Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Important
Deze functie bevindt zich in de bètaversie. Accountbeheerders kunnen de toegang tot deze functie beheren via de pagina Previews van de accountconsole. Zie Azure Databricks previews beheren.
Een MCP-service is een Unity Catalog beveiligbaar die een externe MCP-server registreert en bepaalt hoe agents deze gebruiken. U kunt deze adresseren met de naam catalog.schema.mcp_servicevan drie niveaus en deze aanroepen via Unity AI Gateway, het besturingsvlak voor het beheren van AI-verkeer.
Het registreren van een MCP-server als een Unity Catalog beveiligbaar betekent dat u deze beheert met dezelfde primitieven die uw andere Unity Catalog-assets beschermen. Deze omvatten subsidies om te bepalen wie het kan aanroepen, selectie van hulpprogramma's om te beperken welke hulpprogramma's worden weergegeven, servicebeleid om afzonderlijke hulpprogramma-aanroepen toe te staan of te weigeren, en audit- en gebruikslogboekregistratie om elke aanroep bij te houden.
Er zijn twee manieren om MCP-services te gebruiken:
| Approach | Wanneer gebruiken |
|---|---|
| Een door Databricks geleverde MCP-service gebruiken | U wilt een algemeen SaaS-hulpprogramma (Software as a Service), Slack, GitHub, Google Drive en meer, met nul installatie. Geen server om te hosten en geen verbinding om te maken. |
| Uw eigen externe MCP-server registreren | U hebt een zelfgehoste MCP-server of een MCP-server van derden die u als een beveiligbaar object in Unity Catalog kunt beheren. |
MCP Services verbindt agents met externe services. Gebruik voor Azure Databricks gegevens beheerde MCP-servers; als host voor uw eigen hulpprogramma's een aangepaste MCP-server.
Tip
Voor een volledig werkvoorbeeld: registreer de GitHub MCP-server, beperk de hulpprogramma's, blokkeer destructieve aanroepen met een servicebeleid en controleer het gebruik. Volg de zelfstudie: Beheer de GitHub MCP-toegang van een coderingsagent.
Hoe werkt het?
Een agent roept een MCP-service aan door de URL van de Unity AI Gateway en elke aanroep loopt via hetzelfde beheerde pad:
- Aanroepen: de agent verzendt een MCP-aanvraag naar de URL van de Unity AI Gateway van de service, geverifieerd met de Azure Databricks identiteit van de beller.
-
Autoriseren en beheren: de gateway controleert of de beller de MCP-service in Unity Catalog heeft
EXECUTE. De service stelt alleen de hulpmiddelen beschikbaar die u hebt geselecteerd en evalueert het gekoppelde servicebeleid, dat de oproep kan toestaan, weigeren, goedkeuring ervoor kan vereisen of kan wijzigen. - Proxy met beheerde referenties: de aanvraag wordt doorgestuurd naar de externe MCP-server via de HTTP-verbinding van de service. Azure Databricks slaat de inloggegevens op en handelt OAuth-processen en tokenvernieuwing af, zodat de agent ze nooit ziet.
- Logboekgebruik, controle en traceringen: elke aanroep wordt vastgelegd in systeemtabellen, zodat u gebruiks- en controleactiviteiten in de loop van de tijd kunt controleren .
Requirements
- Een werkruimte waarvoor Unity Catalog is ingeschakeld.
- Als u een externe MCP-server wilt beheren als een MCP-service, zijn de Unity AI Gateway Beta en de preview-versie van beheerde MCP-servers ingeschakeld voor uw account. Zie Azure Databricks previews beheren.
- Een werkruimte in een regio waarin Model Serving wordt ondersteund. Bekijk de beschikbaarheid van modelbedieningsfuncties.
Door Databricks geleverde MCP-services
Azure Databricks biedt kant-en-klare MCP-services in het system.ai schema voor algemene SaaS-toepassingen, zodat agents deze hulpprogramma's kunnen bereiken zonder uw eigen MCP-server te hosten of te registreren. Elke service is een ingebouwde MCP-service die u benadert via de Unity Catalog-naam. Om een agent toegang te geven, verleent u EXECUTE voor de service (bijvoorbeeld system.ai.github): er is geen verbindingsconfiguratie nodig. Ingebouwde services worden geleverd met door het platform beheerde hulpprogramma's en een ingebouwd servicebeleid, zoals een servicebeleid om schrijfbewerkingen te blokkeren. U bepaalt deze met subsidies in plaats van met aangepaste hulpprogrammaselectie- of beleidsfuncties.
