Sdílet prostřednictvím

Kurz: Konfigurace Snowflake pro automatické zřizování uživatelů

  • Článek

Tento kurz ukazuje kroky, které provedete ve Snowflake a Microsoft Entra ID ke konfiguraci Microsoft Entra ID pro automatické zřizování a rušení uživatelů a skupin pro Snowflake. Důležité podrobnosti o tom, co tato služba dělá, jak funguje, a nejčastější dotazy najdete v tématu Co je automatizované zřizování uživatelů aplikací SaaS v Microsoft Entra ID?.

Podporované funkce

  • Vytváření uživatelů ve Snowflake
  • Odebrání uživatelů ve Snowflake, když už nevyžadují přístup
  • Zachování synchronizace atributů uživatele mezi ID Microsoft Entra a Snowflake
  • Zřízení skupin a členství ve skupinách ve Snowflake
  • Povolit jednotné přihlašování ke Snowflake (doporučeno)

Požadavky

Scénář popsaný v tomto kurzu předpokládá, že už máte následující požadavky:

Krok 1: Plánování nasazení zřizování

  1. Seznamte se s fungováním služby zřizování.
  2. Zjistěte, kdo bude v rozsahu zřizování.
  3. Určete, jaká data se mají mapovat mezi Microsoft Entra ID a Snowflake.

Krok 2: Konfigurace Snowflake pro podporu zřizování pomocí Microsoft Entra ID

Než nakonfigurujete Snowflake pro automatické zřizování uživatelů pomocí Microsoft Entra ID, musíte povolit systém pro zřizování SCIM (Cross-Domain Identity Management) ve Snowflake.

  1. Přihlaste se ke Snowflake jako správce a spusťte následující příkaz z rozhraní listu Snowflake nebo SnowSQL.

    use role accountadmin;

 create role if not exists aad_provisioner;
 grant create user on account to role aad_provisioner;
 grant create role on account to role aad_provisioner;
grant role aad_provisioner to role accountadmin;
 create or replace security integration aad_provisioning
     type = scim
     scim_client = 'azure'
     run_as_role = 'AAD_PROVISIONER';
 select system$generate_scim_access_token('AAD_PROVISIONING');

  2. Použijte roli ACCOUNTADMIN.

    Snímek obrazovky s listem v uživatelském rozhraní Snowflake s vyvolaným přístupovým tokenem SCIM

  3. Vytvořte vlastní AAD_PROVISIONER role. Všichni uživatelé a role ve Snowflake vytvořeném ID Microsoft Entra budou vlastníkem vymezené role AAD_PROVISIONER.

    Snímek obrazovky znázorňující vlastní roli

  4. Nechte roli ACCOUNTADMIN vytvořit integraci zabezpečení pomocí AAD_PROVISIONER vlastní role.

    Snímek obrazovky znázorňující integrace zabezpečení

  5. Vytvořte a zkopírujte autorizační token do schránky a bezpečně uložte ho pro pozdější použití. Tento token použijte pro každý požadavek rozhraní REST API SCIM a umístěte ho do hlavičky požadavku. Platnost přístupového tokenu vyprší po šesti měsících a pomocí tohoto příkazu je možné vygenerovat nový přístupový token.

    Snímek obrazovky znázorňující generování tokenů

Přidejte Snowflake z galerie aplikací Microsoft Entra, abyste mohli začít spravovat zřizování pro Snowflake. Pokud jste dříve nastavili Snowflake pro jednotné přihlašování (SSO), můžete použít stejnou aplikaci. Při počátečním testování integrace ale doporučujeme vytvořit samostatnou aplikaci. Přečtěte si další informace o přidání aplikace z galerie.

Krok 4: Definujte, kdo bude v oboru zřizování

Služba zřizování Microsoft Entra umožňuje určit rozsah, který bude zřízen na základě přiřazení k aplikaci nebo na základě atributů uživatele nebo skupiny. Pokud se rozhodnete určit rozsah, který se pro vaši aplikaci zřídí na základě přiřazení, můžete k přiřazení uživatelů a skupin k aplikaci použít postup. Pokud se rozhodnete určit rozsah, který bude zřízen výhradně na základě atributů uživatele nebo skupiny, můžete použít filtr oborů.

Mějte na paměti tyto tipy:

  • Při přiřazování uživatelů a skupin do Snowflake musíte vybrat jinou roli než Výchozí přístup. Uživatelé s rolí Výchozí přístup jsou vyloučeni ze zřizování a v protokolech zřizování se označí příznakem neplatného nároku. Pokud je jedinou rolí dostupnou v aplikaci výchozí přístupová role, můžete aktualizovat manifest aplikace a přidat další role.

  • Pokud potřebujete další role, můžete aktualizovat manifest aplikace a přidat nové role.

Krok 5: Konfigurace automatického zřizování uživatelů pro Snowflake

Tato část vás provede postupem konfigurace služby zřizování Microsoft Entra pro vytváření, aktualizaci a zakázání uživatelů a skupin ve Snowflake. Konfiguraci můžete založit na přiřazení uživatelů a skupin v ID Microsoft Entra.

