Tutorial: Configurar o Snowflake para o provisionamento automático de usuário
Este tutorial demonstra as etapas a serem executadas no Snowflake e no Microsoft Entra ID a fim de configurar o Microsoft Entra ID para provisionar e desprovisionar automaticamente usuários ou grupos no Snowflake. Para conhecer detalhes importantes sobre o que esse serviço faz, como funciona e as perguntas frequentes, confira O que é o provisionamento automático de usuários de aplicativo SaaS no Microsoft Entra ID?.
Funcionalidades com suporte
- Criar usuários no Snowflake
- Remover usuários no Snowflake quando eles não precisarem mais de acesso
- Mantenha os atributos de usuário sincronizados entre o Microsoft Entra ID e o Snowflake
- Provisionar grupos e associações a um grupo no Snowflake
- Permitir o logon único para o Snowflake (recomendado)
Pré-requisitos
O cenário descrito neste tutorial pressupõe que você já tem os seguintes pré-requisitos:
- Um locatário do Microsoft Entra
- Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos de Nuvem ou Proprietário do Aplicativo.
- Um locatário do Snowflake
- Pelo menos um usuário no Snowflake com a função ACCOUNTADMIN.
Etapa 1: Planeje a implantação do provisionamento
- Saiba mais sobre como funciona o serviço de provisionamento.
- Determine quem estará no escopo de provisionamento.
- Determine quais dados devem ser mapeados entre o Microsoft Entra ID e o Snowflake.
Etapa 2: configurar o Snowflake para dar suporte ao provisionamento com o Microsoft Entra ID
Antes de configurar o Snowflake para o provisionamento automático de usuário com o Microsoft Entra ID, habilite o provisionamento do SCIM (Sistema de Gerenciamento de Usuários entre Domínios) no Snowflake.
Entre no Snowflake como administrador e execute o código a seguir na interface da planilha do Snowflake ou no SnowSQL.
use role accountadmin; create role if not exists aad_provisioner; grant create user on account to role aad_provisioner; grant create role on account to role aad_provisioner; grant role aad_provisioner to role accountadmin; create or replace security integration aad_provisioning type = scim scim_client = 'azure' run_as_role = 'AAD_PROVISIONER'; select system$generate_scim_access_token('AAD_PROVISIONING');Use a função ACCOUNTADMIN.
Crie a função personalizada AAD_PROVISIONER. Todos os usuários e todas as funções no Snowflake criados pelo Microsoft Entra ID pertencerão à função AAD_PROVISIONER com escopo inferior.
Permita que a função ACCOUNTADMIN crie a integração de segurança usando a função personalizada AAD_PROVISIONER.
Crie e copie o token de autorização para a área de transferência e armazene-o com segurança para uso posterior. Use esse token para cada solicitação da API REST do SCIM e coloque-o no cabeçalho da solicitação. O token de acesso expira após seis meses, e um novo token de acesso pode ser gerado com essa instrução.
Etapa 3: adicionar o Snowflake por meio da galeria de aplicativos do Microsoft Entra
Adicionar o Snowflake por meio da galeria de aplicativos do Microsoft Entra para começar a gerenciar o provisionamento para o Snowflake. Se já tiver configurado o Snowflake para SSO (logon único), você poderá usar o mesmo aplicativo. No entanto, recomendamos que você crie um aplicativo diferente quando estiver testando a integração inicialmente. Saiba mais sobre como adicionar um aplicativo da galeria.
Etapa 4: Defina quem estará no escopo de provisionamento
O serviço de provisionamento do Microsoft Entra permite definir quem estará no escopo de provisionamento com base na atribuição ao aplicativo ou nos atributos do usuário ou do grupo. Se você optar por definir quem estará no escopo de provisionamento com base na atribuição, poderá usar as etapas para atribuir usuários e grupos ao aplicativo. Se você optar por definir quem estará no escopo de provisionamento com base somente em atributos do usuário ou do grupo, poderá usar um filtro de escopo.
Tenha estas dicas em mente:
Ao atribuir usuários e grupos ao Snowflake, você precisará selecionar uma função diferente de Acesso Padrão. Os usuários com a função Acesso Padrão são excluídos do provisionamento e serão marcados como "Não qualificado efetivamente" nos logs de provisionamento. Se a única função disponível no aplicativo for a de Acesso Padrão, você poderá atualizar o manifesto do aplicativo para adicionar mais funções.
Se você precisar de funções adicionais, poderá atualizar o manifesto do aplicativo para adicionar novas funções.
Etapa 5: Configurar o provisionamento automático de usuário para o Snowflake
Esta seção descreve as etapas de configuração do serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e grupos no Snowflake. Você pode basear a configuração em atribuições de usuário e de grupo no Microsoft Entra ID.
