Utilisez Genie partout avec l'OAuth d'entreprise

Intro

La démocratisation des données démarre par un accès simple et sécurisé aux insights. Avec Databricks Genie, les utilisateurs peuvent désormais dialoguer avec leurs données directement depuis les outils qu'ils utilisent déjà : Teams, Slack, Confluence ou des applications web personnalisées. Que vous utilisiez nos intégrations natives Copilot Studio/Foundry ou que vous développiez avec les API/SDK de conversation Genie, Genie peut désormais intégrer l'analytique en langage naturel dans les flux de travail quotidiens. En coulisses, OAuth peut être utilisé pour authentifier chaque utilisateur de manière sécurisée et appliquer les autorisations d'accès aux données.

Auparavant, nous avons vu des clients comme The AA et Casas Bahia créer indépendamment leurs propres intégrations Genie dans Microsoft Teams et des applications internes. Notre suite d'extensibilité robuste rend désormais cette expérience plus simple, plus rapide et plus évolutive.

Dans cet article de blog, nous allons présenter deux manières courantes de déployer Genie avec l'OAuth d'entreprise au sein de votre organisation :

• Intégrez Genie dans Microsoft Teams avec notre intégration Copilot Studio
• Intégrez Genie dans vos applications web personnalisées avec les API de conversation Genie

Intégrez Genie dans Microsoft Teams

Des questions de données ad hoc surgissent constamment lors des conversations de groupe. Grâce à l'intégration native de Databricks Genie avec Copilot Studio, vos utilisateurs peuvent désormais obtenir des réponses dès que des questions se posent, directement dans Microsoft Teams. Pour utiliser cette intégration, suivez les étapes ci-dessous :

Pré-requis

• Assurez-vous de disposer d'un Genie space cible organisé conformément à nos bonnes pratiques afin d'offrir la plus haute qualité.
• Les utilisateurs finaux/Service Principal doivent avoir accès au Genie space cible (au minimum CAN VIEW), des privilèges SELECT sur les données Unity Catalog de l'espace et l'autorisation CAN USE sur le compute SQL de l'espace. Les utilisateurs finaux peuvent éventuellement se voir attribuer le droit d'accès consommateur pour une expérience simplifiée en « lecture seule ».

Étape 1 : Connecter Azure Databricks à Power Platform

La première étape pour activer Genie dans Microsoft Teams consiste à connecter Azure Databricks à Power Platform (documentation). Dans votre Microsoft Power Apps, cliquez sur Connexions et sélectionnez Azure Databricks, ou Databricks si vous utilisez AWS/GCP. Configurez les champs suivants :

• Pour garantir que chaque utilisateur final s'authentifie dans Databricks avec sa propre identité, sélectionnez OAuth comme type d'authentification.
• Pour le nom d'hôte du serveur et le chemin HTTP, accédez à l'espace de travail où se trouve votre espace Genie cible. Sélectionnez un SQL warehouse et ouvrez les détails de la connexion pour récupérer ces informations (il n'est pas nécessaire que ce soit le même SQL warehouse que celui associé à votre espace Genie).

Étape 2 : Connecter les espaces Genie à votre agent Copilot Studio

Ensuite, vous connecterez votre espace Genie à Copilot Studio (documentation). Notre intégration gère toute la logique API et MCP afin que la connexion puisse s'établir en quelques clics seulement.

Dans Copilot Studio, cliquez sur Agents. Sélectionnez « Créer un agent vide » pour créer un nouvel agent autonome pour un espace Genie. Si vous souhaitez intégrer Genie dans un framework d'agent existant, vous pouvez également choisir un agent Copilot Studio existant auquel ajouter votre Genie space.

Dans votre nouvel agent, cliquez sur 'Outils', puis sur 'Ajouter un outil'. Sélectionnez Azure Databricks Genie (ou Databricks Genie pour AWS/GCP) dans la section MCP.

Vous pouvez maintenant sélectionner l'espace Genie de votre choix et configurer les détails de la connexion :

• Identifiants à utiliser : sélectionnez « Identifiants de l'utilisateur final » pour garantir que chaque utilisateur de l'application se connecte avec sa propre identité et ses propres autorisations d'accès aux données. Cela garantit que si un utilisateur de l'application n'a pas accès au Genie space ou aux tables, il ne pourra pas récupérer les data insights de Genie.
• Sélectionnez « Informations d'identification fournies par le créateur » si vous souhaitez que les utilisateurs finaux s'authentifient à l'aide d'une seule identité partagée (soit un service principal — recommandé — soit votre propre identité).
• IMPORTANT: Assurez-vous que votre espace Genie cible dispose d'un titre et d'une description clairs qui décrivent son contexte, ses concepts clés et ses limites. Cela aidera votre agent Copilot Studio à orchestrer efficacement les requêtes.

