Konfigurieren von Snowflake für die automatische Benutzerbereitstellung mit Microsoft Entra-ID

In diesem Artikel werden die Schritte veranschaulicht, die Sie in Snowflake und Microsoft Entra ID ausführen, um Microsoft Entra-ID so zu konfigurieren, dass Benutzer und Gruppen automatisch für Snowflake bereitgestellt und aufgehoben werden. Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Was ist die automatisierte Bereitstellung von SaaS-App-Benutzern in Microsoft Entra ID?.

Unterstützte Funktionen

• Erstellen von Benutzern in Snowflake
• Entfernen von Benutzern aus Snowflake, wenn diese keinen Zugriff mehr benötigen
• Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und Snowflake
• Bereitstellen von Gruppen und Gruppenmitgliedschaften in Snowflake
• Zulassen des einmaligen Anmeldens für Snowflake (empfohlen)

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Mandant
• Eine der folgenden Rollen: Anwendungsadministrator, Cloudanwendungsadministrator oder Anwendungsbesitzer.
• Einen Snowflake-Mandanten
• Mindestens ein Benutzer in Snowflake mit der Rolle ACCOUNTADMIN.

Schritt 1: Planen Sie Ihren Bereitstellungsprozess

1. Erfahren Sie , wie der Bereitstellungsdienst funktioniert.
2. Identifizieren Sie, wer im Umfang der Bereitstellung enthalten ist.
3. Legen Sie fest, welche Daten zwischen Microsoft Entra ID und Snowflake gemappt werden sollen.

Schritt 2: Konfigurieren von Snowflake zur Unterstützung der Bereitstellung mit Microsoft Entra ID

Bevor Sie Snowflake für die automatische Benutzerbereitstellung mit Microsoft Entra ID konfigurieren, müssen Sie die SCIM-Bereitstellung (System for Cross-Domain Identity Management, System für domänenübergreifendes Identitätsmanagement) in Snowflake aktivieren.

1. Melden Sie sich bei Snowflake als Administrator*in an, und führen Sie Folgendes auf der Benutzeroberfläche des Snowflake-Arbeitsblatts oder in SnowSQL aus.

   use role accountadmin;
   
    create role if not exists aad_provisioner;
    grant create user on account to role aad_provisioner;
    grant create role on account to role aad_provisioner;
   grant role aad_provisioner to role accountadmin;
    create or replace security integration aad_provisioning
        type = scim
        scim_client = 'azure'
        run_as_role = 'AAD_PROVISIONER';
    select system$generate_scim_access_token('AAD_PROVISIONING');
   

2. Verwenden Sie die Rolle ACCOUNTADMIN.

   

3. Erstellen Sie die benutzerdefinierte Rolle AAD_PROVISIONER. Alle Benutzer und Rollen in Snowflake, die von Microsoft Entra ID erstellt wurden, gehören der eingeschränkten AAD_PROVISIONER Rolle.

   

4. Lassen Sie die Rolle ACCOUNTADMIN die Sicherheitsintegration mithilfe der benutzerdefinierten Rolle AAD_PROVISIONER erstellen.

   

5. Erstellen Sie das Autorisierungstoken, kopieren Sie es in die Zwischenablage, und speichern Sie es sicher für die spätere Verwendung. Verwenden Sie dieses Token für jede SCIM-REST-API-Anforderung, und platzieren Sie es im Anforderungsheader. Das Zugriffstoken läuft nach sechs Monaten ab, und mit dieser Anweisung können Sie ein neues Zugriffstoken generieren.

   

Schritt 3: Hinzufügen von Snowflake aus dem Microsoft Entra-Anwendungskatalog

Fügen Sie Snowflake aus dem Microsoft Entra-Anwendungskatalog hinzu, um mit dem Verwalten der Bereitstellung in Snowflake zu beginnen. Wenn Sie Snowflake zuvor für einmaliges Anmelden (Single Sign-On, SSO) eingerichtet haben, können Sie dieselbe Anwendung verwenden. Wir empfehlen jedoch, beim erstmaligen Testen der Integration eine separate App zu erstellen. Hier erfahren Sie mehr über das Hinzufügen einer Anwendung aus dem Katalog.

