Mengonfigurasi Snowflake untuk provisi pengguna otomatis dengan MICROSOFT Entra ID

Artikel ini menunjukkan langkah-langkah yang perlu Anda lakukan di Snowflake dan ID Microsoft Entra untuk mengonfigurasi ID Microsoft Entra agar dapat memprovisi dan mendeprovisi pengguna dan grup secara otomatis ke Snowflake. Untuk detail penting tentang apa yang dilakukan layanan ini, cara kerjanya, dan tanya jawab umum, lihat Apa itu provisi pengguna aplikasi SaaS otomatis di ID Microsoft Entra?.

Kemampuan yang didukung

  • Membuat pengguna di Snowflake
  • Menghapus pengguna di Snowflake saat mereka tidak memerlukan akses lagi
  • Menjaga atribut pengguna tetap sinkron antara MICROSOFT Entra ID dan Snowflake
  • Mengelola grup dan keanggotaan grup di Snowflake
  • Izinkan akses menyeluruh ke Snowflake (disarankan)

Prasyarat

Skenario yang diuraikan dalam artikel ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:

Langkah 1: Rencanakan penyediaan dan implementasi Anda.

  1. Pelajari tentang Cara kerja layanan provisi .
  2. Tentukan siapa yang berada dalam cakupan untuk penyediaan.
  3. Tentukan data apa yang akan peta antara MICROSOFT Entra ID dan Snowflake.

Langkah 2: Mengonfigurasi Snowflake untuk mendukung provisi dengan ID Microsoft Entra

Sebelum mengonfigurasi Snowflake untuk provisi pengguna otomatis dengan MICROSOFT Entra ID, Anda perlu mengaktifkan provisi System for Cross-domain Identity Management (SCIM) di Snowflake.

  1. Masuk ke Snowflake sebagai administrator dan jalankan hal berikut dari antarmuka lembar kerja Snowflake atau SnowSQL.

    use role accountadmin;

 create role if not exists aad_provisioner;
 grant create user on account to role aad_provisioner;
 grant create role on account to role aad_provisioner;
grant role aad_provisioner to role accountadmin;
 create or replace security integration aad_provisioning
     type = scim
     scim_client = 'azure'
     run_as_role = 'AAD_PROVISIONER';
 select system$generate_scim_access_token('AAD_PROVISIONING');

  2. Gunakan peran ACCOUNTADMIN.

    Cuplikan layar lembar kerja di antarmuka pengguna Snowflake dengan token akses SCIM dipanggil.

  3. Buat peran kustom AAD_PROVISIONER. Semua pengguna dan peran dalam Snowflake yang dibuat oleh MICROSOFT Entra ID dimiliki oleh peran AAD_PROVISIONER yang dilingkupkan.

    Cuplikan layar memperlihatkan peran kustom.

  4. Biarkan peran ACCOUNTADMIN membuat integrasi keamanan menggunakan peran kustom AAD_PROVISIONER.

    Cuplikan layar memperlihatkan integrasi keamanan.

  5. Buat dan salin token otorisasi ke clipboard dan simpan dengan aman untuk digunakan nanti. Gunakan token ini untuk setiap permintaan SCIM REST API dan letakkan di header permintaan. Token akses kedaluwarsa setelah enam bulan dan token akses baru dapat dihasilkan dengan pernyataan ini.

    Cuplikan layar memperlihatkan pembuatan token.

Tambahkan Snowflake dari galeri aplikasi Microsoft Entra untuk mulai mengelola pengaturan ke Snowflake. Jika sebelumnya Anda menyiapkan Snowflake untuk single sign-on (SSO), Anda dapat menggunakan aplikasi yang sama. Namun, kami sarankan Anda membuat aplikasi terpisah saat anda awalnya menguji integrasi. Pelajari selengkapnya tentang menambahkan aplikasi dari galeri.

Langkah 4: Tentukan siapa yang berada dalam cakupan provisi

Layanan provisi Microsoft Entra memungkinkan Anda untuk mencakup siapa yang disediakan berdasarkan penugasan ke aplikasi, atau berdasarkan atribut pengguna atau grup. Jika Anda memilih untuk mencakup siapa yang diprovisikan ke aplikasi Anda berdasarkan penugasan, Anda dapat menggunakan langkah-langkah untuk menetapkan pengguna dan grup ke aplikasi. Jika Anda memilih untuk menentukan cakupan siapa yang diberi hak akses hanya berdasarkan atribut pengguna atau grup, Anda dapat menggunakan filter cakupan.

  • Mulai dari yang kecil. Uji dengan sekumpulan kecil pengguna dan grup sebelum diluncurkan ke semua orang. Saat cakupan provisi diatur ke pengguna dan grup yang ditetapkan, Anda dapat mengontrolnya dengan menetapkan satu atau dua pengguna atau grup ke aplikasi. Ketika cakupan diatur ke semua pengguna dan grup, Anda dapat menentukan filter cakupan berbasis atribut.

  • Jika Anda memerlukan peran tambahan, Anda dapat memperbarui manifes aplikasi untuk menambahkan peran baru.

Langkah 5: Mengonfigurasi provisi pengguna otomatis ke Snowflake

Bagian ini memandu Anda melalui langkah-langkah untuk mengonfigurasi layanan provisi Microsoft Entra untuk membuat, memperbarui, dan menonaktifkan pengguna dan grup di Snowflake. Anda dapat mendasarkan konfigurasi pada penetapan pengguna dan grup di ID Microsoft Entra.