Étape 3 : Activer le partage des paramètres de connexion

Lorsque vous choisissez « Informations d'identification de l'utilisateur final », chaque personne doit se connecter à Databricks avec son propre compte. Pour simplifier cela, nous vous suggérons de partager les paramètres de connexion (comme décrit dans la documentation Microsoft), afin que les utilisateurs n'aient pas à fournir ces informations eux-mêmes. En pratique, cela signifie simplement fournir le Hostname du serveur et le chemin HTTP, ce qui garantit qu'ils s'authentifient auprès du Databricks workspace exact lié au Genie space connecté dans votre agent Copilot Studio.

• Ouvrez la page des paramètres de votre agent Copilot Studio.
• Ouvrez les paramètres de connexion et assurez-vous qu'Azure Databricks affiche le statut Connecté.
  
• Ensuite, cliquez sur Voir les détails et autorisez le partage des paramètres dans l'onglet Paramètres de connexion.
  

Étape 4 : Intégrer votre agent dans Teams

Maintenant que vous disposez d'un agent Copilot Studio connecté à votre espace Genie, vous pouvez le publier sur Teams.

• Assurez-vous que votre agent dispose d'un nom et d'une description clairs.
• Nous recommandons également :
  • Sélection d'un modèle de raisonnement (par ex. GPT-5 Reasoning, Claude Sonnet 4.5) pour une interrogation et une utilisation efficaces de Genie.
  • Ajout d'instructions d'agent personnalisées pour adapter l'expérience (par ex. préférences de mise en forme des réponses et de latence).
    
• Après avoir examiné votre agent Copilot Studio, cliquez sur Publier. Ensuite, dans Canaux, sélectionnez Teams comme Canal de distribution souhaité.
  

Vous êtes prêt ! Genie est maintenant disponible dans Microsoft Teams et fournit des informations sur les données gouvernées dès que des questions se posent.

Pour voir comment les utilisateurs finaux exploitent Genie dans Microsoft Teams, consultez nos témoignages clients.

Intégrer Genie dans des applications Web personnalisées

De nombreuses organisations souhaitent également intégrer Genie directement dans leurs applications web personnalisées, afin que les utilisateurs puissent poser des questions dans les outils qu'ils utilisent déjà — par exemple, les directeurs de magasin pourraient poser des questions ad-hoc sur leur inventaire directement dans leur terminal de vente existant. Avec les API de conversation Genie et Databricks OAuth, c'est désormais possible.

Avant de créer une intégration entre votre application Web et Genie, il est important de décider quel modèle OAuth vous utiliserez : User-to-Machine (U2M), Machine-to-Machine (M2M) ou un modèle On-Behalf-Of (OBO). Chaque approche correspond à un type de cas d'utilisation d'application différent :

• Utilisateur-à-Machine (U2M) - Idéal lorsque chaque utilisateur final a besoin d'un accès aux données gouverné et personnalisé. Dans ce modèle, un utilisateur se connecte avec son identité d'entreprise (par ex. SSO), Genie reçoit un jeton OAuth spécifique à l'utilisateur, et les queries sont exécutées avec les autorisations de cet utilisateur. Exemple de cas d'utilisation : un Sales Copilot où les représentants commerciaux discutent avec un seul espace Genie sous-jacent et ne doivent voir que les informations issues des données de leurs propres affaires.
• Machine-to-Machine (M2M) - Idéal pour les cas d'utilisation où tous les utilisateurs doivent avoir le même accès aux données et une gouvernance plus simple. Ce modèle permet à un service principal de s'authentifier et d'émettre un jeton OAuth associé à Genie, qui est ensuite utilisé pour exécuter des queries sous les autorisations du service principal. Exemple de cas d'utilisation : un chatbot « ICP de l'entreprise » où tout employé peut s'informer sur les ICP à l'échelle de l'entreprise et recevoir les mêmes insights partagés.
• On-Behalf-Of (OBO) - Idéal pour les applications nécessitant une gouvernance des données par utilisateur derrière un backend central. Dans ce modèle, votre application s'authentifierait d'abord auprès de Databricks, puis appellerait les API Genie « au nom de » l'utilisateur final, en appliquant ses autorisations d'accès aux données. Exemple de cas d'utilisation : un portail d'analytique financière où les utilisateurs discutent avec un chatbot unifié qui utilise Genie, et où chaque utilisateur ne voit que les données qu'il est autorisé à consulter.

Pour le reste de ce blog, nous nous concentrerons sur le premier modèle d'intégration avec Genie : le flux OAuth U2M en utilisant le support OAuth intégré de Databricks.

REMARQUE : Databricks prend également en charge la fédération de jetons OAuth, que vous pouvez utiliser pour importer des jetons émis par votre propre fournisseur d'identité et les combiner avec l'une des méthodes décrites ci-dessus pour accéder à Genie.

