Kurz: Konfigurace Snowflake pro automatické zřizování uživatelů

Tento kurz ukazuje kroky, které provedete ve Snowflake a Microsoft Entra ID ke konfiguraci Microsoft Entra ID pro automatické zřizování a rušení uživatelů a skupin pro Snowflake. Důležité podrobnosti o tom, co tato služba dělá, jak funguje, a nejčastější dotazy najdete v tématu Co je automatizované zřizování uživatelů aplikací SaaS v Microsoft Entra ID?.

Podporované funkce

• Vytváření uživatelů ve Snowflake
• Odebrání uživatelů ve Snowflake, když už nevyžadují přístup
• Zachování synchronizace atributů uživatele mezi ID Microsoft Entra a Snowflake
• Zřízení skupin a členství ve skupinách ve Snowflake
• Povolit jednotné přihlašování ke Snowflake (doporučeno)

Požadavky

Scénář popsaný v tomto kurzu předpokládá, že už máte následující požadavky:

• Tenant Microsoft Entra
• Jedna z následujících rolí: Application Správa istrator, Cloud Application Správa istrator nebo Application Owner.
• Tenant Snowflake
• Alespoň jeden uživatel ve Snowflake s rolí ACCOUNTADMIN .

Krok 1: Plánování nasazení zřizování

1. Seznamte se s fungováním služby zřizování.
2. Zjistěte, kdo bude v rozsahu zřizování.
3. Určete, jaká data se mají mapovat mezi Microsoft Entra ID a Snowflake.

Krok 2: Konfigurace Snowflake pro podporu zřizování pomocí Microsoft Entra ID

Než nakonfigurujete Snowflake pro automatické zřizování uživatelů pomocí Microsoft Entra ID, musíte povolit systém pro zřizování SCIM (Cross-Domain Identity Management) ve Snowflake.

1. Přihlaste se ke Snowflake jako správce a spusťte následující příkaz z rozhraní listu Snowflake nebo SnowSQL.

   use role accountadmin;
   
    create role if not exists aad_provisioner;
    grant create user on account to role aad_provisioner;
    grant create role on account to role aad_provisioner;
   grant role aad_provisioner to role accountadmin;
    create or replace security integration aad_provisioning
        type = scim
        scim_client = 'azure'
        run_as_role = 'AAD_PROVISIONER';
    select system$generate_scim_access_token('AAD_PROVISIONING');
   

2. Použijte roli ACCOUNTADMIN.

   

3. Vytvořte vlastní AAD_PROVISIONER role. Všichni uživatelé a role ve Snowflake vytvořeném ID Microsoft Entra budou vlastníkem vymezené role AAD_PROVISIONER.

   

4. Nechte roli ACCOUNTADMIN vytvořit integraci zabezpečení pomocí AAD_PROVISIONER vlastní role.

   

5. Vytvořte a zkopírujte autorizační token do schránky a bezpečně uložte ho pro pozdější použití. Tento token použijte pro každý požadavek rozhraní REST API SCIM a umístěte ho do hlavičky požadavku. Platnost přístupového tokenu vyprší po šesti měsících a pomocí tohoto příkazu je možné vygenerovat nový přístupový token.

   

Krok 3: Přidání Snowflake z galerie aplikací Microsoft Entra

Přidejte Snowflake z galerie aplikací Microsoft Entra, abyste mohli začít spravovat zřizování pro Snowflake. Pokud jste dříve nastavili Snowflake pro jednotné přihlašování (SSO), můžete použít stejnou aplikaci. Při počátečním testování integrace ale doporučujeme vytvořit samostatnou aplikaci. Přečtěte si další informace o přidání aplikace z galerie.

Krok 4: Definujte, kdo bude v oboru zřizování

Služba zřizování Microsoft Entra umožňuje určit rozsah, který bude zřízen na základě přiřazení k aplikaci nebo na základě atributů uživatele nebo skupiny. Pokud se rozhodnete určit rozsah, který se pro vaši aplikaci zřídí na základě přiřazení, můžete k přiřazení uživatelů a skupin k aplikaci použít postup. Pokud se rozhodnete určit rozsah, který bude zřízen výhradně na základě atributů uživatele nebo skupiny, můžete použít filtr oborů.

Mějte na paměti tyto tipy:

• Při přiřazování uživatelů a skupin do Snowflake musíte vybrat jinou roli než Výchozí přístup. Uživatelé s rolí Výchozí přístup jsou vyloučeni ze zřizování a v protokolech zřizování se označí příznakem neplatného nároku. Pokud je jedinou rolí dostupnou v aplikaci výchozí přístupová role, můžete aktualizovat manifest aplikace a přidat další role.

• Pokud potřebujete další role, můžete aktualizovat manifest aplikace a přidat nové role.

Krok 5: Konfigurace automatického zřizování uživatelů pro Snowflake

Tato část vás provede postupem konfigurace služby zřizování Microsoft Entra pro vytváření, aktualizaci a zakázání uživatelů a skupin ve Snowflake. Konfiguraci můžete založit na přiřazení uživatelů a skupin v ID Microsoft Entra.

Konfigurace automatického zřizování uživatelů pro Snowflake v Microsoft Entra ID:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte k podnikovým aplikacím> identit.>

   

3. V seznamu aplikací vyberte Snowflake.

   

4. Vyberte kartu Zřizování.

   

5. Nastavte režim zřizování na automatickou.

   

6. V části Správa Přihlašovací údaje zadejte základní adresu URL A ověřovací token SCIM 2.0, který jste získali dříve v polích Adresa URL tenanta a token tajných kódů.

