Use Genie en todas partes con OAuth empresarial

Introducción

La democratización de los datos comienza por facilitar el acceso seguro a la información. Con Databricks Genie, los usuarios ahora pueden conversar con sus datos directamente desde las herramientas que ya utilizan: Teams, Slack, Confluence o aplicaciones web personalizadas. Ya sea que utilice nuestras integraciones nativas de Copilot Studio/Foundry o que desarrolle con las API/SDK de Genie Conversation, Genie ahora puede incorporar el análisis de lenguaje natural en los flujos de trabajo cotidianos. En segundo plano, se puede aplicar OAuth para autenticar de forma segura a cada usuario y aplicar los permisos de acceso a los datos.

Anteriormente, vimos a clientes como The AA y Casas Bahia crear de forma independiente sus propias integraciones de Genie en Microsoft Teams y aplicaciones internas. Nuestra robusta suite de extensibilidad ahora hace que esta experiencia sea más fácil, rápida y escalable.

En este blog, analizaremos dos formas comunes de implementar Genie con OAuth empresarial en toda su organización:

• Integra Genie en Microsoft Teams con nuestra integración de Copilot Studio
• Incruste Genie en sus aplicaciones web personalizadas con las API de conversación de Genie

Integre Genie en Microsoft Teams

Surgen preguntas de datos ad hoc todo el tiempo durante las conversaciones grupales. Con la integración nativa de Databricks Genie con Copilot Studio, sus usuarios ahora pueden obtener respuestas en el momento en que surgen las preguntas, directamente en Microsoft Teams. Para aprovechar esta integración, siga los pasos que se detallan a continuación:

Prerrequisitos

• Asegúrese de que tiene un espacio de Genie de destino que está organizado de acuerdo con nuestras mejores prácticas para ofrecer la más alta calidad.
• Los usuarios finales o las entidades de servicio deben tener acceso al espacio de Genie de destino (al menos CAN VIEW), privilegios SELECT sobre los datos del Unity Catalog del espacio y permiso CAN USE sobre el cómputo de SQL del espacio. A los usuarios finales se les puede asignar opcionalmente la autorización de Acceso de consumidor para una experiencia optimizada de “solo lectura”.

Paso 1: Conectar Azure Databricks a Power Platform

El primer paso para habilitar Genie en Microsoft Teams es conectar Azure Databricks a Power Platform (documentación). En sus Microsoft Power Apps, haga clic en Conexiones y seleccione Azure Databricks, o Databricks si usa AWS/GCP. Configure los siguientes campos:

• Para garantizar que cada usuario final se autentique en Databricks con su propia identidad, selecciona OAuth como el tipo de autenticación.
• Para el Nombre de host del servidor y la Ruta HTTP, vaya al área de trabajo donde se encuentra su espacio de Genie de destino. Seleccione un almacén de SQL y abra los Detalles de la conexión para recuperar esta información (no es necesario que sea el mismo almacén de SQL que el asociado a su espacio de Genie).

Paso 2: Conecte los espacios de Genie a su agente de Copilot Studio

A continuación, conectarás tu espacio de Genie a Copilot Studio (documentación). Nuestra integración se encarga de toda la lógica de la API y de MCP, por lo que la conexión se puede realizar en unos pocos clics.

En Copilot Studio, haga clic en Agentes. Seleccione “Crear agente en blanco” para crear un nuevo agente independiente para un espacio de Genie. Si desea integrar Genie en un marco de agente existente, también puede elegir un agente de Copilot Studio existente para agregarle su espacio de Genie.

En tu nuevo agente, haz clic en ‘Tools’ y, luego, en “Add a tool”. Selecciona Azure Databricks Genie (o Databricks Genie para AWS/GCP) en la sección MCP.

Ahora puede seleccionar el espacio de Genie que desee y configurar los detalles de la conexión:

• Credenciales para usar: Selecciona “Credenciales de usuario final” para garantizar que cada usuario de la aplicación inicie sesión con su propia identidad y permisos de acceso a los datos. Esto garantiza que si un usuario de la aplicación no tiene acceso al espacio de Genie o a las tablas, no podrá obtener información de los datos de Genie.
• Selecciona “Credenciales proporcionadas por el creador” si quieres que los usuarios finales se autentiquen con una única identidad compartida (ya sea una entidad de servicio —recomendado— o tu propia identidad).
• IMPORTANTE: Asegúrese de que su espacio de Genie de destino tenga un título y una descripción claros que describan su contexto, conceptos clave y limitaciones. Esto ayudará a su agente de Copilot Studio a organizar las solicitudes de manera eficaz.