Pré-requis

• Assurez-vous de disposer d'un Genie space cible organisé conformément à nos bonnes pratiques afin d'offrir la plus haute qualité.
• Les utilisateurs finaux/Service Principal doivent avoir accès au Genie space cible (au minimum CAN VIEW), des privilèges SELECT sur les données Unity Catalog de l'espace et l'autorisation CAN USE sur le compute SQL de l'espace. Les utilisateurs finaux peuvent éventuellement se voir attribuer le droit Consumer Access pour une expérience simplifiée en « lecture seule ».
  

Étape 1 : Enregistrer une application OAuth

Pour connecter en toute sécurité votre application Web personnalisée à Genie, commencez par l'enregistrer dans votre compte Databricks. Cette étape permet à Databricks d'émettre en toute sécurité des jetons à portée utilisateur pour votre application dans les étapes ultérieures. Consultez la documentation du produit pour en savoir plus.

Dans la console de compte Databricks, ajoutez une nouvelle connexion OAuth et configurez les éléments suivants :

• Nom de l'application : un nom lisible par l'homme affiché aux utilisateurs lors de la connexion
• URL de redirection : une ou plusieurs URL où Databricks est autorisé à envoyer les utilisateurs après l'authentification. Celles-ci doivent correspondre exactement aux URL que votre application utilisera dans les étapes ultérieures.
• Portées d'accès : accordez l'accès à toutes les API afin que votre application puisse appeler les API de conversation Genie au nom des utilisateurs.
  

Après avoir enregistré cette connexion, Databricks générera ce qui suit :

• ID client : identifiant public pour votre application
• Secret client : identifiant privé pour votre backend

Stockez ces identifiants en toute sécurité dans votre backend. Ils seront nécessaires pour échanger les codes d'autorisation contre des jetons d'accès et authentifier les appels aux API Genie Conversation.

Étape 2 : Diriger les utilisateurs vers Databricks pour s'authentifier et accorder l'accès

L'étape suivante consiste à s'assurer que votre application dirige les utilisateurs finaux vers Databricks afin qu'ils puissent se connecter et approuver votre application pour communiquer avec Genie en leur nom. Après une connexion et une approbation réussies, Databricks redirigera l'utilisateur vers votre application avec un code d'autorisation à courte durée de vie.

Ce code d'autorisation prouve que l'utilisateur s'est authentifié avec succès dans Databricks et que l'utilisateur a approuvé l'accès demandé par votre application. Le backend de votre application utilisera ce code d'autorisation à l'étape suivante pour obtenir des jetons d'accès.

Pour commencer, générez des valeurs PKCE et d'état pour chaque connexion afin de protéger votre application web :

• Générez un code_verifier et un code_challenge correspondant conformément à la norme OAuth PKCE en utilisant l'encodage SHA-256 et Base64 URL. Cette étape empêche le vol et la réutilisation des codes d'autorisation (voir les exemples de code dans la documentation).
• Créez une chaîne d'état aléatoire et assurez-vous de la stocker dans un cookie ou une session. Cela garantit que les codes d'autorisation sont générés pour des sessions d'utilisateur final réelles.

Ensuite, votre frontend doit construire une URL d'autorisation à l'aide du Databricks OAuth endpoint:

Incluez les paramètres de formulaire suivants pour identifier votre application pour vos utilisateurs :

• <databricks-instance>: votre instance Databricks avec le nom d'instance du workspace (par ex. dbc-a1b2345c-d6e7.cloud.databricks.com)
• <client_id>: l'ID client de votre application OAuth enregistrée à l'étape précédente
• <redirect-url>: la même URL de redirection que celle spécifiée à l'étape précédente
• <state>: - Toute chaîne de texte brut pour valider la réponse
• <code-challenge>: défi de code PKCE dérivé du code_verifier

Après qu'un utilisateur se connecte à son compte Databricks, il sera redirigé vers l'URL de redirection (redirect_url) avec les paramètres de requête : https://<redirect_url>/oauth/callback?code=<authorization_code>&state=<state>

Votre gestionnaire de rappel doit lire l'authorization_code et le state depuis la chaîne de requête. Vérifiez que la valeur de state correspond à ce qui a été stocké dans les cookies ou les sessions web. Si ce n'est pas le cas, rejetez l'authorization_code. Avec l'authorization_code renvoyé, votre application peut maintenant l'échanger contre des jetons d'accès.

Étape 3 : Échanger les codes d'autorisation contre des jetons et les gérer en toute sécurité

Le code d'autorisation récupéré à l'étape précédente ne peut pas être utilisé pour appeler directement les APIs. Il doit être échangé sur votre backend contre des jetons d'accès, qui sont nécessaires pour communiquer en toute sécurité avec Genie. Pour plus d'informations, veuillez consulter notre documentation produit).

