Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
Este recurso está em versão Beta. Os administradores de conta podem controlar o acesso a esta funcionalidade a partir da página de Pré-visualizações da consola da conta. Ver Gerir as pré-visualizações de Azure Databricks.
Um Serviço MCP é um Unity Catalog securável que regista um servidor MCP externo e governa como os agentes o utilizam. Dirige-se a ele pelo seu nome de três níveis, catalog.schema.mcp_service, e invoca-o através do Unity AI Gateway, o plano de controlo para gerir o tráfego de IA.
Registar um servidor MCP como seguro do Unity Catalog significa que o geres com as mesmas primitivas que protegem os teus outros ativos do Unity Catalog. Estas incluem subsídios para controlar quem pode invocá-lo, seleção de ferramentas para limitar as ferramentas que expõe, políticas de serviço para permitir ou negar chamadas individuais de ferramentas, e auditoria e registo de utilização para acompanhar cada invocação.
Existem duas formas de utilizar os Serviços MCP:
| Approach | Utilizar quando |
|---|---|
| Use um Serviço MCP fornecido pela Databricks | Quer uma ferramenta comum de software como serviço (SaaS) — Slack, GitHub, Google Drive e mais — sem qualquer configuração. Sem servidor para hospedar e sem ligação para criar. |
| Registe o teu próprio servidor MCP externo | Tem um servidor MCP autoalojado ou de terceiros para gerir como um objeto protegível do Unity Catalog. |
Os Serviços MCP ligam agentes a serviços externos. Para os dados do Azure Databricks, utilize servidores MCP geridos; para alojar as suas próprias ferramentas, utilize um servidor MCP personalizado.
Para registar e invocar um servidor MCP externo, consulte Registar um servidor MCP externo. Para restringir as suas ferramentas e chamadas, veja Governar um serviço MCP.
Dica
Para um exemplo completo — registar o servidor MCP do GitHub, restringir as suas ferramentas, bloquear chamadas destrutivas com uma política de serviço e auditar o uso — siga o Tutorial: Governar o acesso GitHub MCP de um agente de programação.
Como funciona
Um agente chama um Serviço MCP pelo seu URL de Gateway Unity AI, e cada chamada flui pelo mesmo caminho governado:
- Invocar: O agente envia um pedido MCP para o URL do Gateway Unity AI do serviço, autenticado com a identidade Azure Databricks do chamador.
-
Autorizar e gerir: O gateway verifica se o autor da chamada tem
EXECUTEno Serviço MCP no Unity Catalog. O serviço expõe apenas as ferramentas que selecionou e avalia qualquer política de serviço anexada, que pode permitir, negar ou exigir aprovação para a chamada. - Proxy com credenciais geridas: O pedido é encaminhado para o servidor MCP externo através da ligação HTTP do serviço. O Azure Databricks armazena as credenciais e gere os fluxos OAuth e a atualização de tokens, por isso o agente nunca as vê.
- Utilização de logs, auditoria e rastreamentos: Cada invocação é registada em tabelas do sistema, para que possa monitorizar o uso e auditar a atividade ao longo do tempo.
Requerimentos
- Um espaço de trabalho ativado para o Unity Catalog.
- Para gerir um servidor MCP externo como Serviço MCP, a versão beta do Unity AI Gateway e a pré-visualização de Servidores MCP Geridos têm de estar ativadas na sua conta. Ver Gerir as pré-visualizações de Azure Databricks.
- Um espaço de trabalho numa região onde o Model Serving é suportado. Consulte Disponibilidade de funcionalidades de serviço de modelos.
Serviços MCP fornecidos por Databricks
O Azure Databricks fornece Serviços MCP prontos a usar no system.ai esquema para aplicações SaaS comuns, permitindo que os agentes acedam a estas ferramentas sem alojar ou registar o seu próprio servidor MCP. Cada um é um Serviço MCP integrado ao qual acede pelo respetivo nome no Unity Catalog. Para dar acesso a um agente, conceda EXECUTE ao serviço (por exemplo, system.ai.github)—não é necessário estabelecer uma ligação. Os serviços integrados vêm com ferramentas geridas pela plataforma e uma política de serviço incorporada, como uma para bloquear operações de escrita. Governa-as com subsídios em vez de com seleção personalizada de ferramentas ou funções políticas.
| Serviço MCP | Conecta-se a |
|---|---|
system.ai.slack |
Slack |
system.ai.github |
GitHub |
system.ai.atlassian |
Jira e Confluência |
system.ai.google_drive |
Google Drive |
system.ai.google_calendar |
Google Agenda |
system.ai.gmail |
Gmail |
system.ai.sharepoint |
Microsoft SharePoint |
Para Google Drive, Gmail, Google Calendar ou SharePoint, estes serviços integrados tratam do OAuth por si, sem necessidade de registo na aplicação.
Autenticação e segurança
O Azure Databricks utiliza proxies MCP geridos e ligações HTTP do Unity Catalog para gerir a autenticação segura em servidores MCP externos.
- Autenticação principal partilhada: Todos os utilizadores partilham as mesmas credenciais ao aceder ao serviço externo. Isto inclui token Bearer, OAuth Machine-to-Machine (M2M) e OAuth Utilizador-para-Máquina com Autenticação Partilhada. Use isto quando o serviço externo não precisar de acesso específico ao utilizador, ou quando uma única conta de serviço for suficiente.
- Autenticação por utilizador (OAuth U2M Por Utilizador): Cada utilizador autentica-se com as suas próprias credenciais. O serviço externo recebe pedidos em nome do utilizador individual, permitindo controlo de acesso, auditoria e responsabilização específicos do utilizador. Utilize-o ao aceder a recursos específicos do utilizador, como repositórios do GitHub do utilizador, mensagens do Slack ou calendário.
O Azure Databricks trata dos fluxos OAuth e da atualização dos tokens, por isso os utilizadores finais não veem tokens. Visualiza e gere as suas ligações MCP externas juntamente com os endpoints do LLM a partir do Unity AI Gateway. Para instruções de configuração detalhadas para cada método de autenticação, veja Ligações HTTP.
Limitations
Durante a Beta, aplicam-se as seguintes limitações aos Serviços MCP:
- SQL DDL para Serviços MCP (por exemplo,
CREATE MCP SERVICE) não está disponível. Crie e gere Serviços MCP com a interface ou a API REST. - Só pode registar servidores MCP externos como o seu próprio Serviço MCP. Registar fontes de entidades Genie, Apps ou Unity Catalog como um Serviço MCP não é atualmente suportado. O Azure Databricks também fornece Serviços MCP incorporados para aplicações SaaS comuns.
- A seleção de ferramentas suporta padrões de prefixo (
get_*) e padrões de correspondência exata. Padrões de exclusão (por exemplo,!delete_*) não são suportados. - O Unity Catalog Global Search não apresenta serviços MCP.
As ligações externas a servidores MCP também apresentam as seguintes limitações:
- Servidores MCP externos estão disponíveis apenas em regiões onde o Model Serving é suportado, incluindo uso no AI Playground, Genie Code e Chat no Genie. Consulte Disponibilidade de funcionalidades de serviço de modelos.
Passos seguintes
- Registar um servidor MCP externo para registar e invocar um servidor MCP externo.
- Governar um serviço MCP para restringir ferramentas e aplicar políticas de serviço.
- Utilize servidores MCP em agentes para chamar um serviço MCP programaticamente a partir de código do agente.
- Ligue MCPs a assistentes de IA e agentes de codificação para ligar agentes de codificação e assistentes de IA.
- Governação de IA com Unity AI Gateway para governar servidores MCP e endpoints LLM a partir de uma localização central.