OBO로 앱 사용자 추적하기

[현재] IC360 포털 → SP 토큰 → Databricks
       감사 로그: "service_principal_app_12345가 쿼리 실행" (누가 요청했는지 알 수 없음)

[OBO] IC360 → 사용자 SSO 로그인 → OBO 토큰 → Databricks
      감사 로그: "hong.gildong@company.com이 쿼리 실행"

import os
from databricks.sdk import WorkspaceClient
from fastapi import FastAPI, Request

app = FastAPI()

@app.get("/query")
def run_query(request: Request, sql: str):
    # 사용자의 OAuth 토큰을 헤더에서 추출
    user_token = request.headers.get("x-forwarded-access-token")
    
    # 사용자 토큰으로 Databricks 클라이언트 생성
    w = WorkspaceClient(
        host=os.getenv("DATABRICKS_HOST"),
        token=user_token  # SP 토큰이 아닌 사용자 토큰!
    )
    
    # 이 쿼리는 사용자 ID로 감사 로그에 기록됨
    result = w.statement_execution.execute_statement(
        warehouse_id=os.getenv("WAREHOUSE_ID"),
        statement=sql
    )
    return result

command: ['uvicorn', 'app:app', '--host', '0.0.0.0', '--port', '${DATABRICKS_APP_PORT}']
env:
  - name: DATABRICKS_HOST
    valueFrom: host
  - name: WAREHOUSE_ID
    valueFrom: sql_warehouse
# 사용자 인증 활성화 — OBO 토큰이 자동 전달됨
auth:
  type: user  # SP가 아닌 사용자 토큰 사용

-- IC360 서버에서 Databricks SQL API 호출 시
SET spark.databricks.queryTag = '{"user": "hong.gildong@company.com", "source": "IC360", "department": "marketing"}';

SELECT * FROM gold.customer_360 WHERE region = 'APAC';

-- 누가 어떤 쿼리를 실행했는지 추적
SELECT
  event_time,
  get_json_object(request_params.queryTag, '$.user') AS actual_user,
  get_json_object(request_params.queryTag, '$.source') AS source_app,
  request_params.commandText AS sql_query
FROM system.access.audit
WHERE action_name = 'commandSubmit'
  AND service_name = 'databrickssql'
ORDER BY event_time DESC;