Paso 3: Habilitar el uso compartido de parámetros de conexión

Cuando elige “Credenciales de usuario final”, cada persona debe iniciar sesión en Databricks con su propia cuenta. Para simplificar esto, sugerimos compartir los parámetros de conexión (como se describe en la documentación de Microsoft), para que los usuarios no tengan que proporcionar esa información por sí mismos. En la práctica, esto simplemente significa proporcionar el nombre de host del servidor y la ruta HTTP, lo que garantiza que se autentiquen en el espacio de trabajo de Databricks exacto vinculado al espacio de Genie conectado en su agente de Copilot Studio.

• Abra la página de Configuración de su Agente de Copilot Studio.
• Abra la Configuración de conexión y asegúrese de que Azure Databricks muestre el estado Conectado.
  
• A continuación, haga clic en Ver detalles y permita compartir parámetros en la pestaña Parámetros de conexión.
  

Paso 4: Incorpore su agente a Teams

Ahora que tiene un agente de Copilot Studio conectado a su espacio de Genie, puede publicarlo en Teams.

• Asegúrate de que tu agente tenga un Nombre y una Descripción claros.
• También recomendamos:
  • Seleccionar un modelo de razonamiento (p. ej., GPT-5 Reasoning, Claude Sonnet 4.5) para una consulta y un uso eficaces de Genie.
  • Agregar instrucciones de agente personalizadas para personalizar la experiencia (p. ej., formato de respuesta y preferencias de latencia).
    
• Después de revisar su agente de Copilot Studio, haga clic en Publicar. Luego, en Canales, elija Teams como su canal deseado.
  

¡Todo listo! Genie ya está disponible en Microsoft Teams y ofrece información de datos gobernados en el instante en que surgen preguntas.

Para ver cómo los usuarios finales aprovechan Genie en Microsoft Teams, consulte nuestras historias de clientes.

Llevar Genie a aplicaciones web personalizadas

Muchas organizaciones también quieren insertar Genie directamente en sus aplicaciones web personalizadas para que los usuarios puedan hacer preguntas en las herramientas que ya utilizan. Por ejemplo, los gerentes de las tiendas podrían hacer preguntas ad hoc sobre su inventario directamente en su terminal de ventas existente. Con las API de conversación de Genie y Databricks OAuth, esto ahora es posible.

Antes de crear una integración entre su aplicación web y Genie, es importante decidir qué patrón de OAuth usará: de usuario a máquina (U2M), de máquina a máquina (M2M) o un modelo en nombre de (OBO). Cada enfoque se alinea con un tipo diferente de caso de uso de la aplicación:

• De usuario a máquina (U2M): es la mejor opción cuando cada usuario final necesita acceso personalizado y gobernado a los datos. En este modelo, un usuario inicia sesión con su identidad corporativa (p. ej., SSO), Genie recibe un token de OAuth específico del usuario y las consultas se ejecutan con los permisos de ese usuario. Caso de uso de ejemplo: un Sales Copilot donde los representantes de ventas chatean con un único espacio de Genie subyacente y solo deben ver la información de los datos de sus propias negociaciones.
• Máquina a máquina (M2M): ideal para casos de uso en los que se desea que todos los usuarios tengan el mismo acceso a los datos y una gobernanza más sencilla. Este modelo permite que una entidad de servicio se autentique y emita un token de OAuth asociado a Genie, que luego se utiliza para ejecutar consultas con los permisos de la entidad de servicio. Ejemplo de caso de uso: un chatbot de “KPI de la empresa” en el que cualquier empleado puede preguntar sobre las métricas de KPI de toda la empresa y recibir la misma información compartida.
• En nombre de (OBO): ideal para aplicaciones que necesitan gobierno de datos por usuario, pero detrás de un backend central. En este modelo, tu aplicación se autenticaría primero en Databricks y luego llamaría a las API de Genie “en nombre del” usuario final con sus permisos de datos aplicados. Caso de uso de ejemplo: un portal de análisis financiero donde los usuarios chatean con un chatbot unificado que utiliza Genie, y cada usuario solo ve los datos para los que está autorizado.

En el resto de este blog, nos centraremos en el primer patrón de integración con Genie: el flujo OAuth U2M mediante el soporte de OAuth integrado de Databricks.

NOTA: Databricks también admite la federación de tokens de OAuth, que se puede utilizar para incorporar tokens emitidos por su propio proveedor de identidades y combinarlos con cualquiera de los métodos descritos anteriormente para el acceso a Genie.

