Nutzen Sie Genie überall mit Enterprise OAuth

Einführung

Die Demokratisierung von Daten beginnt damit, Erkenntnisse einfach und sicher zugänglich zu machen. Mit Databricks Genie können Benutzer ihre Daten jetzt direkt aus den Tools abfragen, die sie bereits verwenden: Teams, Slack, Confluence oder benutzerdefinierte Web-Apps. Egal, ob Sie unsere nativen Copilot Studio-/Foundry -Integrationen verwenden oder mit den Genie Conversation- APIs/-SDK entwickeln, Genie kann jetzt Analytics in natürlicher Sprache in alltägliche Arbeitsabläufe integrieren. Im Hintergrund kann OAuth angewendet werden, um jeden Benutzer sicher zu authentifizieren und Datenzugriffsberechtigungen durchzusetzen.

Zuvor haben wir gesehen, wie Kunden wie The AA und Casas Bahia eigenständig ihre eigenen Genie-Integrationen in Microsoft Teams und interne Apps entwickelten. Unsere robuste Erweiterbarkeits-Suite macht diese Erfahrung nun einfacher, schneller und skalierbarer.

In diesem Blogbeitrag stellen wir Ihnen zwei gängige Methoden vor, um Genie mit unternehmensweitem OAuth in Ihrer Organisation einzuführen:

• Integrieren Sie Genie mit unserer Copilot-Studio-Integration in Microsoft Teams.
• Genie mit Genie Conversation APIs in Ihre benutzerdefinierten Web-Apps einbetten

Genie in Microsoft Teams einbinden

Ad-hoc-Datenfragen tauchen bei Gruppengesprächen ständig auf. Mit der nativen Copilot Studio-Integration von Databricks Genie können Ihre Benutzer jetzt direkt in Microsoft Teams Antworten erhalten, sobald Fragen aufkommen. Um diese Integration zu nutzen, führen Sie die folgenden Schritte aus:

Voraussetzungen

• Stellen Sie sicher, dass Sie über einen Ziel-Genie-Space verfügen, der gemäß unseren Best Practices kuratiert ist, um die höchste Qualität zu liefern.
• Endbenutzer/Service Principals müssen Zugriff auf den Ziel-Genie space (mindestens CAN VIEW), SELECT-Berechtigungen für die Unity Catalog-Daten des Bereichs und die CAN USE-Berechtigung für die SQL-compute des Bereichs haben. Endbenutzern kann optional die Berechtigung Zugriff für Consumer für eine optimierte schreibgeschützte Nutzung zugewiesen werden.

Schritt 1: Azure Databricks mit der Power Platform verbinden

Der erste Schritt zur Aktivierung von Genie in Microsoft Teams besteht darin, Azure Databricks mit der Power Platform zu verbinden (Dokumentation). Klicken Sie in Ihren Microsoft Power Apps auf „Verbindungen“ und wählen Sie „Azure Databricks“ oder „Databricks“ aus, wenn Sie AWS/GCP verwenden. Konfigurieren Sie die folgenden Felder:

• Um sicherzustellen, dass sich jeder Endbenutzer mit seiner eigenen Identität bei Databricks authentifiziert, wählen Sie OAuth als Authentifizierungstyp aus.
• Für den Server-Hostnamen und den HTTP-Pfad navigieren Sie zu dem Workspace, in dem sich Ihr Ziel-Genie-Space befindet. Wählen Sie ein SQL-Warehouse aus und öffnen Sie die Verbindungsdetails, um diese Informationen abzurufen (es muss nicht dasselbe SQL-Warehouse sein, das mit Ihrem Genie-Space verbunden ist).

Schritt 2: Verbinden Sie Genie spaces mit Ihrem Copilot Studio-Agenten

Als Nächstes verbinden Sie Ihren Genie-Space mit Copilot Studio (Dokumentation). Unsere Integration übernimmt die gesamte API- und MCP-Logik, sodass die Verbindung mit nur wenigen Klicks hergestellt werden kann.

Klicken Sie in Copilot Studio auf „Agents“. Wählen Sie „Leeren Agenten erstellen“ aus, um einen neuen eigenständigen Agenten für einen Genie space zu erstellen. Wenn Sie Genie in ein bestehendes Agent-Framework integrieren möchten, können Sie auch einen bestehenden Copilot Studio-Agent auswählen, dem Sie Ihren Genie space hinzufügen.

Klicken Sie in Ihrem neuen Agenten auf „Tools“ und dann auf „Tool hinzufügen“. Wählen Sie Azure Databricks Genie (oder Databricks Genie für AWS/GCP) im Abschnitt MCP aus.

