Compartir a través de

Tutorial: Integración del inicio de sesión único Microsoft Entra con Snowflake

  • Artículo

En este tutorial, aprenderá a integrar Snowflake con Microsoft Entra ID. Al integrar Snowflake con Microsoft Entra ID, puede:

  • Controlar en Microsoft Entra ID quién tiene acceso a Snowflake.
  • Permitir que los usuarios puedan iniciar sesión automáticamente en Snowflake con sus cuentas de Microsoft Entra.
  • Administre sus cuentas en una ubicación central.

Requisitos previos

Para configurar la integración de Microsoft Entra con Snowflake, necesita lo siguiente:

  • Una suscripción a Microsoft Entra. Si no tiene un entorno de Microsoft Entra, puede obtener una cuenta gratuita.
  • Una suscripción habilitada para el inicio de sesión único de Snowflake.
  • Junto con el administrador de aplicaciones en la nube, el administrador de aplicaciones también puede agregar o administrar aplicaciones en Microsoft Entra ID. Para más información, consulte Roles integrados en Azure.

Nota:

Esta integración también está disponible para usarse desde el entorno de la nube del gobierno de EE. UU. de Microsoft Entra. Es posible encontrar esta aplicación en la galería de aplicaciones en la nube del gobierno de EE. UU. de Microsoft Entra y configurarla de la misma manera que en la nube pública.

Descripción del escenario

En este tutorial, configurará y probará el inicio de sesión único de Microsoft Entra en un entorno de prueba.

Para configurar la integración de Snowflake en Microsoft Entra ID, será preciso que agregue Snowflake desde la galería a la lista de aplicaciones SaaS administradas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
  3. En la sección Agregar desde la galería, escriba Snowflake en el cuadro de búsqueda.
  4. Seleccione Snowflake en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puedes agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para Snowflake

Configure y pruebe el inicio de sesión único de Microsoft Entra con Snowflake mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de Snowflake.

Para configurar y probar el inicio de sesión único de Microsoft Entra con Snowflake, complete los siguientes pasos:

  1. Configure el inicio de sesión único de Microsoft Entra: para que los usuarios puedan utilizar esta característica.
    1. Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
    2. Asigne el usuario de prueba de Microsoft Entra, para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
  2. Configuración del inicio de sesión único en Snowflake : para configurar los valores de inicio de sesión único en la aplicación.
    1. Creación del usuario de prueba de Snowflake: para tener un homólogo de B. Simon en Snowflake vinculado a la representación del usuario en Microsoft Entra.
  3. Prueba del inicio de sesión único : para comprobar si la configuración funciona.

Configuración del inicio de sesión único de Microsoft Entra

Siga estos pasos para habilitar el SSO de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Snowflake>Inicio de sesión único.

  3. En la página Seleccione un método de inicio de sesión único, elija SAML.

  4. En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.

    Captura de pantalla que muestra cómo editar la configuración básica de S A M L.

  5. En la sección Configuración básica de SAML, realice los siguientes pasos si desea configurar la aplicación en el modo iniciado por IDP:

    a. En el cuadro de texto Identificador, escriba una dirección URL con el patrón siguiente: https://<SNOWFLAKE-URL>.snowflakecomputing.com

    b. En el cuadro de texto URL de respuesta, escriba una dirección URL con el siguiente patrón: https://<SNOWFLAKE-URL>.snowflakecomputing.com/fed/login

  6. Haga clic en Establecer direcciones URL adicionales y siga este paso si desea configurar la aplicación en el modo iniciado por SP:

    a. En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón: https://<SNOWFLAKE-URL>.snowflakecomputing.com

    b. En el cuadro de texto URL de cierre de sesión, escriba una dirección URL con el siguiente patrón: https://<SNOWFLAKE-URL>.snowflakecomputing.com/fed/logout.

    Nota:

    Estos valores no son reales. Actualícelos con el identificador, la dirección URL de respuesta, la dirección URL de inicio de sesión y la dirección URL de cierre de sesión reales. Póngase en contacto con el equipo de atención al cliente de Snowflake para obtener estos valores. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML.

