Bagikan melalui

Mengonfigurasi Snowflake untuk provisi pengguna otomatis

  • Artikel

Artikel ini menunjukkan langkah-langkah yang perlu Anda lakukan di Snowflake dan ID Microsoft Entra untuk mengonfigurasi ID Microsoft Entra agar dapat memprovisi dan mendeprovisi pengguna dan grup secara otomatis ke Snowflake. Untuk detail penting tentang apa yang dilakukan layanan ini, cara kerjanya, dan tanya jawab umum, lihat Apa itu provisi pengguna aplikasi SaaS otomatis di ID Microsoft Entra?.

Kemampuan yang didukung

  • Membuat pengguna di Snowflake
  • Menghapus pengguna di Snowflake saat mereka tidak memerlukan akses lagi
  • Menjaga atribut pengguna tetap sinkron antara MICROSOFT Entra ID dan Snowflake
  • Mengelola grup dan keanggotaan grup di Snowflake
  • Izinkan akses menyeluruh ke Snowflake (disarankan)

Prasyarat

Skenario yang diuraikan dalam artikel ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:

Langkah 1: Rencanakan penyediaan dan implementasi Anda.

  1. Pelajari tentang Cara kerja layanan provisi .
  2. Tentukan siapa yang berada dalam cakupan untuk penyediaan.
  3. Tentukan data apa yang akan peta antara MICROSOFT Entra ID dan Snowflake.

Langkah 2: Mengonfigurasi Snowflake untuk mendukung provisi dengan ID Microsoft Entra

Sebelum mengonfigurasi Snowflake untuk provisi pengguna otomatis dengan MICROSOFT Entra ID, Anda perlu mengaktifkan provisi System for Cross-domain Identity Management (SCIM) di Snowflake.

  1. Masuk ke Snowflake sebagai administrator dan jalankan hal berikut dari antarmuka lembar kerja Snowflake atau SnowSQL.

    use role accountadmin;

 create role if not exists aad_provisioner;
 grant create user on account to role aad_provisioner;
 grant create role on account to role aad_provisioner;
grant role aad_provisioner to role accountadmin;
 create or replace security integration aad_provisioning
     type = scim
     scim_client = 'azure'
     run_as_role = 'AAD_PROVISIONER';
 select system$generate_scim_access_token('AAD_PROVISIONING');

  2. Gunakan peran ACCOUNTADMIN.

    Cuplikan layar lembar kerja di antarmuka pengguna Snowflake dengan token akses SCIM dipanggil.

  3. Buat peran kustom AAD_PROVISIONER. Semua pengguna dan peran dalam Snowflake yang dibuat oleh MICROSOFT Entra ID dimiliki oleh peran AAD_PROVISIONER yang dilingkupkan.

    Cuplikan layar memperlihatkan peran kustom.

  4. Biarkan peran ACCOUNTADMIN membuat integrasi keamanan menggunakan peran kustom AAD_PROVISIONER.

    Cuplikan layar memperlihatkan integrasi keamanan.

  5. Buat dan salin token otorisasi ke clipboard dan simpan dengan aman untuk digunakan nanti. Gunakan token ini untuk setiap permintaan SCIM REST API dan letakkan di header permintaan. Token akses kedaluwarsa setelah enam bulan dan token akses baru dapat dihasilkan dengan pernyataan ini.

    Cuplikan layar memperlihatkan pembuatan token.

Tambahkan Snowflake dari galeri aplikasi Microsoft Entra untuk mulai mengelola pengaturan ke Snowflake. Jika sebelumnya Anda menyiapkan Snowflake untuk single sign-on (SSO), Anda dapat menggunakan aplikasi yang sama. Namun, kami sarankan Anda membuat aplikasi terpisah saat anda awalnya menguji integrasi. Pelajari selengkapnya tentang menambahkan aplikasi dari galeri.