   Poznámka:

   Koncový bod Snowflake SCIM se skládá z adresy URL účtu Snowflake připojené pomocí /scim/v2/. Pokud je například název acme vašeho účtu Snowflake a váš účet Snowflake je v east-us-2 oblasti Azure, hodnota adresa URL tenanta je https://acme.east-us-2.azure.snowflakecomputing.com/scim/v2.

   Vyberte testovací Připojení ion a ujistěte se, že se ID Microsoft Entra může připojit ke Snowflake. Pokud připojení selže, ujistěte se, že váš účet Snowflake má oprávnění správce, a zkuste to znovu.

   

7. Do pole E-mail s oznámením zadejte e-mailovou adresu osoby nebo skupiny, která by měla dostávat oznámení o chybách zřizování. Potom zaškrtněte políčko Odeslat e-mailové oznámení, když dojde k chybě.

   

8. Zvolte Uložit.

9. V části Mapování vyberte Synchronizovat uživatele Microsoft Entra do Snowflake.

10. Zkontrolujte atributy uživatele, které jsou synchronizovány z Microsoft Entra ID do Snowflake v části Mapování atributů. Atributy vybrané jako Odpovídající vlastnosti se používají ke shodě uživatelských účtů ve Snowflake pro operace aktualizace. Výběrem tlačítka Uložit potvrďte všechny změny.

    Atribut	Typ
    active	Logická hodnota
    displayName	String
    emails[type eq "work"].value	String
    userName	String
    name.givenName	String
    name.familyName	String
    externalId	String

    Poznámka:

    Snowflake podporoval atributy uživatelů vlastních rozšíření během zřizování SCIM:

    • DEFAULT_ROLE
    • DEFAULT_WAREHOUSE
    • DEFAULT_SECONDARY_ROLES
    • SNOWFLAKE NAME AND LOGIN_NAME FIELDS TO BE DIFFERENT

    Zde je vysvětleno, jak nastavit atributy vlastních rozšíření Snowflake v zřizování uživatelů Microsoft Entra SCIM.

11. V části Mapování vyberte Synchronizovat skupiny Microsoft Entra do Snowflake.

12. Zkontrolujte atributy skupiny, které jsou synchronizovány z Microsoft Entra ID do Snowflake v části Mapování atributů. Atributy vybrané jako odpovídající vlastnosti slouží ke shodě skupin ve Snowflake pro operace aktualizace. Výběrem tlačítka Uložit potvrďte všechny změny.

    Atribut	Typ
    displayName	String
    členové	Reference

13. Pokud chcete nakonfigurovat filtry oborů, projděte si pokyny v kurzu filtrování oborů.

14. Pokud chcete povolit službu zřizování Microsoft Entra pro Snowflake, změňte stav zřizování na Zapnuto v části Nastavení.

    

15. Definujte uživatele a skupiny, které chcete zřídit pro Snowflake, výběrem požadovaných hodnot v oboru v části Nastavení.

    Pokud tato možnost není dostupná, nakonfigurujte požadovaná pole v části Správa Přihlašovací údaje, vyberte Uložit a aktualizujte stránku.

    

16. Až budete připravení zřídit, vyberte Uložit.

    

Tato operace spustí počáteční synchronizaci všech uživatelů a skupin definovaných v oboru v části Nastavení. Počáteční synchronizace trvá déle než následné synchronizace. K následným synchronizacím dochází přibližně každých 40 minut, pokud je spuštěná služba zřizování Microsoft Entra.

Krok 6: Monitorování nasazení

Po nakonfigurování zřizování můžete k monitorování nasazení použít následující prostředky:

• Pomocí protokolů zřizování určete, kteří uživatelé byli úspěšně nebo neúspěšně zřízeni.
• Zkontrolujte indikátor průběhu a podívejte se na stav cyklu zřizování a na jeho blízkosti.
• Pokud se zdá, že konfigurace zřizování není v pořádku, aplikace přejde do karantény. Přečtěte si další informace o stavech karantény.

omezení Připojení oru

Platnost tokenů SCIM vygenerovaných snowflakem vyprší za 6 měsíců. Mějte na paměti, že tyto tokeny je potřeba aktualizovat před vypršením jejich platnosti, aby synchronizace zřizování mohla pokračovat v práci.

Rady pro řešení potíží

Služba zřizování Microsoft Entra v současné době funguje v rámci konkrétních rozsahů IP adres. V případě potřeby můžete omezit další rozsahy IP adres a přidat tyto konkrétní rozsahy IP adres do seznamu povolených adres vaší aplikace. Tato technika umožní tok provozu ze služby Microsoft Entra provisioning do vaší aplikace.

Protokol změn

• 21. 7. 2020: Povoleno obnovitelné odstranění pro všechny uživatele (prostřednictvím aktivního atributu).
• 10. 12. 2022: Aktualizace konfigurace SCIM Snowflake.

Další materiály

• Správa zřizování uživatelských účtů pro podnikové aplikace
• Co je přístup k aplikacím a jednotné přihlašování s ID Microsoft Entra?

Další kroky

• Zjistěte, jak procházet protokoly a získat sestavy aktivit zřizování.