Konfigurasi Snowflake untuk Single Sign-On dengan Microsoft Entra ID

Dalam artikel ini, Anda mempelajari cara mengintegrasikan Snowflake dengan MICROSOFT Entra ID. Saat mengintegrasikan Snowflake dengan Microsoft Entra ID, Anda dapat:

  • Mengontrol di MICROSOFT Entra ID siapa yang memiliki akses ke Snowflake.
  • Memungkinkan pengguna Anda untuk masuk secara otomatis ke Snowflake dengan akun Microsoft Entra mereka.
  • Kelola akun Anda di satu lokasi pusat.

Prasyarat

Untuk mengonfigurasi integrasi Microsoft Entra dengan Snowflake, Anda memerlukan item berikut:

  • Sebuah langganan Microsoft Entra. Jika Anda tidak memiliki lingkungan Microsoft Entra, Anda bisa mendapatkan akun gratis.
  • Langganan dengan masuk tunggal Snowflakes telah diaktifkan.
  • Bersama dengan Administrator Aplikasi Cloud, Administrator Aplikasi juga dapat menambahkan atau mengelola aplikasi di ID Microsoft Entra. Untuk informasi selengkapnya, lihat Peran bawaan Azure.

Catatan

Integrasi ini juga tersedia untuk digunakan dari lingkungan Microsoft Entra US Government Cloud. Anda dapat menemukan aplikasi ini di Microsoft Entra US Government Cloud Application Gallery dan mengonfigurasinya dengan cara yang sama seperti yang Anda lakukan dari cloud publik.

Deskripsi Skenario

Dalam artikel ini, Anda mengonfigurasi dan menguji akses menyeluruh Microsoft Entra di lingkungan pengujian.

Untuk mengonfigurasi integrasi Snowflake ke microsoft Entra ID, Anda perlu menambahkan Snowflake dari galeri ke daftar aplikasi SaaS terkelola Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Aplikasi Cloud setidaknya.
  2. Jelajahi Entra ID>Aplikasi Perusahaan>Aplikasi Baru.
  3. Di bagian Tambahkan dari galeri, ketik Snowflake di kotak pencarian.
  4. Pilih Snowflake dari panel hasil, lalu tambahkan aplikasi. Tunggu beberapa detik selagi aplikasi ditambahkan ke penyewa Anda.

Anda juga dapat menggunakan Wizard Konfigurasi Aplikasi Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, dan menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji SSO Microsoft Entra untuk Snowflake

Konfigurasikan dan uji SSO Microsoft Entra dengan Snowflake menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di Snowflake.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan Snowflake, lakukan langkah-langkah berikut:

  1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.
    1. Buat pengguna uji Microsoft Entra - untuk menguji login tunggal Microsoft Entra dengan B.Simon.
    2. Tetapkan pengguna uji Microsoft Entra - agar B.Simon dapat menggunakan fitur log masuk tunggal Microsoft Entra.
  2. Konfigurasikan SSO Snowflake - untuk mengonfigurasi pengaturan single sign-on di sisi aplikasi.
    1. Buat pengguna uji Snowflake - untuk memiliki rekan B.Simon di Snowflake yang ditautkan ke representasi pengguna di Microsoft Entra.
  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Konfigurasi SSO Microsoft Entra

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Aplikasi Cloud setidaknya.

  2. Telusuri Entra ID>Aplikasi perusahaan>Snowflake>Single sign-on.

  3. Di halaman Pilih metode akses menyeluruh, pilih SAML.

  4. Pada halaman Siapkan masuk tunggal dengan SAML, pilih ikon pena untuk Konfigurasi SAML Dasar guna mengedit pengaturan.

    Cuplikan layar memperlihatkan untuk mengedit Konfigurasi S A M L Dasar.