| MCP-service | Verbinding maken met |
|---|---|
system.ai.slack |
Slack |
system.ai.github |
GitHub |
system.ai.atlassian |
Jira en Confluence |
system.ai.google_drive |
Google Drive |
system.ai.google_calendar |
Google Agenda |
system.ai.gmail |
Gmail |
system.ai.sharepoint |
Microsoft SharePoint |
Voor Google Drive, Gmail, Google Agenda of SharePoint verwerken deze ingebouwde services OAuth voor u, zonder dat hiervoor app-registratie is vereist.
Een externe MCP-server registreren
Registreer in vijf stappen uw eigen externe MCP-server als een MCP-service:
- Maak een Unity Catalog-verbinding met de MCP-server.
- Maak de MCP-service op basis van die verbinding.
- Verifieer, als de verbinding OAuth per gebruiker gebruikt.
- Verken uw teamleden toegang.
- Roep de service aan en beheer deze vervolgens met hulpprogrammaselectie en servicebeleid.
De externe MCP-server moet gebruikmaken van het Streamable HTTP-transportmechanisme. U hebt deze machtigingen nodig:
- Om de verbinding te maken,
CREATE CONNECTIONin het schema waarin u deze maakt. - Om een MCP Service te maken,
USE CATALOGenUSE SCHEMAop de bovenliggende catalogus en het schema,CREATE SERVICEop het schema enUSE CONNECTIONop de verbinding waarnaar de MCP Service verwijst. - Om een MCP-service te roepen,
EXECUTEop de MCP-service,USE CATALOGenUSE SCHEMAop de bovenliggende catalogus en het schema, en toewijzing aan de werkruimte waarin u het verzoek indient.
Warning
Het aanroepen van een MCP-service vereist geen machtigingen voor de onderliggende verbinding—EXECUTEmachtigingen voor de MCP-service zijn voldoende. Niet verlenen USE CONNECTION aan eindgebruikers: hiermee kunnen ze de externe server rechtstreeks via de verbinding aanroepen of hun eigen MCP-service erop registreren, de selectie van hulpprogramma's, servicebeleidsregels en controle van uw MCP-service omzeilen. Verbindingstoegang reserveren voor serviceauteurs en beheerders.
Een verbinding maken
Een MCP-service verwijst naar een UNITY Catalog HTTP-verbinding waarmee het eindpunt en de referenties van de externe server veilig worden opgeslagen. Azure Databricks gebruikt hiervoor een beheerde proxy om authenticatie en het vernieuwen van tokens af te handelen, zodat u geen aanmeldingsgegevens in uw agent- of clientcode hoeft op te nemen.
Maak de verbinding op schemaniveau , zodat deze wordt beheerd naast de MCP-service. U kunt deze vooraf instellen met de onderstaande stappen of een maken terwijl u de MCP-service maakt door op Nieuwe verbinding maken te klikken. Verbindingen op metastore-niveau worden ondersteund, maar worden niet aanbevolen.
Kies een van de volgende twee manieren:
Een HTTP-verbinding maken
Voor elke MCP-server, inclusief zelfgehoste servers of servers van derden:
- Ga naar Catalogusverbindingen>>Verbinding maken.
- Selecteer HTTP als verbindingstype.
- Voer de URL van de MCP-server in.
- Kies een verificatietype: bearer-token, OAuth M2M, OAuth U2M of dynamische clientregistratie. Zie Een verbinding met de externe service maken voor meer informatie over de installatie.
Voor beheerde OAuth-providers(Glean, GitHub, Atlassian en Slack) beheert Azure Databricks de referenties, zodat u uw eigen OAuth-app niet registreert. Zie Beheerde OAuth-providers.
Installeren vanuit Marketplace
Gebruik een gecureerde MCP-server van Azure Databricks Marketplace met een vooraf geconfigureerde verbinding. Zie Toegang krijgen tot externe MCP-servers.
De MCP-service maken
U kunt een MCP-service maken vanuit de gebruikersinterface of met de REST API. De bètaversie biedt geen ondersteuning voor SQL DDL voor MCP Services.
UI (Gebruikersinterface)
- Ga in uw Azure Databricks-werkruimte naar AI Gateway>MCP's>MCP-server registreren, of ga naar Catalog, selecteer een schema en klik op Create>MCP Service.