Jetzt können Sie Ihren gewünschten Genie space auswählen und die Verbindungsdetails konfigurieren:

• Zu verwendende Anmeldedaten: Wählen Sie „Endbenutzer-Anmeldedaten“ aus, um sicherzustellen, dass sich jeder Anwendungsbenutzer mit seiner eigenen Identität und seinen eigenen Datenzugriffsberechtigungen anmeldet. Dadurch wird sichergestellt, dass Anwendungsbenutzer ohne Zugriff auf den Genie space oder die Tabellen keine Daten-Einblicke von Genie abrufen können.
• Wählen Sie „Vom Ersteller bereitgestellte Anmeldeinformationen“, wenn sich Endbenutzer über eine einzige gemeinsam genutzte Identität authentifizieren sollen (entweder ein Service Principal – empfohlen – oder Ihre eigene Identität).
• WICHTIG: Stellen Sie sicher, dass Ihr Ziel-Genie-Space einen klaren Titel und eine Beschreibung hat, die den Kontext, die Schlüsselkonzepte und die Einschränkungen darlegen. Dies hilft Ihrem Copilot Studio-Agenten, Anfragen effektiv zu orchestrieren.

Schritt 3: Teilen der Verbindungsparameter aktivieren

Wenn Sie „Endbenutzer-Anmeldeinformationen“ wählen, muss sich jede Person mit ihrem eigenen Account bei Databricks anmelden. Um dies zu vereinfachen, empfehlen wir, Verbindungsparameter zu teilen (wie in der Microsoft- Dokumentation beschrieben), damit Benutzer diese Informationen nicht selbst angeben müssen. In der Praxis bedeutet dies einfach, den Server-Hostnamen und den HTTP-Pfad bereitzustellen, wodurch sichergestellt wird, dass sie sich bei genau dem Databricks-Arbeitsbereich authentifizieren, der mit dem in Ihrem Copilot Studio-Agenten verbundenen Genie-Space verknüpft ist.

• Öffnen Sie die Einstellungsseite Ihres Copilot Studio-Agenten.
• Öffnen Sie die Verbindungseinstellungen und stellen Sie sicher, dass bei Azure Databricks der Status „Verbunden“ angezeigt wird.
  
• Klicken Sie als Nächstes auf „Details anzeigen“ und erteilen Sie die Berechtigung zur Freigabe von Parametern auf der Registerkarte „Verbindungsparameter“.
  

Schritt 4: Ihren Agenten in Teams einbinden

Nachdem Sie nun einen Copilot Studio-Agenten haben, der mit Ihrem Genie-Space verbunden ist, können Sie ihn in Teams veröffentlichen.

• Stellen Sie sicher, dass Ihr Agent einen eindeutigen Namen und eine klare Beschreibung hat.
• Wir empfehlen außerdem:
  • Auswahl eines Reasoning-Modells (z. B. GPT-5 Reasoning, Claude Sonnet 4.5) für effektives Polling und die Verwendung von Genie.
  • Hinzufügen benutzerdefinierter Agent-Anweisungen, um die Erfahrung anzupassen (z. B. Antwortformatierung und Latenzpräferenzen).
    
• Nachdem Sie Ihren Copilot Studio-Agent überprüft haben, klicken Sie auf „Publish“. Wählen Sie dann in „Channels“ Teams als gewünschten Channel aus.
  

Alles bereit! Genie ist jetzt in Microsoft Teams verfügbar und liefert verwaltete Dateneinblicke, sobald Fragen aufkommen.

Um zu sehen, wie Endbenutzer Genie in Microsoft Teams nutzen, lesen Sie unsere Kundenberichte.

Genie in benutzerdefinierte Webanwendungen einbinden

Viele Organisationen möchten Genie auch direkt in ihre benutzerdefinierten Web-Apps einbetten, sodass Benutzer in den von ihnen bereits verwendeten Tools Fragen stellen können – so könnten Filialleiter beispielsweise Ad-hoc-Fragen zu ihrem Bestand direkt in ihrem bestehenden Vertriebsterminal stellen. Mit den Genie Conversation-APIs und Databricks OAuth ist dies jetzt möglich.