Prerrequisitos

• Asegúrese de que tiene un espacio de Genie de destino que está organizado de acuerdo con nuestras mejores prácticas para ofrecer la más alta calidad.
• Los usuarios finales o las entidades de servicio deben tener acceso al espacio de Genie de destino (al menos CAN VIEW), privilegios SELECT sobre los datos de Unity Catalog del espacio y permiso CAN USE sobre el SQL compute del espacio. A los usuarios finales se les puede asignar opcionalmente el derecho de acceso de consumidor para una experiencia optimizada de “solo lectura”.
  

Paso 1: Registrar una aplicación OAuth

Para conectar de forma segura su aplicación web personalizada a Genie, comience por registrarla en su cuenta de Databricks. Este paso permite a Databricks emitir de forma segura tokens de ámbito de usuario para su aplicación en pasos posteriores. Consulte la documentación del producto para obtener más información.

En la Consola de la cuenta de Databricks, agregue una nueva conexión OAuth y configure lo siguiente:

• Nombre de la aplicación: un nombre legible para humanos que se muestra a los usuarios durante el inicio de sesión
• URL de redireccionamiento: una o más URL a las que Databricks puede enviar a los usuarios después de la autenticación. Deben coincidir exactamente con las URL que su aplicación utilizará en los pasos posteriores.
• Ámbitos de acceso: otorgue acceso a todas las API para que su aplicación pueda llamar a las API de conversación de Genie en nombre de los usuarios.
  

Después de guardar esta conexión, Databricks generará lo siguiente:

• ID de cliente: identificador público para su aplicación
• Client Secret: credencial privada para su backend

Guarde estas credenciales de forma segura en su backend; se necesitarán para intercambiar códigos de autorización por tokens de acceso y autenticar llamadas a las API de conversación de Genie.

Paso 2: Dirigir a los usuarios a Databricks para que se autentiquen y concedan acceso

El siguiente paso es asegurarse de que su aplicación dirija a los usuarios finales a Databricks para que puedan iniciar sesión y aprobar su aplicación para hablar con Genie en su nombre. Después de un inicio de sesión y una aprobación correctos, Databricks redirigirá al usuario a su aplicación con un código de autorización de corta duración.

Este código de autorización es la prueba de que el usuario se autenticó correctamente en Databricks y aprobó el acceso solicitado por su aplicación. El backend de su aplicación utilizará este código de autorización en el siguiente paso para obtener tokens de acceso.

Para empezar, genere valores de PKCE y de estado para cada inicio de sesión a fin de proteger su aplicación web:

• Genera un code_verifier y un code_challenge correspondiente de acuerdo con el estándar OAuth PKCE usando la codificación SHA-256 y Base64 URL. Este paso evita que los códigos de autorización sean robados y reutilizados (consulta los ejemplos de código en la documentación).
• Cree una cadena de estado aleatoria y asegúrese de guardarla en una cookie o sesión. Esto garantiza que los códigos de autorización se generen para sesiones de usuario final reales.

A continuación, su frontend debe construir una URL de autorización utilizando el punto de conexión de OAuth de Databricks:

Incluya los siguientes parámetros de formulario para identificar su aplicación para sus usuarios:

• <databricks-instance>: su instancia de Databricks con el nombre de la instancia del espacio de trabajo (p. ej., dbc-a1b2345c-d6e7.cloud.databricks.com)
• <client_id>: el ID de cliente de su aplicación OAuth registrada en el paso anterior
• <redirect-url>: la misma URL de redireccionamiento que se especificó en el paso anterior
• <state>: cualquier cadena de texto sin formato para validar la respuesta
• <code-challenge>: Desafío de código PKCE derivado del code_verifier

Después de que un usuario inicie sesión en su cuenta de Databricks, se lo redirigirá a la redirect_url con los parámetros de consulta: https://<redirect_url>/oauth/callback?code=<authorization_code>&state=<state>

Tu manejador de callback debe leer el authorization_code y el state de la cadena de consulta. Verifica que el valor de state coincida con lo que se guardó en las cookies o en las sesiones web. Si no coincide, descarta el authorization_code. Con el authorization_code devuelto, tu aplicación ahora puede intercambiarlo por tokens de acceso.

Paso 3: Intercambiar los códigos de autorización por tokens y administrarlos de forma segura

El código de autorización obtenido en el paso anterior no se puede usar para llamar a las API directamente; debe intercambiarse por tokens de acceso en su backend que son necesarios para comunicarse de forma segura con Genie. Para obtener más información, consulta nuestra documentación del producto).