- Voer de catalogus, het schema en een naam in voor de MCP-service. De naam kan niet worden gewijzigd na het maken.
- Selecteer een bestaande HTTP-verbinding met de MCP-server of klik op Nieuwe verbinding maken om er een te maken. Blader onder een schema om een verbinding op schemaniveau te selecteren; als u een verbinding op metastoreniveau wilt gebruiken, schakelt u Bladeren onder een schema uit.
- Selecteer onder Extra welke hulpprogramma's u beschikbaar wilt maken. Zie Selecteren welke hulpprogramma's beschikbaar zijn.
- Voeg eventueel een opmerking toe waarin de MCP-service wordt beschreven.
- Klik op Create. De MCP-service wordt gepubliceerd in de catalogus en het schema dat u hebt opgegeven.
REST API
Maak een MCP-service die verwijst naar een bestaande Unity Catalog HTTP-verbinding. Instellen parent op het doelschema en mcp_service_id op de servicenaam:
databricks api post \
"/api/2.1/unity-catalog/mcp-services?parent=schemas/main.default&mcp_service_id=my_mcp" \
--json '{
"comment": "External MCP server",
"config": {
"connection": {
"name": "connections/main.default.my_connection"
},
"include_tool_selectors": []
}
}'
include_tool_selectors bepaalt welke hulpprogramma's de service beschikbaar maakt. Een lege lijst maakt alle hulpprogramma's zichtbaar. Zie Selecteren welke hulpprogramma's beschikbaar zijn.
Werk een bestaande MCP-service bij met een PATCH-verzoek en een update_mask waarin de te wijzigen velden worden opgegeven:
databricks api patch \
"/api/2.1/unity-catalog/mcp-services/main.default.my_mcp?update_mask=comment" \
--json '{ "comment": "Updated description" }'
Authenticate
Als de MCP-service verwijst naar een verbinding die OAuth per gebruiker gebruikt, voert u een eenmalige aanmelding uit vóór de eerste aanroep:
- Open de detailpagina van de MCP-service in Catalog Explorer.
- Klik op Aanmelden en voltooi de OAuth-toestemmingsstroom van de provider.
- Nadat u zich hebt aangemeld, wordt op de detailpagina automatisch de lijst met gedetecteerde hulpprogramma's weergegeven.
In Unity Catalog wordt het token opgeslagen op basis van uw identiteit. Als u de MCP-service aanroept voordat u zich aanmeldt, retourneert AI Gateway een fout waarin u wordt gevraagd u te verifiëren.
Toegang verlenen aan teamleden
Standaard kan alleen de eigenaar van de MCP-service deze aanroepen. Verleen EXECUTE zodat andere gebruikers, groepen of service-principals de service kunnen aanroepen. Eén EXECUTE subsidie omvat alle hulpprogramma's van de service.
UI (Gebruikersinterface)
- Open de MCP-service in de Catalog Explorer, of ga naar AI Gateway>MCPs en selecteer de service.
- Ga naar het tabblad Machtigingen .
- Klik op Toestaan.
- Selecteer de gebruikers, groepen of service-principals om toegang te verlenen.
- Selecteer de execute-bevoegdheid .
- Klik op Toestaan.
REST API
databricks api patch \
"/api/2.1/unity-catalog/permissions/mcp_service/main.default.my_mcp" \
--json '{
"changes": [
{ "principal": "data-team", "add": ["EXECUTE"] }
]
}'
Een MCP-service aanroepen
Probeer een MCP-service in AI Playground, via de opdrachtregel of via uw agent of clientcode.
De MCP-service testen
AI-speeltuin
Test de hulpprogramma's van een MCP-service in de gebruikersinterface zonder code te schrijven:
- Ga naar AI Playground in uw Azure Databricks werkruimte.
- Selecteer een model met het label Hulpprogramma's ingeschakeld .
- Klik op Hulpprogramma's > + hulpprogramma toevoegen en selecteer MCP-servers.
- Selecteer externe MCP-servers en selecteer vervolgens de MCP-service.
- Chat met het model om te zien hoe het de hulpprogramma's van de MCP-service aanroept.
U kunt ook testen vanuit Genie Code . Zie MCP-servers toevoegen aan de assistent.
CURL
Gebruik de gegenereerde aanvraag op de detailpagina van de MCP-service voor een snelle opdrachtregelcontrole. Klik in Aan de slag op Toegangstoken genereren om een toegangstoken naar de aanvraagvoorbeelden te kopiëren. De voorbeelden geven het token door als bearer-token in de Authorization header.