Bevor Sie eine Integration zwischen Ihrer Web-App und Genie erstellen, ist es wichtig zu entscheiden, welches OAuth-Muster Sie verwenden: User-to-Machine (U2M), Machine-to-Machine (M2M) oder ein On-Behalf-Of-Modell (OBO). Jeder Ansatz ist auf einen anderen Anwendungsfall ausgerichtet:

• Benutzer-zu-Maschine (U2M) – Am besten geeignet, wenn jeder Endbenutzer einen kontrollierten, personalisierten Datenzugriff benötigt. In diesem Modell meldet sich ein Benutzer mit seiner Unternehmensidentität an (z. B. SSO), erhält Genie ein benutzerspezifisches OAuth-Token und Abfragen werden mit den Berechtigungen dieses Benutzers ausgeführt. Anwendungsbeispiel: ein Sales Copilot, bei dem Vertriebsmitarbeiter mit einem einzigen zugrunde liegenden Genie-Space chatten und nur Dateneinblicke aus ihren eigenen Geschäftsabschlüssen sehen sollen.
• Machine-to-Machine (M2M) – Am besten für Anwendungsfälle geeignet, bei denen alle Benutzer denselben Datenzugriff und eine einfachere Governance haben sollen. Dieses Modell ermöglicht es einem Service Principal, sich zu authentifizieren und ein zugehöriges OAuth-Token für Genie auszustellen, das dann verwendet wird, um Abfragen unter den Berechtigungen des Service Principals auszuführen. Anwendungsbeispiel: ein „Unternehmens-KPIs“-Chatbot, bei dem jeder Mitarbeiter unternehmensweite KPI-Metriken abfragen und dieselben gemeinsam genutzten Einblicke erhalten kann.
• On-Behalf-Of (OBO) – Am besten für Apps, die eine benutzerspezifische Daten-Governance benötigen, aber hinter einem zentralen Backend. In diesem Modell würde sich Ihre Anwendung zunächst bei Databricks authentifizieren und dann Genie-APIs „im Namen“ des Endbenutzers aufrufen, wobei dessen Datenberechtigungen angewendet werden. Anwendungsbeispiel: ein Finanzanalyseportal, in dem Benutzer mit einem einheitlichen Chatbot chatten, der Genie nutzt, und jeder Benutzer nur die Daten sieht, für die er autorisiert ist.

Im weiteren Verlauf dieses Blogs konzentrieren wir uns auf das erste Muster für die Integration mit Genie: den OAuth-U2M-Flow unter Verwendung der integrierten OAuth-Unterstützung von Databricks.

HINWEIS: Databricks unterstützt auch die OAuth-Token-Föderation, mit der Sie von Ihrem eigenen Identitätsanbieter ausgestellte Token einbringen und sie mit einer der oben beschriebenen Methoden für den Genie-Zugriff kombinieren können.

Voraussetzungen

• Stellen Sie sicher, dass Sie über einen Ziel-Genie-Space verfügen, der gemäß unseren Best Practices kuratiert ist, um die höchste Qualität zu liefern.
• Endbenutzer/Service Principals müssen Zugriff auf den Ziel-Genie space (mindestens CAN VIEW), SELECT-Berechtigungen für die Unity Catalog-Daten des Bereichs und die CAN USE-Berechtigung für die SQL-compute des Bereichs haben. Endbenutzern kann optional die Berechtigung Consumer Access für eine optimierte schreibgeschützte Erfahrung zugewiesen werden.
  

Schritt 1: Eine OAuth-Anwendung registrieren

Um Ihre benutzerdefinierte Web-App sicher mit Genie zu verbinden, registrieren Sie sie zunächst in Ihrem Databricks-Account. Dieser Schritt ermöglicht es Databricks, in späteren Schritten sicher benutzerspezifische Token für Ihre App auszustellen. Weitere Informationen finden Sie in der Produktdokumentation.

Fügen Sie in der Databricks Account Console eine neue OAuth-Verbindung hinzu und konfigurieren Sie Folgendes:

• Anwendungsname: ein für Menschen lesbarer Name, der den Benutzern bei der Anmeldung angezeigt wird.
• Weiterleitungs-URLs: eine oder mehrere URLs, an die Databricks Benutzer nach der Authentifizierung senden darf. Diese müssen exakt mit den URLs übereinstimmen, die Ihre App in späteren Schritten verwenden wird.
• Zugriffsbereiche: Gewähren Sie Zugriff auf „Alle APIs“, damit Ihre App die Genie Conversation APIs im Namen der Benutzer aufrufen kann.
  

Nach dem Speichern dieser Verbindung generiert Databricks Folgendes:

• Client-ID: öffentlicher Bezeichner für Ihre App
• Client-Geheimnis: Private Anmeldeinformationen für Ihr Backend

Speichern Sie diese Anmeldeinformationen sicher in Ihrem Backend – sie werden benötigt, um Autorisierungscodes gegen Zugriffstoken auszutauschen und Aufrufe an die Genie Conversation APIs zu authentifizieren.