Untuk mengonfigurasi provisi pengguna otomatis untuk Snowflake di ID Microsoft Entra:

  1. Masuk ke pusat admin Microsoft Entra dengan peran minimal sebagai administrator aplikasi cloud.

  2. Telusuri ke Entra ID>Aplikasi Perusahaan.

    Cuplikan layar yang memperlihatkan panel Aplikasi perusahaan.

  3. Dalam daftar aplikasi, pilih Snowflake.

    Cuplikan layar yang menampilkan daftar aplikasi.

  4. Pilih tab Provisioning.

    Cuplikan layar opsi Kelola dengan opsi Provisi dipilih.

  5. Pilih + Konfigurasi baru.

    Cuplikan layar dari tab penyediaan otomatis.

  6. Di bagian Kredensial Admin, masukkan URL dasar SCIM 2.0 dan token autentikasi yang Anda ambil sebelumnya di kotak URL Penyewa dan Token Rahasia.

    Nota

    Titik akhir Snowflake SCIM terdiri dari URL akun Snowflake yang ditambahkan dengan /scim/v2/. Misalnya, jika nama akun Snowflake Anda acme dan akun Snowflake Anda berada di wilayah Azure east-us-2, nilai URL Penyewa adalah https://acme.east-us-2.azure.snowflakecomputing.com/scim/v2.

  7. Pilih Uji Koneksi untuk memastikan ID Microsoft Entra dapat tersambung ke Snowflake. Jika koneksi gagal, pastikan akun Snowflake Anda memiliki izin admin yang diperlukan, lalu coba lagi.

    Cuplikan layar pengujian koneksi provisioning.

  8. Pilih Buat untuk membuat konfigurasi Anda.

  9. Pilih Properti di halaman Gambaran Umum .

  10. Pilih ikon Edit untuk mengedit properti. Aktifkan email pemberitahuan dan berikan email untuk menerima email karantina. Aktifkan pencegahan penghapusan yang tidak disengaja. Pilih Terapkan untuk menyimpan perubahan.

    Cuplikan layar properti Provisi.

  11. Pilih Pemetaan Atribut di panel kiri dan pilih pengguna.

  12. Tinjau atribut pengguna yang disinkronkan dari Microsoft Entra ID ke Snowflake di bagian Pemetaan Atribut. Atribut yang dipilih sebagai Matching digunakan untuk mencocokkan akun pengguna di Snowflake dalam operasi pembaruan. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

    Atribut Tipe
    aktif Boolean
    nama tampilan string
    surel[jenis eq "kerja"].nilai string
    userName string
    namaDepan string
    nama.keluarga string
    Id eksternal string
    urn:ietf:params:scim:schemas:extension:2.0:User:type Manajemen Pengguna - Dokumentasi Snowflake string

    Nota

    Pengeditan nama tampilan grup telah dibuka. Sebelumnya, nama tampilan grup di Snowflake tidak dapat diubah, mencegah pelanggan mengedit pemetaan. Sekarang dapat diedit.

    Nota

    Snowflake mendukung atribut pengguna kustom ekstensi selama provisi SCIM.

    • PERAN_BAWAAN
    • Gudang Standar
    • DEFAULT_SECONDARY_ROLES
    • NAMA SNOWFLAKE DAN BIDANG LOGIN_NAME HARUS BERBEDA

    Cara menyiapkan atribut ekstensi kustom Snowflake di provisi pengguna Microsoft Entra SCIM dijelaskan di sini.

  13. Pilih grup .

  14. Tinjau atribut grup yang disinkronkan dari ID Microsoft Entra ke Snowflake di bagian Pemetaan Atribut. Atribut yang dipilih sebagai properti Cocok digunakan untuk mencocokkan grup di Snowflake untuk operasi pembaruan. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

    Atribut Tipe
    nama tampilan string
    anggota Referensi

  15. Untuk mengonfigurasi filter cakupan, lihat instruksi berikut yang disediakan dalam artikel Filter cakupan.

  16. Gunakan provisi sesuai permintaan untuk memvalidasi sinkronisasi dengan sejumlah kecil pengguna sebelum menyebarkan lebih luas di organisasi Anda.

  17. Saat Anda siap untuk memprovisikan, pilih Mulai Provisi dari halaman Gambaran Umum .

Langkah 6: Memantau penyebaran Anda

Setelah mengonfigurasi penyediaan, gunakan sumber daya berikut untuk memantau penyebaran Anda.

  1. Gunakan log provisi untuk menentukan pengguna mana yang berhasil disediakan atau tidak berhasil
  2. Periksa bilah kemajuan untuk melihat status siklus penyediaan dan sejauh mana penyelesaiannya.
  3. Jika konfigurasi provisi tampaknya dalam keadaan tidak sehat, aplikasi masuk ke karantina. Pelajari lebih lanjut tentang status karantina penyediaan aplikasi di artikel status karantina .

Batasan konektor

Token SCIM yang dihasilkan Snowflake kedaluwarsa dalam 6 bulan. Ketahuilah bahwa Anda perlu menyegarkan token ini sebelum kedaluwarsa, untuk memungkinkan sinkronisasi provisi terus berfungsi.

Tips pemecahan masalah

Layanan provisi Microsoft Entra saat ini beroperasi di bawah rentang IP tertentu. Jika perlu, Anda dapat membatasi rentang IP lain dan menambahkan rentang IP tertentu ini ke daftar izin aplikasi Anda. Teknik tersebut akan memungkinkan arus lalu lintas dari layanan provisi Microsoft Entra ke aplikasi Anda.

Riwayat Perubahan

  • 21/7/2020: Mengaktifkan penghapusan sementara untuk semua pengguna (melalui atribut aktif).
  • 12/10/2022: Konfigurasi Snowflake SCIM yang Diperbarui.

Sumber daya tambahan

Konten terkait

  • Last updated on