Udostępnij za pośrednictwem

Samouczek: konfigurowanie rozwiązania Snowflake na potrzeby automatycznej aprowizacji użytkowników

  • Artykuł

W tym samouczku przedstawiono kroki wykonywane w rozwiązaniu Snowflake i Microsoft Entra ID w celu skonfigurowania identyfikatora Entra firmy Microsoft w celu automatycznego aprowizowania i anulowania aprowizacji użytkowników i grup w usłudze Snowflake. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Co to jest automatyczna aprowizacja użytkowników aplikacji SaaS w usłudze Microsoft Entra ID?.

Obsługiwane funkcje

  • Tworzenie użytkowników w aplikacji Snowflake
  • Usuń użytkowników w aplikacji Snowflake, gdy nie będą już wymagać dostępu
  • Zachowywanie synchronizacji atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i aplikacją Snowflake
  • Aprowizuj grupy i członkostwa w grupach w usłudze Snowflake
  • Zezwalaj na logowanie jednokrotne do aplikacji Snowflake (zalecane)

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:

Krok 1. Planowanie wdrożenia aprowizacji

  1. Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
  2. Określ, kto znajdzie się w zakresie aprowizacji.
  3. Ustal, jakie dane mają być mapowanie między identyfikatorem Entra firmy Microsoft i aplikacją Snowflake.

Krok 2. Konfigurowanie rozwiązania Snowflake w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

Przed skonfigurowaniem rozwiązania Snowflake na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft należy włączyć obsługę administracyjną usługi System for Cross-domain Identity Management (SCIM) w usłudze Snowflake.

  1. Zaloguj się do aplikacji Snowflake jako administrator i wykonaj następujące czynności z interfejsu arkusza Snowflake lub SnowSQL.

    use role accountadmin;

 create role if not exists aad_provisioner;
 grant create user on account to role aad_provisioner;
 grant create role on account to role aad_provisioner;
grant role aad_provisioner to role accountadmin;
 create or replace security integration aad_provisioning
     type = scim
     scim_client = 'azure'
     run_as_role = 'AAD_PROVISIONER';
 select system$generate_scim_access_token('AAD_PROVISIONING');

  2. Użyj roli ACCOUNTADMIN.

    Zrzut ekranu przedstawiający arkusz w interfejsie użytkownika usługi Snowflake z wywołanym tokenem dostępu SCIM.

  3. Utwórz AAD_PROVISIONER roli niestandardowej. Wszyscy użytkownicy i role w aplikacji Snowflake utworzone przez firmę Microsoft Entra ID będą należeć do roli AAD_PROVISIONER o określonym zakresie.

    Zrzut ekranu przedstawiający rolę niestandardową.

  4. Pozwól roli ACCOUNTADMIN utworzyć integrację zabezpieczeń przy użyciu roli niestandardowej AAD_PROVISIONER.

    Zrzut ekranu przedstawiający integracje zabezpieczeń.

  5. Utwórz i skopiuj token autoryzacji do schowka i zapisz bezpiecznie do późniejszego użycia. Użyj tego tokenu dla każdego żądania interfejsu API REST SCIM i umieść go w nagłówku żądania. Token dostępu wygasa po sześciu miesiącach, a nowy token dostępu można wygenerować za pomocą tej instrukcji.

    Zrzut ekranu przedstawiający generowanie tokenu.

Dodaj aplikację Snowflake z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w aplikacji Snowflake. Jeśli wcześniej skonfigurowano aplikację Snowflake na potrzeby logowania jednokrotnego, możesz użyć tej samej aplikacji. Zalecamy jednak utworzenie oddzielnej aplikacji podczas początkowego testowania integracji. Dowiedz się więcej o dodawaniu aplikacji z galerii.

Krok 4. Definiowanie, kto będzie w zakresie aprowizacji

Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika lub grupy. Jeśli zdecydujesz się określić zakres aprowizacji aplikacji na podstawie przypisania, możesz użyć kroków przypisywania użytkowników i grup do aplikacji. Jeśli zdecydujesz się określić zakres, kto będzie aprowizować wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtru określania zakresu.

Pamiętaj o następujących wskazówkach:

  • Podczas przypisywania użytkowników i grup do usługi Snowflake należy wybrać rolę inną niż Dostęp domyślny. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji, a w dziennikach aprowizacji zostaną oznaczeni jako niemający skutecznego uprawnienia. Jeśli jedyną rolą dostępną w aplikacji jest rola Dostęp domyślny, możesz zaktualizować manifest aplikacji, aby dodać więcej ról.

  • Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.

Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze Snowflake

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i grup w usłudze Snowflake. Konfigurację można opierać na przypisaniach użytkowników i grup w identyfikatorze Entra firmy Microsoft.

Aby skonfigurować automatyczną aprowizację użytkowników dla rozwiązania Snowflake w usłudze Microsoft Entra ID:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

    Zrzut ekranu przedstawiający okienko Aplikacje dla przedsiębiorstw.

  3. Na liście aplikacji wybierz pozycję Snowflake.

    Zrzut ekranu przedstawiający listę aplikacji.

  4. Wybierz kartę Aprowizacja.

    Zrzut ekranu przedstawiający opcje Zarządzania z wywołaną opcją Aprowizacja.