Schritt 2: Benutzer zur Authentifizierung und Zugriffsgewährung zu Databricks weiterleiten

Der nächste Schritt besteht darin sicherzustellen, dass Ihre App Endbenutzer zu Databricks weiterleitet, damit sie sich anmelden und Ihre App genehmigen können, um in ihrem Namen mit Genie zu kommunizieren. Nach einer erfolgreichen Anmeldung und Genehmigung leitet Databricks den Benutzer mit einem kurzlebigen Autorisierungscode zu Ihrer App weiter.

Dieser Autorisierungscode ist der Beweis dafür, dass sich der Benutzer erfolgreich bei Databricks authentifiziert und den von Ihrer App angeforderten Zugriff genehmigt hat. Das Backend Ihrer App wird diesen Autorisierungscode im nächsten Schritt verwenden, um Access Tokens zu erhalten.

Generieren Sie zunächst PKCE - und Statuswerte für jede Anmeldung, um Ihre Webanwendung zu schützen:

• Generieren Sie einen code_verifier und eine passende code_challenge gemäß dem OAuth-PKCE-Standard unter Verwendung der URL-Codierung SHA-256 und Base64. Dieser Schritt verhindert, dass Autorisierungscodes gestohlen und wiederverwendet werden (Codebeispiele finden Sie in der Dokumentation).
• Erstellen Sie eine zufällige state -Zeichenfolge und speichern Sie sie in einem Cookie oder einer Sitzung. Dadurch wird sichergestellt, dass Autorisierungscodes für echte Endbenutzersitzungen generiert werden.

Als Nächstes sollte Ihr Frontend eine Autorisierungs-URL unter Verwendung des Databricks-OAuth-endpoints erstellen:

Fügen Sie die folgenden Formularparameter hinzu, um Ihre Anwendung für Ihre Benutzer zu identifizieren:

• <databricks-instance>: Ihre Databricks-Instanz mit dem Workspace- Instanznamen (z. B. dbc-a1b2345c-d6e7.cloud.databricks.com)
• <client_id>: Die Client-ID aus Ihrer registrierten OAuth-Anwendung aus dem vorherigen Schritt
• <redirect-url>: dieselbe Weiterleitungs-URL wie im vorherigen Schritt angegeben
• <state>: – Beliebige Nur-Text-Zeichenfolge zur Validierung der Antwort
• <code-challenge>: PKCE-Code-Challenge, abgeleitet vom code_verifier

Nachdem sich ein Benutzer bei seinem Databricks-Konto angemeldet hat, wird er mit den folgenden Query-Parametern an die redirect_url weitergeleitet: https://<redirect_url>/oauth/callback?code=<authorization_code>&state=<state>

Ihr Callback-Handler sollte den authorization_code und den state aus dem Abfrage-String lesen. Überprüfen Sie, ob der state -Wert mit dem übereinstimmt, was in Cookies oder Web-Sitzungen gespeichert wurde. Andernfalls wird der authorization_code verworfen. Mit dem zurückgegebenen authorization_code kann Ihre Anwendung diesen nun gegen Access Tokens eintauschen.

Schritt 3: Autorisierungscodes gegen Token austauschen und sie sicher verwalten

Der im vorherigen Schritt abgerufene Autorisierungscode kann nicht zum direkten Aufrufen von APIs verwendet werden. Er muss auf Ihrem Backend gegen Access Tokens ausgetauscht werden, die für die sichere Kommunikation mit Genie benötigt werden. Weitere Informationen finden Sie in unserer Produktdokumentation).

Unten finden Sie ein Python-Beispiel für den Austausch von Autorisierungscodes gegen Zugriffs- und Aktualisierungstokens (weitere Details finden Sie in der OAuth-SDK-Dokumentation):

Geben Sie die folgenden Parameter an:

• <databricks-instance>: Ihre Databricks-Instanz mit dem Workspace Instanzname
• <client_id>: Die Client-ID aus Ihrer registrierten OAuth-Anwendung aus dem vorherigen Schritt
• <client_secret>: das Client-Geheimnis für Ihre App, das in Schritt 1 generiert wurde
• <redirect-url>: dieselbe Redirect-URL wie in Schritt 1 angegeben
• <code-verifier>: der in Schritt 2 generierte Verifizierer

Es ist wichtig, die folgenden Werte aus dem result -Objekt in der Datenbank Ihrer App zu speichern:

• access_token: wird verwendet, um Genie Conversation APIs aufzurufen
• refresh_token: wird verwendet, um neue Access Tokens zu erhalten, ohne den Benutzer zu einer erneuten Anmeldung zu zwingen
• expires_in: eine Ablaufzeit für das Access Tokens
• expires_at: ein Zeitstempel, ab dem das Zugriffstoken nicht mehr gültig ist

Um Access Tokens sicher zu verwalten, ist es auch wichtig, dass Ihre App die Ablaufzeiten verfolgt und die Refresh-Token verwendet, um bei Bedarf neue Access Tokens zu erhalten. Das nachstehende Codebeispiel abstrahiert die Refresh-Logik, um immer ein gültiges Benutzer-Zugriffstoken zurückzugeben:

Schritt 4: Benutzer-Prompts an die Genie Conversation APIs weiterleiten

Nachdem Ihre Anwendung nun über benutzerbezogene Databricks-Access Tokens verfügt, kann sie im Namen des angemeldeten Benutzers Prompts an einen Genie-Bereich senden. Wir empfehlen, einen Backend-API-Router für Ihre Webanwendung zu erstellen, um die Databricks-Access Tokens vor dem Browser zu schützen und die Beobachtbarkeit, Fehlerbehandlung und Ratenbegrenzung zu zentralisieren. Die folgenden Codebeispiele nutzen FastAPI und das Genie-SDK für eine einfachere Logik.

• Verwenden Sie zunächst das Zugriffstoken des Benutzers, um einen scoped WorkspaceClient zu erstellen. Dieser WorkspaceClient kann dann das Genie SDK aufrufen. Code-Beispiele

• Stellen Sie als Nächstes anwendungseigene HTTP-Endpunkte bereit, die im Backend in Genie SDK-Aufrufe übersetzt werden. Dadurch wird sichergestellt, dass alle Genie SDK-Aufrufe auf Ihrem Server ausgeführt werden und Access Tokens niemals an den Browser gesendet werden.
  • So erstellen Sie beispielsweise einen HTTP-Endpunkt zum Starten einer neuen Genie-Konversation:

• Fügen Sie weitere API-Router für die Genie-Aktionen hinzu, die Ihre App unterstützen soll. Die wesentlichen Funktionen, die einzubeziehen sind, lauten:
  • Follow-up-Nachricht senden – für Follow-up-Nachrichten zu einer bestehenden Unterhaltung
    • create_message_and_wait(space_id: str, conversation_id: str, content: str, timeout: datetime.timedelta = 0:20:00) → GenieMessage
  • Abfrageergebnisse abrufen – Ruft SQL-Ergebnisse ab, wenn die Nachricht einen Abfrageanhang hat
    • get_message_attachment_query_result(space_id: str, conversation_id: str, message_id: str, attachment_id: str) → GenieGetMessageQueryResultResponse
  • Nachricht abrufen – Status und Ergebnisse für eine bestimmte Nachricht abrufen
    • get_message(space_id: str, conversation_id: str, message_id: str) → GenieMessage
  • Nachrichten in einer Unterhaltung auflisten – um alle vorherigen Nachrichten in einer Unterhaltung aufzulisten
    • list_conversation_messages(space_id: str, conversation_id: str [, page_size: Optional[int], page_token: Optional[str]]) → GenieListConversationMessagesResponse
  • Informationen zu allen verfügbaren Funktionen finden Sie in der Genie SDK-Dokumentation.

Nach diesen Schritten wird Ihre benutzerdefinierte Web-App sicher in Genie integriert, sodass Benutzer Fragen in natürlicher Sprache stellen und gesteuerte Einblicke direkt in den Tools, die sie bereits verwenden, abrufen können.

Überall auf Genie zugreifen

Genie wurde entwickelt, um Benutzer überall dort zu unterstützen, wo sie arbeiten. In diesem Blog haben wir gezeigt, wie Organisationen die dialogorientierten Analytics von Genie mit OAuth-Authentifizierung sicher in Microsoft Teams und benutzerdefinierte Apps einbetten.

Indem Sie Genie überall dorthin bringen, wo Ihre Teams Fragen stellen, verkürzen Sie den Weg von der Frage zur Erkenntnis – und von der Erkenntnis zur Aktion. Erstellen Sie noch heute Genie-Spaces und stellen Sie sie Ihren Nutzern bereit. Wenden Sie sich wie immer bei Fragen und für Feedback an Ihre Databricks-Account-Teams.

(Dieser Blogbeitrag wurde mit KI-gestützten Tools übersetzt.) Originalbeitrag