Vous trouverez ci-dessous un exemple Python pour échanger des codes d'autorisation contre des jetons d'accès et refresh (voir les détails dans la documentation du SDK OAuth) :

Incluez les paramètres suivants :

• <databricks-instance>: votre instance Databricks avec le nom d'instancede l'espace de travail
• <client_id>: l'ID client de votre application OAuth enregistrée à l'étape précédente
• <client_secret>: le secret client de votre application généré à l'étape 1
• <redirect-url>: la même URL de redirection que celle spécifiée à l'étape 1
• <code-verifier>: le vérificateur généré à l'étape 2

Il est important d'enregistrer les valeurs suivantes de l'objet result dans la base de données de votre application :

• access_token: utilisé pour appeler les API de conversation Genie
• refresh_token: utilisé pour obtenir de nouveaux jetons d'accès sans forcer l'utilisateur à se reconnecter
• expires_in: un délai d'expiration pour le jeton d'accès
• expires_at: un timestamp indiquant quand le jeton d'accès n'est plus valide

Pour gérer les jetons d'accès en toute sécurité, il est également important que votre application suive les dates d'expiration et utilise les jetons d'actualisation pour obtenir de nouveaux jetons d'accès si nécessaire. L'exemple de code ci-dessous abstrait la logique de refresh pour toujours renvoyer un jeton d'accès utilisateur valide :

Étape 4 : Acheminer les invites utilisateur vers les API de conversation Genie

Maintenant que votre application dispose de jetons d'accès Databricks spécifiques à l'utilisateur, elle peut soumettre des invites à un Genie space au nom de l'utilisateur connecté. Nous recommandons de créer un routeur d'API backend pour votre application web afin de protéger les jetons d'accès Databricks du navigateur et de centraliser l'observabilité, la gestion des erreurs et la limitation du débit. Les exemples de code ci-dessous exploitent FastAPI et le SDK de Genie pour une logique plus simple.

• Tout d'abord, utilisez le jeton d'accès de l'utilisateur pour créer un scoped WorkspaceClient. Ce WorkspaceClient pourra alors appeler le SDK Genie. Exemples de code

• Ensuite, exposez les points de terminaison HTTP appartenant à l'application qui se traduisent en appels SDK Genie dans le backend. Cela garantit que tous les appels au SDK Genie sont effectués sur votre serveur et que les jetons d'accès ne sont jamais envoyés au navigateur.
  • Par exemple, voici comment créer un HTTP endpoint pour démarrer une nouvelle conversation Genie :

• Continuez à ajouter d'autres routeurs d'API pour les actions Genie que vous souhaitez que votre application prenne en charge. Les fonctions essentielles à inclure sont :
  • Envoyer un message de suivi - pour les messages de suivi d'une conversation existante
    • create_message_and_wait(space_id: str, conversation_id: str, content: str, timeout: datetime.timedelta = 0:20:00) → GenieMessage
  • Récupérer les résultats de la requête - récupère les résultats SQL si le message contient une pièce jointe de requête
    • get_message_attachment_query_result(space_id: str, conversation_id: str, message_id: str, attachment_id: str) → GenieGetMessageQueryResultResponse
  • Obtenir le message - récupérer les statuts et les résultats d'un message spécifique
    • get_message(space_id: str, conversation_id: str, message_id: str) → GenieMessage
  • Lister les messages d'une conversation - pour lister tous les messages précédents d'une conversation
    • list_conversation_messages(space_id: str, conversation_id: str [, page_size: Optional[int], page_token: Optional[str]]) → GenieListConversationMessagesResponse
  • Consultez la documentation du SDK Genie pour connaître toutes les fonctions disponibles.

Après ces étapes, votre application web personnalisée sera intégrée en toute sécurité à Genie, permettant aux utilisateurs de poser des questions en langage naturel et de récupérer des insights régis directement dans les outils qu'ils utilisent déjà.

Accéder à Genie Everywhere

Genie est conçu pour accompagner les utilisateurs où qu'ils travaillent. Dans ce blog, nous avons vu comment les organisations intègrent en toute sécurité les capacités d'analytique conversationnelle de Genie dans Microsoft Teams et les applications personnalisées avec l'authentification OAuth.

En intégrant Genie partout où vos équipes posent des questions, vous raccourcissez le chemin de la question à l'insight, et de l'insight à l'action. Commencez à créer des espaces Genie et à les proposer à vos utilisateurs dès aujourd'hui. Comme toujours, contactez vos équipes de compte Databricks pour toute question ou tout commentaire.

(Cet article de blog a été traduit à l'aide d'outils basés sur l'intelligence artificielle) Article original