Langkah 4: Tentukan siapa yang berada dalam cakupan provisi

Layanan provisi Microsoft Entra memungkinkan Anda untuk mencakup siapa yang disediakan berdasarkan penugasan ke aplikasi, atau berdasarkan atribut pengguna atau grup. Jika Anda memilih untuk mencakup siapa yang diprovisikan ke aplikasi Anda berdasarkan penugasan, Anda dapat menggunakan langkah-langkah untuk menetapkan pengguna dan grup ke aplikasi. Jika Anda memilih untuk menentukan cakupan siapa yang diberi hak akses hanya berdasarkan atribut pengguna atau grup, Anda dapat menggunakan filter cakupan.

  • Mulai dari yang kecil. Uji dengan sekumpulan kecil pengguna dan grup sebelum diluncurkan ke semua orang. Saat cakupan provisi diatur ke pengguna dan grup yang ditetapkan, Anda dapat mengontrolnya dengan menetapkan satu atau dua pengguna atau grup ke aplikasi. Ketika cakupan diatur ke semua pengguna dan grup, Anda dapat menentukan filter cakupan berbasis atribut.

  • Jika Anda memerlukan peran tambahan, Anda dapat memperbarui manifes aplikasi untuk menambahkan peran baru.

Langkah 5: Mengonfigurasi provisi pengguna otomatis ke Snowflake

Bagian ini memandu Anda melalui langkah-langkah untuk mengonfigurasi layanan provisi Microsoft Entra untuk membuat, memperbarui, dan menonaktifkan pengguna dan grup di Snowflake. Anda dapat mendasarkan konfigurasi pada penetapan pengguna dan grup di ID Microsoft Entra.

Untuk mengonfigurasi provisi pengguna otomatis untuk Snowflake di ID Microsoft Entra:

  1. Masuk ke pusat admin Microsoft Entra dengan peran minimal sebagai administrator aplikasi cloud.

  2. Telusuri ke Identity>Applications>Aplikasi Perusahaan.

    Cuplikan layar yang memperlihatkan panel Aplikasi perusahaan.

  3. Dalam daftar aplikasi, pilih Snowflake.

    Cuplikan layar yang menampilkan daftar aplikasi.

  4. Pilih tab Provisioning.

    Cuplikan layar opsi Kelola dengan opsi Provisi dipilih.

  5. Atur Mode Penyediaan ke Otomatis.

    Cuplikan layar daftar drop-down Mode Provisi dengan opsi Otomatis dipanggil.

  6. Di bagian Kredensial Admin, masukkan URL dasar SCIM 2.0 dan token autentikasi yang Anda ambil sebelumnya di kotak URL Penyewa dan Token Rahasia.

    Nota

    Titik akhir Snowflake SCIM terdiri dari URL akun Snowflake yang ditambahkan dengan /scim/v2/. Misalnya, jika nama akun Snowflake Anda acme dan akun Snowflake Anda berada di wilayah Azure east-us-2, nilai URL Penyewa adalah https://acme.east-us-2.azure.snowflakecomputing.com/scim/v2.

    Pilih Uji Koneksi untuk memastikan bahwa ID Microsoft Entra dapat tersambung ke Snowflake. Jika koneksi gagal, pastikan akun Snowflake Anda memiliki izin admin, lalu coba lagi.

    Cuplikan layar yang memperlihatkan kotak untuk URL penyewa dan token rahasia, bersama dengan tombol Uji Koneksi.

  7. Di kotak Surel Pemberitahuan, masukkan alamat email pengguna atau grup yang seharusnya menerima pemberitahuan kesalahan provisi. Lalu pilih kotak centang Kirim pemberitahuan email saat kegagalan terjadi.

    Cuplikan layar yang memperlihatkan kotak untuk email pemberitahuan.

  8. Pilih Simpan.

  9. Di bagian Pemetaan, pilih Sinkronkan pengguna Microsoft Entra ke Snowflake.

  10. Tinjau atribut pengguna yang disinkronkan dari Microsoft Entra ID ke Snowflake di bagian Pemetaan Atribut. Atribut yang dipilih sebagai Matching digunakan untuk mencocokkan akun pengguna di Snowflake dalam operasi pembaruan. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

    Atribut Tipe
    aktif Boolean (tipe data yang hanya memiliki dua nilai: true atau false)
    nama tampilan string
    surel[jenis eq "kerja"].nilai string
    userName string
    namaDepan string
    nama.keluarga string
    Id eksternal string

    Nota

    Snowflake mendukung atribut pengguna kustom ekstensi selama provisi SCIM.