Para configurar o provisionamento automático de usuário para o Snowflake no Microsoft Entra ID:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Acesso Condicional.
Navegue até Identidade>Aplicativos>Aplicativos Empresariais.
Na lista de aplicativos, selecione Snowflake.
Selecione a guia Provisionamento.
Defina o Modo de Provisionamento como Automático.
Na seção Credenciais de Administrador, insira a URL base do SCIM 2.0 e o token de autenticação recuperados anteriormente nas caixas URL do Locatário e Token Secreto, respectivamente.
Observação
O ponto de extremidade do SCIM do Snowflake consiste na URL da conta do Snowflake com
/scim/v2/acrescentado. Por exemplo, se o nome da conta do Snowflake foracmee a conta do Snowflake estiver na região do Azureeast-us-2, o valor da URL do Locatário seráhttps://acme.east-us-2.azure.snowflakecomputing.com/scim/v2.Selecione Testar Conectividade para verificar se o Microsoft Entra ID pode se conectar ao Snowflake. Se a conexão falhar, verifique se a sua conta do Snowflake tem permissões de Administrador e tente novamente.
Na caixa Email de Notificação, insira o endereço de email de uma pessoa ou de um grupo que deve receber as notificações de erro de provisionamento. Depois, marque a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha.
Selecione Salvar.
Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Snowflake.
Examine os atributos de usuário que serão sincronizados do Microsoft Entra ID com o Snowflake na seção Mapeamento de atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência das contas de usuário no Snowflake em operações de atualização. Selecione o botão Salvar para confirmar as alterações.
Atributo Type ativo Boolean displayName String emails[type eq "work"].value String userName String name.givenName String name.familyName String externalId String Observação
Atributos de usuário de extensão personalizada compatíveis com o Snowflake durante o provisionamento do SCIM:
- DEFAULT_ROLE
- DEFAULT_WAREHOUSE
- DEFAULT_SECONDARY_ROLES
- SNOWFLAKE NAME e LOGIN_NAME para diferenciação
Veja aqui como configurar os atributos de extensão personalizados do Snowflake no provisionamento de usuário do SCIM do Microsoft Entra.
Na seção Mapeamentos, selecione Sincronizar grupos do Microsoft Entra com o Snowflake.
Examine os atributos de grupo que serão sincronizados do Microsoft Entra ID com o Snowflake na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência dos grupos no Snowflake em operações de atualização. Selecione o botão Salvar para confirmar as alterações.
Atributo Type displayName String membros Referência Para configurar filtros de escopo, confira as instruções fornecidas no tutorial sobre filtros de escopo.
Para habilitar o serviço de provisionamento do Microsoft Entra no Snowflake, altere o Status de Provisionamento para Ativado na seção Configurações.
Defina os usuários e/ou os grupos que deseja provisionar no Snowflake escolhendo os valores desejados em Escopo na seção Configurações.
Se essa opção não estiver disponível, configure os campos obrigatórios em Credenciais de Administrador, selecione Salvar e atualize a página.
Quando estiver pronto para fazer o provisionamento, selecione Salvar.
Essa operação inicia a sincronização inicial de todos os usuários e os grupos definidos em Escopo na seção Configurações. A sincronização inicial demora mais para ser executada do que as posteriores. Os ciclos seguintes ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução.
Etapa 6: Monitorar a implantação
Após configurar o provisionamento, use os seguintes recursos para monitorar a implantação:
- Use os logs de provisionamento para determinar quais usuários foram provisionados com êxito ou não.
- Confira a barra de progresso para ver o status do ciclo de provisionamento e saber como fechá-la para concluir.
- Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre os estados de quarentena.
Limitações do conector
Os tokens SCIM gerados pelo Snowflake expiram em 6 meses. Lembre-se de que você precisa atualizar esses tokens antes que eles expirem para permitir que as sincronizações de provisionamento continuem funcionando.
Dicas de solução de problemas
Atualmente, o serviço de provisionamento do Microsoft Entra opera em intervalos de IP específicos. Se necessário, você poderá restringir outros intervalos de IP e adicionar esses intervalos de IP específicos à lista de permissões do aplicativo. Essa técnica permitirá o fluxo de tráfego do serviço de provisionamento do Microsoft Entra para seu aplicativo.
Log de alterações
- 21/07/2020: Exclusão reversível habilitada para todos os usuários (por meio do atributo ativo).
- 12/10/2022: Configuração atualizada do SCIM do Snowflake.
Recursos adicionais
- Gerenciamento do provisionamento de conta de usuário para aplicativos empresariais
- O que é o acesso a aplicativos e o logon único com o Microsoft Entra ID?