Schritt 4: Definieren, wer in die Bereitstellung einbezogen werden soll

Mit dem Microsoft Entra-Bereitstellungsdienst können Sie festlegen, wer basierend auf der Zuweisung zur Anwendung oder basierend auf Attributen des Benutzers oder der Gruppe bereitgestellt wird. Wenn Sie sich dazu entscheiden, den Kreis der Benutzer und Gruppen, die Ihrer App basierend auf der Zuweisung zugeordnet werden, zu bestimmen, können Sie die Schritte zum Zuweisen von Benutzern und Gruppen zur Anwendung verwenden. Wenn Sie festlegen möchten, für wen die Bereitstellungen ausschließlich basierend auf den Attributen des Benutzers oder der Gruppe erfolgen, können Sie einen Bereichsfilter verwenden.

• Beginnen Sie klein. Testen Sie mit einer kleinen Anzahl von Benutzern und Gruppen, bevor Sie es auf alle anwenden. Wenn der Bereich für die Bereitstellung auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies steuern, indem Sie der App einen oder zwei Benutzer oder Gruppen zuweisen. Wenn der Bereich auf alle Benutzer und Gruppen festgelegt ist, können Sie einen attributbasierten Bereichsdefinitionsfilter angeben.

• Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest aktualisieren, um neue Rollen hinzuzufügen.

Schritt 5: Konfigurieren der automatischen Benutzerbereitstellung für Snowflake

In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzer*innen und Gruppen in Snowflake erläutert. Als Grundlage für die Konfiguration können Sie Benutzer- und Gruppenzuweisungen in Microsoft Entra ID verwenden.

So konfigurieren Sie die automatische Benutzerbereitstellung für Snowflake in Microsoft Entra ID:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps.

   

3. Wählen Sie in der Liste der Anwendungen den Eintrag Snowflake aus.

   

4. Wählen Sie die Registerkarte "Bereitstellung" aus .

   

5. Wählen Sie + Neue Konfiguration aus.

   

6. Geben Sie im Abschnitt Administratoranmeldeinformationen die zuvor abgerufene SCIM 2.0-Basis-URL und das Authentifizierungstoken in die Felder Mandanten-URL und Secret-Token ein.

   Hinweis

   Der Snowflake-SCIM-Endpunkt besteht aus der Snowflake-Konto-URL, ergänzt durch /scim/v2/. Wenn Ihr Snowflake-Konto acme heißt und sich Ihr Konto in der east-us-2-Azure-Region befindet, ist der Wert der Mandanten-URLhttps://acme.east-us-2.azure.snowflakecomputing.com/scim/v2.

7. Wählen Sie "Verbindung testen" aus, um sicherzustellen, dass die Microsoft Entra-ID eine Verbindung mit Snowflake herstellen kann. Wenn die Verbindung fehlschlägt, stellen Sie sicher, dass Ihr Snowflake-Konto über die erforderlichen Administratorberechtigungen verfügt, und versuchen Sie es erneut.

   

8. Wählen Sie "Erstellen" aus, um Ihre Konfiguration zu erstellen.

9. Wählen Sie auf der Seite "Übersicht" die Option "Eigenschaften" aus.

10. Wählen Sie das Symbol "Bearbeiten" aus, um die Eigenschaften zu bearbeiten. Aktivieren Sie Benachrichtigungs-E-Mails, und stellen Sie eine E-Mail bereit, um Quarantäne-E-Mails zu empfangen. Aktivieren Sie die Verhinderung versehentlicher Löschungen. Um die Änderungen zu speichern, wählen Sie Übernehmen aus.