  7. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, haga clic en Descargar para descargar el certificado (Base64) de las opciones proporcionadas según sus requisitos y guárdelo en el equipo.

    Captura de pantalla del vínculo de descarga del certificado.

  8. En la sección Set up Snowflake (Configurar Snowflake), copie las direcciones URL que necesite.

    Captura de pantalla en la que se muestra cómo copiar la URL adecuada de la configuración.

Cree un usuario de prueba de Microsoft Entra

En esta sección, se crea un usuario llamado B.Simon.

  1. Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
  2. Ve a Identidad>Usuarios>Todos los usuarios.
  3. Selecciona Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
  4. En las propiedades del usuario, sigue estos pasos:
    1. En el campo Nombre para mostrar, escribe B.Simon.
    2. En el campo Nombre principal de usuario, escribe username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.
    3. Activa la casilla Mostrar contraseña y, después, anota el valor que se muestra en el cuadro Contraseña.
    4. Selecciona Revisar + crear.
  5. Selecciona Crear.

Asignación del usuario de prueba de Microsoft Entra

En esta sección va a permitir que B.Simon utilice el inicio de sesión único concediéndole acceso a Snowflake.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Snowflake.
  3. En la página de información general de la aplicación, seleccione Usuarios y grupos.
  4. Selecciona Agregar usuario o grupo y luego, en el cuadro de diálogo Agregar asignación, selecciona Usuarios y grupos.
    1. En el cuadro de diálogo Usuarios y grupos, selecciona B.Simon de la lista de usuarios y haz clic en el botón Seleccionar de la parte inferior de la pantalla.
    2. Si esperas que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verás seleccionado el rol "Acceso predeterminado".
    3. En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.

Configuración del inicio de sesión único de Snowflake

  1. En otra ventana del explorador web, inicie sesión en Snowflake como administrador de seguridad.

  2. Cambie de rol (Switch Role) en ACCOUNTADMIN, haciendo clic en el perfil en la parte superior derecha de la página.

    Nota:

    Esto es independiente del contexto que haya seleccionado en la esquina superior derecha bajo el nombre de usuario.

    El administrador de Snowflake

  3. Abra el certificado Base 64 descargado en el Bloc de notas. Copie el valor entre “-----BEGIN CERTIFICATE-----” y “-----END CERTIFICATE-----" y pegue este contenido en SAML2_X509_CERT.

  4. En SAML2_ISSUER, pegue el valor de Identificador que copió antes.

  5. En SAML2_SSO_URL, pegue el valor deDirección URL de inicio de sesión que copió antes.

  6. En SAML2_PROVIDER, proporcione el valor como CUSTOM.

  7. Seleccione Todas las consultas y haga clic en Ejecutar.

    sql de Snowflake

    CREATE [ OR REPLACE ] SECURITY INTEGRATION [ IF NOT EXISTS ]
TYPE = SAML2
ENABLED = TRUE | FALSE
SAML2_ISSUER = '<EntityID/Issuer value which you have copied>'
SAML2_SSO_URL = '<Login URL value which you have copied>'
SAML2_PROVIDER = 'CUSTOM'
SAML2_X509_CERT = '<Paste the content of downloaded certificate from Azure portal>'
[ SAML2_SP_INITIATED_LOGIN_PAGE_LABEL = '<string_literal>' ]
[ SAML2_ENABLE_SP_INITIATED = TRUE | FALSE ]
[ SAML2_SNOWFLAKE_X509_CERT = '<string_literal>' ]
[ SAML2_SIGN_REQUEST = TRUE | FALSE ]
[ SAML2_REQUESTED_NAMEID_FORMAT = '<string_literal>' ]
[ SAML2_POST_LOGOUT_REDIRECT_URL = '<string_literal>' ]
[ SAML2_FORCE_AUTHN = TRUE | FALSE ]
[ SAML2_SNOWFLAKE_ISSUER_URL = '<string_literal>' ]
[ SAML2_SNOWFLAKE_ACS_URL = '<string_literal>' ]

Si usa una nueva dirección URL de Snowflake con un nombre de organización como dirección URL de inicio de sesión, es necesario actualizar los parámetros siguientes:

Modifique la integración para agregar la dirección URL del emisor de Snowflake y la dirección URL de ACS de SAML2 de Snowflake; siga el paso 6 de este artículo para más información.