    • PERAN_BAWAAN
    • DEFAULT_WAREHOUSE
    • DEFAULT_SECONDARY_ROLES
    • NAMA SNOWFLAKE DAN BIDANG LOGIN_NAME HARUS BERBEDA

    Cara menyiapkan atribut ekstensi kustom Snowflake di provisi pengguna Microsoft Entra SCIM dijelaskan di sini.

  11. Di bagian Pemetaan, pilih Sinkronkan grup Microsoft Entra ke Snowflake.

  12. Tinjau atribut grup yang disinkronkan dari ID Microsoft Entra ke Snowflake di bagian Pemetaan Atribut. Atribut yang dipilih sebagai properti Cocok digunakan untuk mencocokkan grup di Snowflake untuk operasi pembaruan. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

    Atribut Tipe
    nama tampilan string
    anggota Referensi

  13. Untuk mengonfigurasi filter cakupan, lihat instruksi di artikel filter cakupan .

  14. Untuk mengaktifkan layanan provisi Microsoft Entra untuk Snowflake, ubah Status Provisi menjadi Aktif di bagian Pengaturan.

    Cuplikan layar yang menunjukkan Status Provisi sudah diaktifkan.

  15. Tentukan pengguna dan grup yang ingin Anda provisikan ke Snowflake dengan memilih nilai yang diinginkan dalam Cakupan di bagian Pengaturan.

    Jika opsi ini tidak tersedia, konfigurasikan bidang yang diperlukan di bawah Kredensial Admin, pilih Simpan, dan refresh halaman.

    Cuplikan layar yang memperlihatkan pilihan untuk menyediakan cakupan.

  16. Setelah Anda siap memprovisi, pilih Simpan.

    Cuplikan layar tombol untuk menyimpan konfigurasi provisi.

Operasi ini memulai sinkronisasi awal semua pengguna dan grup yang ditentukan dalam Cakupan di bagian Pengaturan. Sinkronisasi awal membutuhkan waktu lebih lama daripada sinkronisasi berikutnya. Sinkronisasi berikutnya terjadi sekitar setiap 40 menit, selama layanan provisi Microsoft Entra berjalan.

Langkah 6: Memantau penyebaran Anda

Setelah mengonfigurasi penyediaan, gunakan sumber daya berikut untuk memantau penyebaran Anda.

  1. Gunakan log provisi untuk menentukan pengguna mana yang berhasil disediakan atau tidak berhasil
  2. Periksa bilah kemajuan untuk melihat status siklus penyediaan dan sejauh mana penyelesaiannya.
  3. Jika konfigurasi provisi tampaknya dalam keadaan tidak sehat, aplikasi masuk ke karantina. Pelajari lebih lanjut tentang status karantina penyediaan aplikasi di artikel status karantina .

Batasan konektor

Token SCIM yang dihasilkan Snowflake kedaluwarsa dalam 6 bulan. Ketahuilah bahwa Anda perlu menyegarkan token ini sebelum kedaluwarsa, untuk memungkinkan sinkronisasi provisi terus berfungsi.

Tips pemecahan masalah

Layanan provisi Microsoft Entra saat ini beroperasi di bawah rentang IP tertentu. Jika perlu, Anda dapat membatasi rentang IP lain dan menambahkan rentang IP tertentu ini ke daftar izin aplikasi Anda. Teknik tersebut akan memungkinkan arus lalu lintas dari layanan provisi Microsoft Entra ke aplikasi Anda.

Riwayat Perubahan

  • 21/7/2020: Mengaktifkan penghapusan sementara untuk semua pengguna (melalui atribut aktif).
  • 12/10/2022: Konfigurasi Snowflake SCIM yang Diperbarui.

Sumber daya tambahan

Konten terkait