  5. Di bagian Konfigurasi SAML Dasar, lakukan langkah-langkah berikut, jika Anda ingin mengonfigurasi aplikasi dalam mode yang dimulai IDP:

    sebuah. Di kotak teks Pengidentifikasi, ketik URL menggunakan pola berikut: https://<SNOWFLAKE-URL>.snowflakecomputing.com

    b. Dalam kotak teks URL Balasan, ketik URL menggunakan pola berikut: https://<SNOWFLAKE-URL>.snowflakecomputing.com/fed/login

  6. Pilih Atur URL tambahan dan lakukan langkah berikut jika Anda ingin mengonfigurasi aplikasi dalam mode yang dimulai SP:

    sebuah. Di kotak teks URL Masuk, ketik URL menggunakan pola berikut: https://<SNOWFLAKE-URL>.snowflakecomputing.com

    b. Dalam kotak teks URL Keluar, ketik URL menggunakan pola berikut: https://<SNOWFLAKE-URL>.snowflakecomputing.com/fed/logout

    Catatan

    Nilai-nilai ini tidak nyata. Perbarui nilai-nilai ini dengan Pengidentifikasi, URL Balasan, URL Masuk, dan URL Keluar yang sebenarnya. Hubungi tim dukungan Klien Snowflake untuk mendapatkan nilai ini. Anda juga dapat merujuk ke pola yang ditampilkan di bagian Konfigurasi SAML Dasar.

  7. Pada halaman Siapkan Sign-On Tunggal dengan SAML, di bagian Sertifikat Penandatanganan SAML, pilih Unduh untuk mengunduh Sertifikat (Base64) dari opsi yang diberikan sesuai kebutuhan Anda dan simpanlah di komputer Anda.

    Cuplikan layar memperlihatkan tautan Unduhan sertifikat.

  8. Pada bagian Siapkan Snowflake, salin satu atau beberapa URL yang sesuai kebutuhan Anda.

    Cuplikan layar menunjukkan cara menyalin URL konfigurasi yang tepat.

Membuat dan menetapkan pengguna uji Microsoft Entra

Ikuti prosedur dalam panduan cepat membuat dan menetapkan akun pengguna untuk membuat akun pengguna uji bernama B.Simon.

Konfigurasikan SSO Snowflake

  1. Di jendela browser web yang berbeda, masuk ke Snowflake sebagai Administrator Keamanan.

  2. Alihkan Peran ke ACCOUNTADMIN, dengan memilih profil di sisi kanan atas halaman.

    Catatan

    Hal ini terpisah dari konteks yang telah Anda pilih di sudut kanan atas di bawah Nama Pengguna Anda.

    Administrator Snowflake

  3. Buka sertifikat Base 64 yang diunduh di notepad. Salin nilai antara “-----BEGIN CERTIFICATE-----” dan “-----END CERTIFICATE-----" dan tempel konten ini ke SAML2_X509_CERT.

  4. Di SAML2_ISSUER, tempelkan nilai Pengidentifikasi, yang Anda salin sebelumnya.

  5. Di SAML2_SSO_URL, tempelkan nilai URL Masuk, yang Anda salin sebelumnya.

  6. Pada SAML2_PROVIDER, beri nilai seperti CUSTOM.

  7. Pilih Semua Kueri dan pilih Jalankan.

    Snowflake sql 

    CREATE [ OR REPLACE ] SECURITY INTEGRATION [ IF NOT EXISTS ]
TYPE = SAML2
ENABLED = TRUE | FALSE
SAML2_ISSUER = '<EntityID/Issuer value which you have copied>'
SAML2_SSO_URL = '<Login URL value which you have copied>'
SAML2_PROVIDER = 'CUSTOM'
SAML2_X509_CERT = '<Paste the content of downloaded certificate from Azure portal>'
[ SAML2_SP_INITIATED_LOGIN_PAGE_LABEL = '<string_literal>' ]
[ SAML2_ENABLE_SP_INITIATED = TRUE | FALSE ]
[ SAML2_SNOWFLAKE_X509_CERT = '<string_literal>' ]
[ SAML2_SIGN_REQUEST = TRUE | FALSE ]
[ SAML2_REQUESTED_NAMEID_FORMAT = '<string_literal>' ]
[ SAML2_POST_LOGOUT_REDIRECT_URL = '<string_literal>' ]
[ SAML2_FORCE_AUTHN = TRUE | FALSE ]
[ SAML2_SNOWFLAKE_ISSUER_URL = '<string_literal>' ]
[ SAML2_SNOWFLAKE_ACS_URL = '<string_literal>' ]

Jika Anda menggunakan URL Snowflake baru dengan nama organisasi sebagai URL masuk, anda perlu memperbarui parameter berikut:

Ubah integrasi untuk menambahkan URL Pengeluar Sertifikat Snowflake dan URL SAML2 Snowflake ACS, silakan ikuti langkah-6 dalam artikel ini untuk informasi lebih lanjut.

