чтобы сбросить плитку партнера, щелкните плитку, выберите Удалить подключение, а затем следуйте инструкциям на экране.

Кроме того, вы можете вручную отключить рабочую область Azure Databricks от партнера, удалив связанную с этим партнером учетную запись службы Azure Databricks в вашей рабочей области. Это может потребоваться, если вы хотите отключить рабочую область от партнера, но сохранить другие связанные ресурсы, а также сохранить значок галочки на плитке. При удалении субъекта-службы также удаляется личный маркер доступа, связанный с субъектом-службой. Значение этого токена — то, что завершает соединение между вашей рабочей средой и партнером. Для получения дополнительной информации см. Управление учетными записями служб и личными токенами доступа.

Чтобы удалить основной объект службы Azure Databricks, используйте REST API Databricks следующим образом.

  1. Получите ID приложения для субъекта службы Azure Databricks, вызвав операцию GET /preview/scim/v2/ServicePrincipals в API субъектов служб рабочей области вашей рабочей области. Запишите applicationId субъекта-службы, полученный в ответе.
  2. Используйте учетную запись applicationId для вызова операции через API учетных записей служб рабочей области для вашей рабочей области.

Например, чтобы получить список доступных отображаемых имен субъектов-служб и идентификаторов приложений для рабочей области, можно вызвать curl следующим образом.

curl --netrc --request GET \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals \
| jq '[ .Resources[] | { displayName: .displayName, applicationId: .applicationId } ]'

Измените <databricks-instance> на URL-адрес рабочей области Azure Databricks, например, на adb-1234567890123456.7.azuredatabricks.net для вашей рабочей области.

Отображаемое имя служебного принципала находится в поле displayName выходных данных. Partner Connect создает отображаемые имена служебного принципала, используя формат <PARTNER-NAME>_USER. Например, для партнера Fivetran отображаемое имя основного элемента сервиса — FIVETRAN_USER.

Значение идентификатора приложения субъекта-службы находится в поле applicationId выходных данных, например, 123456a7-8901-2b3c-45de-f678a901b2c.

Чтобы удалить учетную запись службы, вызовите curl следующим образом.

curl --netrc --request DELETE \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals/<application-id>

Замена:

  • <databricks-instance> с URL-адресом рабочей области, например, adb-1234567890123456.7.azuredatabricks.net для вашей рабочей области.
  • <application-id> на значение идентификатора приложения субъекта-службы.

В предыдущих примерах используется файл .netrc и jq. Обратите внимание, что в этом случае файл использует ваш личный маркер доступаа не маркер служебного принципала.

После отключения рабочей области от партнера может потребоваться очистить все связанные с рабочей областью ресурсы, создаваемые партнером в ней. Это может включать хранилище SQL или кластер, а также все связанные места хранения данных. Дополнительные сведения см. в разделе "Подключение к хранилищу SQL" или "Удаление вычислительных ресурсов".

Если вы уверены, что в вашей организации нет других рабочих областей, подключенных к партнеру, то можете также захотеть удалить учетную запись вашей организации для этого партнера. Для этого обратитесь за помощью к партнеру. Ссылки на поддержку см. в соответствующем руководстве по подключению к партнеру.