  1. [ SAML2_SNOWFLAKE_ISSUER_URL = '<string_literal>' ]

    alter security integration <your security integration name goes here> set SAML2_SNOWFLAKE_ISSUER_URL = https://<organization_name>-<account name>.snowflakecomputing.com;

  2. [ SAML2_SNOWFLAKE_ACS_URL = '<string_literal>' ]

    alter security integration <your security integration name goes here> set SAML2_SNOWFLAKE_ACS_URL = https://<organization_name>-<account name>.snowflakecomputing.com/fed/login;

Nota

Siga esta guía para obtener más información sobre cómo crear una integración de seguridad de SAML2.

Nota

Si tiene una configuración de SSO existente que usa un parámetro de cuenta saml_identity_provider, siga esta guía para migrarla a la integración de seguridad de SAML2.

Creación del usuario de prueba de Snowflake

Para permitir que los usuarios de Microsoft Entra inicien sesión en Snowflake, tienen que aprovisionarse en Snowflake. En Snowflake, el aprovisionamiento es una tarea manual.

Para aprovisionar una cuenta de usuario, realice estos pasos:

  1. Inicie sesión en Snowflake como administrador de seguridad.

  2. Cambie de rol (Switch Role) en ACCOUNTADMIN, haciendo clic en el perfil en la parte superior derecha de la página.

    El administrador de Snowflake

  3. Para crear el usuario, ejecute la siguiente consulta SQL y asegúrese de que "Nombre de inicio de sesión" esté establecido en el nombre de usuario de Microsoft Entra en la hoja de cálculo, como se muestra a continuación.

    adminsql de Snowflake

     use role accountadmin;
 CREATE USER britta_simon PASSWORD = '' LOGIN_NAME = 'BrittaSimon@contoso.com' DISPLAY_NAME = 'Britta Simon';

Nota

Si tanto los usuarios como los grupos se aprovisionan con una integración de SCIM, no es necesario realizar la integración de forma manual. Consulte cómo habilitar el aprovisionamiento automático para Snowflake.

Prueba de SSO

En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

Iniciado por SP:

  • Al hacer clic en Probar esta aplicación le redirigirá a la dirección URL de inicio de sesión de Snowflake, donde podrá poner en marcha el flujo de inicio de sesión.

  • Vaya directamente a la URL de inicio de sesión de Snowflake y comience el flujo de inicio de sesión desde allí.

Iniciado por IDP:

  • Al hacer clic en Probar esta aplicación debería iniciar sesión automáticamente en la instancia de Snowflake para la que configuró el SSO.

También puede usar Aplicaciones de Microsoft para probar la aplicación en cualquier modo. Al hacer clic en el icono de Snowflake en Aplicaciones, si se ha configurado en modo SP, se le redirigirá a la página de inicio de sesión de la aplicación para comenzar el flujo de inicio de sesión; si se ha configurado en modo IDP, se debería iniciar sesión automáticamente en la instancia de Snowflake para la que configurara el inicio de sesión único. Para más información, vea Aplicaciones en Microsoft Entra.

Impedir el acceso a la aplicación a través de cuentas locales

Una vez que haya validado que el inicio de sesión único funciona y lo ha implementado en su organización, recomendamos deshabilitar el acceso a la aplicación mediante credenciales locales. Esto garantiza que las directivas de acceso condicional, MFA, etc. estén en vigor para proteger los inicios de sesión en Snowflake. Revise la documentación de Snowflake para configurar el inicio de sesión único y use el commandlet ALTER USER para quitar contraseñas de usuario.

Pasos siguientes

Una vez que haya configurado Snowflake, puede aplicar el control de sesión, que protege su organización en tiempo real frente a la filtración e infiltración de información confidencial. El control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.