  5. Ustaw wartość Tryb aprowizacji na Wartość Automatyczna.

    Zrzut ekranu przedstawiający listę rozwijaną Tryb aprowizacji z wywołaną opcją Automatyczna.

  6. W sekcji Administracja Credentials (Poświadczenia) wprowadź odpowiednio podstawowy adres URL i token uwierzytelniania SCIM 2.0 pobrany wcześniej w polach Adres URL dzierżawy i Token tajny.

    Uwaga

    Punkt końcowy snowflake SCIM składa się z adresu URL konta snowflake dołączonego za pomocą /scim/v2/polecenia . Jeśli na przykład nazwa konta usługi Snowflake to acme , a twoje konto snowflake znajduje się w east-us-2 regionie świadczenia usługi Azure, wartość adresu URL dzierżawy to https://acme.east-us-2.azure.snowflakecomputing.com/scim/v2.

    Wybierz pozycję Test Połączenie ion, aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą Snowflake. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi Snowflake ma uprawnienia administratora i spróbuj ponownie.

    Zrzut ekranu przedstawiający pola adresu URL dzierżawy i tokenu tajnego wraz z przyciskiem Test Połączenie ion.

  7. W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji. Następnie zaznacz pole wyboru Wyślij powiadomienie e-mail po wystąpieniu błędu.

    Zrzut ekranu przedstawiający pola dotyczące wiadomości e-mail z powiadomieniem.

  8. Wybierz pozycję Zapisz.

  9. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft Entra z usługą Snowflake.

  10. Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora entra firmy Microsoft z usługą Snowflake w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Pasujące właściwości są używane do dopasowywania kont użytkowników w aplikacji Snowflake na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut Typ
    aktywne Wartość logiczna
    displayName String
    emails[type eq "work"].value String
    userName String
    name.givenName String
    name.familyName String
    externalId String

    Uwaga

    Rozwiązanie Snowflake obsługuje niestandardowe atrybuty użytkownika rozszerzenia podczas aprowizacji rozwiązania SCIM:

    • DEFAULT_ROLE
    • DEFAULT_WAREHOUSE
    • DEFAULT_SECONDARY_ROLES
    • NAZWA PŁATKA ŚNIEGU I POLA LOGIN_NAME, KTÓRE MAJĄ BYĆ INNE

    Jak skonfigurować niestandardowe atrybuty rozszerzenia Snowflake w usłudze Microsoft Entra SCIM aprowizacji użytkowników, wyjaśniono tutaj.

  11. W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft z usługą Snowflake.

  12. Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi Snowflake w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowywania grup w aplikacji Snowflake na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut Typ
    displayName String
    członkowie Odwołanie

  13. Aby skonfigurować filtry określania zakresu, zobacz instrukcje w samouczku Filtrowanie zakresu.

  14. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi Snowflake, zmień stan aprowizacji na . w sekcji Ustawienia.

    Zrzut ekranu przedstawiający włączony stan aprowizacji.

  15. Zdefiniuj użytkowników i grupy, które chcesz aprowizować w aplikacji Snowflake, wybierając żądane wartości w sekcji Zakres w sekcji Ustawienia.

    Jeśli ta opcja jest niedostępna, skonfiguruj wymagane pola w obszarze Administracja Poświadczenia, wybierz pozycję Zapisz i odśwież stronę.

    Zrzut ekranu przedstawiający opcje zakresu aprowizacji.

  16. Gdy wszystko będzie gotowe do aprowizacji, wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający przycisk zapisywania konfiguracji aprowizacji.

Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników i grup zdefiniowanych w sekcji Zakres w sekcji Ustawienia. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje. Kolejne synchronizacje są wykonywane co 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji użyj następujących zasobów, aby monitorować wdrożenie:

  • Użyj dzienników aprowizacji, aby określić, którzy użytkownicy zostali pomyślnie aprowizowani lub nie powiodły się.
  • Sprawdź pasek postępu, aby zobaczyć stan cyklu aprowizacji i sposób jego zakończenia.
  • Jeśli konfiguracja aprowizacji jest w złej kondycji, aplikacja przejdzie w stan kwarantanny. Dowiedz się więcej o stanach kwarantanny.

ograniczenia Połączenie or

Tokeny SCIM wygenerowane przez bibliotekę Snowflake wygasają za 6 miesięcy. Pamiętaj, że należy odświeżyć te tokeny przed ich wygaśnięciem, aby umożliwić synchronizację aprowizacji w celu kontynuowania pracy.

Wskazówki dotyczące rozwiązywania problemów

Usługa aprowizacji firmy Microsoft obecnie działa w określonych zakresach adresów IP. W razie potrzeby możesz ograniczyć inne zakresy adresów IP i dodać te określone zakresy adresów IP do listy dozwolonych aplikacji. Ta technika umożliwi przepływ ruchu z usługi aprowizacji firmy Microsoft do aplikacji.

Dziennik zmian

  • 21.07.2020: Włączone usuwanie nietrwałe dla wszystkich użytkowników (za pośrednictwem aktywnego atrybutu).
  • 10/12/2022: Zaktualizowano konfigurację SCIM snowflake.

Dodatkowe zasoby

Następne kroki