Konfigurace automatického zřizování uživatelů pro Snowflake v Microsoft Entra ID:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Přejděte k podnikovým aplikacím> identit.>

    Snímek obrazovky znázorňující podokno Podnikové aplikace

  3. V seznamu aplikací vyberte Snowflake.

    Snímek obrazovky se seznamem aplikací

  4. Vyberte kartu Zřizování.

    Snímek obrazovky s možnostmi Spravovat s vyvolanou možností Zřizování

  5. Nastavte režim zřizování na automatickou.

    Snímek obrazovky s rozevíracím seznamem Režim zřizování s vyvolanou možností Automaticky

  6. V části Správa Přihlašovací údaje zadejte základní adresu URL A ověřovací token SCIM 2.0, který jste získali dříve v polích Adresa URL tenanta a token tajných kódů.

    Poznámka:

    Koncový bod Snowflake SCIM se skládá z adresy URL účtu Snowflake připojené pomocí /scim/v2/. Pokud je například název acme vašeho účtu Snowflake a váš účet Snowflake je v east-us-2 oblasti Azure, hodnota adresa URL tenanta je https://acme.east-us-2.azure.snowflakecomputing.com/scim/v2.

    Vyberte testovací Připojení ion a ujistěte se, že se ID Microsoft Entra může připojit ke Snowflake. Pokud připojení selže, ujistěte se, že váš účet Snowflake má oprávnění správce, a zkuste to znovu.

    Snímek obrazovky znázorňující pole pro adresu URL tenanta a token tajného kódu společně s tlačítkem Test Připojení ion

  7. Do pole E-mail s oznámením zadejte e-mailovou adresu osoby nebo skupiny, která by měla dostávat oznámení o chybách zřizování. Potom zaškrtněte políčko Odeslat e-mailové oznámení, když dojde k chybě.

    Snímek obrazovky, který zobrazuje pole pro e-mail s oznámením

  8. Zvolte Uložit.

  9. V části Mapování vyberte Synchronizovat uživatele Microsoft Entra do Snowflake.

  10. Zkontrolujte atributy uživatele, které jsou synchronizovány z Microsoft Entra ID do Snowflake v části Mapování atributů. Atributy vybrané jako Odpovídající vlastnosti se používají ke shodě uživatelských účtů ve Snowflake pro operace aktualizace. Výběrem tlačítka Uložit potvrďte všechny změny.

    Atribut Typ
    active Logická hodnota
    displayName String
    emails[type eq "work"].value String
    userName String
    name.givenName String
    name.familyName String
    externalId String

    Poznámka:

    Snowflake podporoval atributy uživatelů vlastních rozšíření během zřizování SCIM:

    • DEFAULT_ROLE
    • DEFAULT_WAREHOUSE
    • DEFAULT_SECONDARY_ROLES
    • SNOWFLAKE NAME AND LOGIN_NAME FIELDS TO BE DIFFERENT

    Zde je vysvětleno, jak nastavit atributy vlastních rozšíření Snowflake v zřizování uživatelů Microsoft Entra SCIM.

  11. V části Mapování vyberte Synchronizovat skupiny Microsoft Entra do Snowflake.

  12. Zkontrolujte atributy skupiny, které jsou synchronizovány z Microsoft Entra ID do Snowflake v části Mapování atributů. Atributy vybrané jako odpovídající vlastnosti slouží ke shodě skupin ve Snowflake pro operace aktualizace. Výběrem tlačítka Uložit potvrďte všechny změny.

    Atribut Typ
    displayName String
    členové Reference

  13. Pokud chcete nakonfigurovat filtry oborů, projděte si pokyny v kurzu filtrování oborů.

  14. Pokud chcete povolit službu zřizování Microsoft Entra pro Snowflake, změňte stav zřizování na Zapnuto v části Nastavení.

    Snímek obrazovky s zapnutým stavem zřizování

  15. Definujte uživatele a skupiny, které chcete zřídit pro Snowflake, výběrem požadovaných hodnot v oboru v části Nastavení.

    Pokud tato možnost není dostupná, nakonfigurujte požadovaná pole v části Správa Přihlašovací údaje, vyberte Uložit a aktualizujte stránku.

    Snímek obrazovky znázorňující volby pro obor zřizování

  16. Až budete připravení zřídit, vyberte Uložit.

    Snímek obrazovky s tlačítkem pro uložení konfigurace zřizování

Tato operace spustí počáteční synchronizaci všech uživatelů a skupin definovaných v oboru v části Nastavení. Počáteční synchronizace trvá déle než následné synchronizace. K následným synchronizacím dochází přibližně každých 40 minut, pokud je spuštěná služba zřizování Microsoft Entra.

Krok 6: Monitorování nasazení

Po nakonfigurování zřizování můžete k monitorování nasazení použít následující prostředky:

omezení Připojení oru

Platnost tokenů SCIM vygenerovaných snowflakem vyprší za 6 měsíců. Mějte na paměti, že tyto tokeny je potřeba aktualizovat před vypršením jejich platnosti, aby synchronizace zřizování mohla pokračovat v práci.

Rady pro řešení potíží

Služba zřizování Microsoft Entra v současné době funguje v rámci konkrétních rozsahů IP adres. V případě potřeby můžete omezit další rozsahy IP adres a přidat tyto konkrétní rozsahy IP adres do seznamu povolených adres vaší aplikace. Tato technika umožní tok provozu ze služby Microsoft Entra provisioning do vaší aplikace.

Protokol změn

  • 21. 7. 2020: Povoleno obnovitelné odstranění pro všechny uživatele (prostřednictvím aktivního atributu).
  • 10. 12. 2022: Aktualizace konfigurace SCIM Snowflake.

Další materiály

Další kroky