U kunt de Databricks CLI ook verifiëren bij uw werkruimte en vervolgens gebruiken databricks auth token om een OAuth-toegangstoken op te halen:
databricks auth login --host https://<workspace-url>
Alle aanvragen gaan naar hetzelfde MCP-service-eindpunt. De JSON-RPC method in de hoofdtekst van de aanvraag selecteert de bewerking. Geef de hulpprogramma's weer die de service beschikbaar maakt:
TOKEN=$(databricks auth token | jq -r .access_token)
curl -s -X POST \
"https://<workspace-url>/ai-gateway/mcp-services/main.default.my_mcp" \
-H "Authorization: Bearer $TOKEN" \
-H "Accept: application/json, text/event-stream" \
-H "Content-Type: application/json" \
-d '{"jsonrpc":"2.0","id":1,"method":"tools/list","params":{}}'
Een hulpprogramma aanroepen:
curl -s -X POST \
"https://<workspace-url>/ai-gateway/mcp-services/main.default.my_mcp" \
-H "Authorization: Bearer $TOKEN" \
-H "Accept: application/json, text/event-stream" \
-H "Content-Type: application/json" \
-d '{"jsonrpc":"2.0","id":2,"method":"tools/call","params":{"name":"<tool_name>","arguments":{}}}'
Te gebruiken vanuit agentcode of een codeeragent
- Agentcode (OpenAI Agents SDK, LangGraph of Model Serving): zie MCP-servers gebruiken in agents.
- AI-assistenten en coderingsagenten (Claude, Claude Code, Cursor): zie MCPs verbinden met AI-assistenten en coderingsagenten.
Een MCP-service beheren
Selecteer welke hulpprogramma's zichtbaar zijn
Standaard maakt een MCP-service alle hulpprogramma's beschikbaar die de MCP-server biedt. Als u alleen een subset beschikbaar wilt maken, selecteert u de hulpprogramma's wanneer u de MCP-service maakt of werkt u de selectie later bij. Elke selector wordt vergeleken met namen van hulpprogramma's: een patroon dat eindigt op * is een voorvoegselovereenkomst (get_* komt overeen met get_me en get_issue), en elke andere waarde is een exacte overeenkomst (search_repositories komt alleen overeen met dat hulpprogramma).
UI (Gebruikersinterface)
In de maakstroom, onder Tools:
- Selecteer Handmatig selecteren om elk hulpmiddel afzonderlijk te selecteren.
- Selecteer Geavanceerd om selectiepatronen in te voeren met behulp van het voorvoegsel en de exacte overeenkomstregels die hierboven worden beschreven.
- Schakel automatisch hulpprogramma's in die in de toekomst aan deze server zijn toegevoegd om nieuwe hulpprogramma's beschikbaar te maken wanneer de MCP-server deze toevoegt.
REST API
Als u de toolselectie wilt wijzigen nadat deze is gemaakt, stelt u include_tool_selectors in met een PATCH-verzoek. Een service beperken tot alleen get_* hulpprogramma's:
databricks api patch \
"/api/2.1/unity-catalog/mcp-services/main.default.my_mcp?update_mask=config.include_tool_selectors" \
--json '{
"config": {
"include_tool_selectors": ["get_*"]
}
}'
Stel opnieuw in door include_tool_selectors in te stellen op een lege lijst, zodat alle hulpmiddelen beschikbaar worden.
Hulpprogramma's die u niet selecteert, worden niet weergegeven in tools/listen de MCP-service weigert een tools/call voor een niet-geselecteerd hulpprogramma:
{ "code": -32003, "message": "Tool not allowed by MCP service configuration." }
Een servicebeleid toepassen
Een servicebeleid evalueert elke aanroep voordat het wordt uitgevoerd (ON CALL) en, optioneel, het resultaat (ON RESULT). Een beleid kan toestaan, weigeren, menselijke goedkeuring vereisen of de aanvraag transformeren, bijvoorbeeld om destructieve bewerkingen of piI te blokkeren, zonder te wijzigen welke hulpprogramma's beschikbaar zijn. Servicebeleid maakt deel uit van AI-governance in Unity Catalog.
Als u een beleidsfunctie wilt schrijven en deze wilt koppelen aan een MCP-service, raadpleegt u Servicebeleid voor AI-beveiligbare gegevens en maakt en koppelt u een servicebeleid.