    

11. Wählen Sie im linken Bereich die Attributzuordnung aus, und wählen Sie Benutzer aus.

12. Überprüfen Sie im Abschnitt Attributzuordnungen die Benutzerattribute, die von Microsoft Entra ID mit Snowflake synchronisiert werden. Beachten Sie, dass die als übereinstimmende Eigenschaften ausgewählten Attribute für den Abgleich der Benutzerkonten in Snowflake für Updatevorgänge verwendet werden. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

    Merkmal	Typ
    aktiv	Boolescher Typ (Boolean)
    Anzeigename	Schnur
    E-Mails[Typ eq "Arbeit"].Wert	Schnur
    Nutzername	Schnur
    Name.Vorname	Schnur
    Name.Familienname	Schnur
    externalId	Schnur
    urn:ietf:params:scim:schemas:extension:2.0:User:type Benutzerverwaltung - Snowflake-Dokumentation	Schnur

    Hinweis

    Die Bearbeitung des Gruppenanzeigenamens ist jetzt entsperrt. Zuvor konnte der Anzeigename der Gruppe in Snowflake nicht geändert werden, sodass Kunden die Zuordnung nicht bearbeiten konnten. Sie ist jetzt bearbeitbar.

    Hinweis

    Snowflake unterstützte benutzerdefinierte Erweiterungsbenutzerattribute während der SCIM-Bereitstellung:

    • Standardrolle
    • Standardlager
    • STANDARD_SEKUNDÄRE_ROLLEN
    • SNOWFLAKE-NAME UND LOGIN_NAME-FELDER MÜSSEN UNTERSCHIEDLICH SEIN

    Wie Sie die benutzerdefinierten Snowflake-Erweiterungsattribute in der Microsoft Entra SCIM-Benutzerbereitstellung einrichten, erfahren Sie hier.

13. Wählen Sie "Gruppen" aus.

14. Überprüfen Sie im Abschnitt Attributzuordnung die Gruppenattribute, die aus Microsoft Entra ID in Snowflake synchronisiert werden. Die als übereinstimmende Eigenschaften ausgewählten Attribute werden für den Abgleich der Gruppen in Snowflake für Updatevorgänge verwendet. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

    Merkmal	Typ
    Anzeigename	Schnur
    Mitglieder	Referenz

15. Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den folgenden Anweisungen im Bereichsfilterartikel.

16. Verwenden Sie die On-Demand-Bereitstellung , um die Synchronisierung mit einer kleinen Anzahl von Benutzern zu überprüfen, bevor Sie die Bereitstellung in Ihrer Organisation umfassender durchführen.

17. Wenn Sie bereit für die Bereitstellung sind, wählen Sie auf der Seite "Übersicht" die Option "Bereitstellung starten" aus.

Schritt 6: Überwachen der Bereitstellung

Nachdem Sie die Bereitstellung konfiguriert haben, verwenden Sie die folgenden Ressourcen, um Ihre Bereitstellung zu überwachen:

1. Verwenden Sie die Bereitstellungsprotokolle , um zu ermitteln, welche Benutzer erfolgreich oder erfolglos bereitgestellt werden.
2. Überprüfen Sie den Fortschrittsbalken, um den Status des Bereitstellungszyklus zu sehen und zu erfahren, wie nahe er an der Fertigstellung ist.
3. Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zum Quarantänestatus finden Sie im Artikel über den Anwendungsbereitstellungs-Quarantänestatus.

Verbinderbeschränkungen

Die von Snowflake generierten SCIM-Token laufen nach sechs Monaten ab. Beachten Sie, dass diese Token vor ihrem Ablauf erneuert werden müssen, damit die Bereitstellungssynchronisierung weiterhin funktioniert.

Tipps zur Problembehandlung

Der Microsoft Entra-Bereitstellungsdienst wird zurzeit unter bestimmten IP-Adressbereichen betrieben. Bei Bedarf können Sie andere IP-Bereiche einschränken und diese bestimmten IP-Bereiche zur Zulassungsliste Ihrer Anwendung hinzufügen. Dadurch wird der Datenverkehrsfluss vom Microsoft Entra-Bereitstellungsdienst zu Ihrer Anwendung ermöglicht.

Änderungsprotokoll

• 21.07.2020: Soft-Delete für alle Benutzer (über das active-Attribut) wurde aktiviert.
• 12.10.2022: SCIM-Konfiguration für Snowflake aktualisiert

Weitere Ressourcen

• Verwalten der Bereitstellung von Benutzerkonten für Unternehmens-Apps
• Was sind Anwendungszugriff und einmaliges Anmelden mit Microsoft Entra ID?

Verwandte Inhalte

• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen