シングルユースリフレッシュトークン
このページでは、Databricks と統合された OAuth アプリケーションのシングルユースリフレッシュトークンについて説明し、Databricks API を使用してそれらを構成する方法について説明します。シングルユースのリフレッシュ トークンは、使用後に毎回トークンのローテーションを要求することでセキュリティを強化します。
シングルユースリフレッシュトークンとは何ですか?
カスタムおよび公開アプリケーションの統合では、ユーザーからマシンへ (U2M) の認証フローで 1 回限りのシングルユースリフレッシュトークン (リフレッシュ ローテーションとも呼ばれます) が使用されます。 これらは、各リフレッシュトークンを 1 回だけ使用できるようにすることで、 OAuthセキュリティを強化します。 クライアント アプリケーションがリフレッシュトークンを使用して新しいアクセス資格情報を取得すると、Databricks は新しいリフレッシュトークンを発行し、古いトークンを無効にします。
シングルユースリフレッシュトークンは、以下の目的で有効になります。
他のほとんどの公開アプリとカスタム OAuth 統合では、Databricks API を使用してこの機能を有効にします。
最新の OAuth クライアント アプリケーションのほとんどは、エンド ユーザーの動作を変更することなく、シングルユースリフレッシュトークンを自動的に処理します。すべてのクライアント アプリケーションがこの機能をサポートしているわけではありません。シングルユースのリフレッシュトークンが有効になっているとクライアント アプリケーションが正しく動作しない場合は、機能を無効にしてマルチユースのリフレッシュトークンに戻すことができます。
シングルユースリフレッシュトークンを構成する
シングルユースリフレッシュトークンは、Databricks API またはDatabricks CLIを使用して構成できます。APIの詳細については、 Databricks APIドキュメントを参照してください。 Databricks CLIの詳細については、 Databricks CLIとは何ですか?を参照してください。
シングルユースリフレッシュトークンを有効にしてOAuthセッションの存続期間 (TTL) を設定するには、 token_access_policyの下のenable_single_use_refresh_tokensフィールドとabsolute_session_lifetime_in_minutesフィールドを指定します。
- Databricks API
- Databricks CLI
{
"confidential": true,
"name": "Example Tableau Server",
"redirect_urls": ["https://example.online.tableau.com/auth/add_oauth_token"],
"scopes": ["all-apis", "offline_access"],
"token_access_policy": {
"access_token_ttl_in_minutes": 60,
"refresh_token_ttl_in_minutes": 1440,
"enable_single_use_refresh_tokens": true,
"absolute_session_lifetime_in_minutes": 43200
}
}
databricks account custom-app-integration update <app_integration_id> --json '{
"token_access_policy": {
"access_token_ttl_in_minutes": 60,
"refresh_token_ttl_in_minutes": 1440,
"enable_single_use_refresh_tokens": true,
"absolute_session_lifetime_in_minutes": 43200
}
}'