Frequentielimieten instellen
Beperk hoe vaak agents een MCP-service kunnen aanroepen om de kosten te beheren en de externe server te beveiligen. Zie Frequentielimieten configureren voor AI-services met behulp van Unity AI Gateway.
Gebruik bewaken
Unity AI Gateway registreert activiteit voor elke MCP-service in Unity Catalog-systeemtabellen:
-
Gebruik: oproepvolume, fouten en latentie in
system.ai_gateway.usage(filterservice_type = 'MCP_SERVICE'). Zie Modelgebruik voor Unity AI Gateway-services. -
Auditlogboek: wijzigingen in de control plane (
createMcpService,updateMcpService,deleteMcpService) en elke aanroep (mcpCall) insystem.access.audit. Zie auditsysteemlogtabel referentie. - Traceringen: aanvragen, antwoorden en beleidsbeslissingen voor hulpprogramma's worden vastgelegd door traceringslogboeken, die eenmaal zijn ingeschakeld op accountniveau en worden gedeeld in alle MCP-services.
- Dashboard: extern MCP-serververkeer wordt weergegeven in het ingebouwde gebruiksdashboard van Unity AI Gateway. Zie het ingebouwde gebruiksdashboard.
Zie Referentie voor systeemtabellen voor alle Unity Catalog-systeemtabellen. Zie AI-governance in Unity Catalog voor een overzicht van het beheren van AI-verkeer.
Verificatie en beveiliging
Azure Databricks beheerde MCP-proxy's en HTTP-verbindingen van Unity Catalog gebruikt om verificatie veilig te verwerken voor externe MCP-servers.
- Gedeelde principalverificatie: alle gebruikers delen dezelfde referenties bij het openen van de externe service. Dit omvat Bearer-token, OAuth Machine-to-Machine (M2M) en OAuth User-to-Machine gedeelde authenticatie. Gebruik deze optie wanneer voor de externe service geen gebruikersspecifieke toegang is vereist of wanneer één serviceaccount voldoende is.
- Verificatie per gebruiker (OAuth U2M Per gebruiker):elke gebruiker wordt geverifieerd met hun eigen referenties. De externe service ontvangt aanvragen namens de afzonderlijke gebruiker, waardoor gebruikersspecifiek toegangsbeheer, controle en verantwoordelijkheid mogelijk zijn. Gebruik deze optie bij het openen van gebruikersspecifieke resources, zoals de GitHub opslagplaatsen van een gebruiker, Slack-berichten of agenda.
Azure Databricks verwerkt OAuth-stromen en tokenvernieuwing, zodat eindgebruikers geen tokens zien. U bekijkt en beheert uw externe MCP-verbindingen naast uw LLM-eindpunten vanuit Unity AI Gateway. Zie HTTP-verbindingen voor gedetailleerde configuratie-instructies voor elke verificatiemethode.
Limitations
Tijdens de bètaversie gelden de volgende beperkingen voor MCP-services:
- SQL DDL voor MCP-services (bijvoorbeeld
CREATE MCP SERVICE) is niet beschikbaar. Maak en beheer MCP-services met de gebruikersinterface of de REST API. - U kunt alleen externe MCP-servers registreren als uw eigen MCP-service. Het registreren van genie-, apps- of Unity Catalog-entiteitsbronnen als een MCP-service wordt momenteel niet ondersteund. Azure Databricks biedt ook ingebouwde MCP-services voor algemene SaaS-apps.
- Het selecteren van hulpprogramma's ondersteunt prefixpatronen (
get_*) en exacte-matchpatronen. Uitsluitingspatronen (bijvoorbeeld!delete_*) worden niet ondersteund. - Global Search in Unity Catalog biedt geen MCP-services.
Externe MCP-serververbindingen hebben ook de volgende beperkingen:
- Externe MCP-servers zijn alleen beschikbaar in regio's waar Model Serving wordt ondersteund, waaronder gebruik in AI Playground, Genie Code en Chat in Genie. Bekijk de beschikbaarheid van modelbedieningsfuncties.
Volgende stappen
- Gebruik MCP-servers in agents om programmatisch een MCP-service aan te roepen vanuit agentcode.
- Verbind MCP's met AI-assistenten en coderingsagenten om coderingsagenten en AI-assistenten te verbinden.
- AI-governance met Unity AI Gateway om MCP-servers en LLM-eindpunten te beheren vanaf een centrale locatie.