  1. [ SAML2_SNOWFLAKE_ISSUER_URL = '<string_literal>' ]

    ubah integrasi keamanan <your security integration name goes here> set SAML2_SNOWFLAKE_ISSUER_URL = https://<organization_name>-<account name>.snowflakecomputing.com;

  2. [ SAML2_SNOWFLAKE_ACS_URL = '<string_literal>' ]

    Ubah integrasi keamanan <your security integration name goes here> dengan menetapkan SAML2_SNOWFLAKE_ACS_URL = https://<organization_name>-<account name>.snowflakecomputing.com/fed/login;

Catatan

Ikuti panduan ini untuk mengetahui selengkapnya tentang cara membuat integrasi keamanan SAML2.

Catatan

Jika Anda sudah memiliki penyiapan SSO menggunakan parameter akun saml_identity_provider, ikuti panduan ini untuk memigrasikannya ke integrasi keamanan SAML2.

Buat pengguna penguji Snowflake

Untuk memungkinkan pengguna Microsoft Entra masuk ke Snowflake, mereka harus diprovisikan ke Snowflake. Di Snowflake, provisi adalah tugas manual.

Untuk memprovisikan akun pengguna, lakukan langkah-langkah berikut:

  1. Masuk ke Snowflake sebagai Administrator Keamanan.

  2. Alihkan Peran ke ACCOUNTADMIN, dengan memilih profil di sisi kanan atas halaman.

    Administrator Snowflake

  3. Buat pengguna dengan menjalankan kueri SQL di bawah ini, memastikan "nama masuk" diatur ke nama pengguna Microsoft Entra pada lembar kerja seperti yang ditunjukkan di bawah ini.

    Snowflake adminsql 

     use role accountadmin;
 CREATE USER britta_simon PASSWORD = '' LOGIN_NAME = 'BrittaSimon@contoso.com' DISPLAY_NAME = 'Britta Simon';

Catatan

Provisi secara manual tidak perlu, jika pengguna dan grup disediakan dengan integrasi SCIM. Lihat cara mengaktifkan penyediaan otomatis untuk Snowflake.

Menguji SSO

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.

Inisiasi SP:

  • Pilih Uji aplikasi ini, opsi ini mengalihkan ke URL Masuk Snowflake tempat Anda dapat memulai alur masuk.

  • Buka URL Sign on Snowflake secara langsung dan mulai alur masuk dari sana.

Inisiasi oleh IDP:

  • Pilih Uji aplikasi ini, dan Anda akan secara otomatis masuk ke Snowflake tempat Anda menyiapkan SSO.

Anda juga dapat menggunakan Aplikasi Saya Microsoft untuk menguji aplikasi dalam mode apa pun. Saat Anda memilih petak peta Snowflake di Aplikasi Saya, jika dikonfigurasi dalam mode SP, Anda akan diarahkan ke halaman masuk aplikasi untuk memulai alur masuk dan jika dikonfigurasi dalam mode IDP, Anda akan secara otomatis masuk ke Snowflake tempat Anda menyiapkan SSO. Untuk informasi selengkapnya, lihat Microsoft Entra My Apps.

Mencegah akses aplikasi melalui akun lokal

Setelah Anda memvalidasi bahwa SSO berfungsi dan meluncurkannya di organisasi Anda, sebaiknya nonaktifkan akses aplikasi menggunakan kredensial lokal. Ini memastikan bahwa kebijakan Akses Bersyarat, Otentikasi Multi-Faktor, dan lain-lain Anda diberlakukan untuk melindungi upaya masuk ke Snowflake. Tinjau dokumentasi Snowflake untuk mengonfigurasi SSO, dan gunakan commandlet ALTER USER untuk menghapus kata sandi pengguna.

Konten terkait

Setelah mengonfigurasi Snowflake, Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi secara aktual. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.

  • Last updated on