A continuación, se muestra un ejemplo de Python para intercambiar códigos de autorización por tokens de acceso y de actualización (consulte los detalles en la documentación del SDK de OAuth):

Incluya los siguientes parámetros:

• <databricks-instance>: su instancia de Databricks con el nombre de instanciadel área de trabajo
• <client_id>: el ID de cliente de su aplicación OAuth registrada en el paso anterior
• <client_secret>: el secreto del cliente para su aplicación generado en el paso 1
• <redirect-url>: la misma URL de redirección que se especificó en el paso 1
• <code-verifier>: el verificador generado en el paso 2

Es importante guardar los siguientes valores del objeto result en la base de datos de su aplicación:

• access_token: se utiliza para llamar a las API de Genie Conversation
• refresh_token: se utiliza para obtener nuevos tokens de acceso sin obligar al usuario a volver a iniciar sesión
• expires_in: un tiempo de vencimiento para el token de acceso
• expires_at: una marca de tiempo que indica cuándo el token de acceso deja de ser válido

Para administrar de forma segura los tokens de acceso, también es importante que su aplicación haga un seguimiento de los tiempos de vencimiento y use los tokens de actualización para obtener nuevos tokens de acceso cuando sea necesario. El ejemplo de código a continuación abstrae la lógica de actualización para devolver siempre un token de acceso de usuario válido:

Paso 4: Enrutar las indicaciones del usuario a las API de conversación de Genie

Ahora que su aplicación tiene tokens de acceso de Databricks con alcance de usuario, puede enviar prompts a un espacio de Genie en nombre del usuario que inició sesión. Recomendamos crear un router de API de backend para su aplicación web para proteger los tokens de acceso de Databricks del navegador y centralizar la observabilidad, el manejo de errores y la limitación de velocidad. Los ejemplos de código a continuación aprovechan FastAPI y el SDK de Genie para una lógica más simple.

• Primero, use el token de acceso del usuario para crear un WorkspaceClient con ámbito. Este WorkspaceClient podrá entonces llamar al SDK de Genie. Ejemplo de código:

• A continuación, exponga los puntos de conexión HTTP propiedad de la aplicación que se traducen en llamadas al SDK de Genie en el backend. Esto garantiza que todas las llamadas al SDK de Genie se realicen dentro de su servidor y que los tokens de acceso nunca se envíen al navegador.
  • Por ejemplo, a continuación se muestra cómo crear un punto de conexión HTTP para iniciar una nueva conversación de Genie:

• Continúa agregando enrutadores de API adicionales para las acciones de Genie que quieres que admita tu aplicación. Las funciones esenciales que se deben incluir son las siguientes:
  • Enviar mensaje de seguimiento: para los mensajes de seguimiento de una conversación existente
    • create_message_and_wait(space_id: str, conversation_id: str, content: str, timeout: datetime.timedelta = 0:20:00) → GenieMessage
  • Recuperar resultados de la consulta: recupera los resultados de SQL si el mensaje tiene un archivo adjunto de consulta
    • get_message_attachment_query_result(space_id: str, conversation_id: str, message_id: str, attachment_id: str) → GenieGetMessageQueryResultResponse
  • Obtener mensaje - recuperar estados y resultados para un mensaje específico
    • get_message(space_id: str, conversation_id: str, message_id: str) → GenieMessage
  • Enumerar mensajes de una conversación: para enumerar todos los mensajes anteriores de una conversación
    • list_conversation_messages(space_id: str, conversation_id: str [, page_size: Optional[int], page_token: Optional[str]]) → GenieListConversationMessagesResponse
  • Consulte la documentación del SDK de Genie para ver todas las funciones disponibles.

Después de estos pasos, su aplicación web personalizada se integrará de forma segura con Genie, lo que permitirá a los usuarios hacer preguntas en lenguaje natural y recuperar información gobernada directamente en las herramientas que ya utilizan.

Acceso a Genie en todas partes

Genie está diseñado para llegar a los usuarios dondequiera que trabajen. En este blog, explicamos cómo las organizaciones incrustan de forma segura las capacidades de análisis conversacional de Genie en Microsoft Teams y aplicaciones personalizadas con autenticación OAuth.

Al llevar Genie a todos los lugares donde sus equipos hacen preguntas, acorta el camino de la pregunta a la perspectiva y de la perspectiva a la acción. Comience a crear espacios de Genie y a ponerlos a disposición de sus usuarios hoy mismo. Como siempre, póngase en contacto con sus equipos de cuenta de Databricks si tiene preguntas o comentarios.

(Esta entrada del blog ha sido traducida utilizando herramientas basadas en inteligencia artificial) Publicación original