Руководство по настройке Snowflake для автоматической подготовки пользователей

В этом руководстве показано, как выполнить действия в Snowflake и Идентификаторе Microsoft Entra, чтобы настроить идентификатор Microsoft Entra для автоматической подготовки и отмены подготовки пользователей и групп в Snowflake. Важные сведения о том, что делает эта служба, как она работает, и часто задаваемые вопросы см. в статье "Что такое автоматическая подготовка пользователей приложения SaaS в идентификаторе Microsoft Entra ID?".

Поддерживаемые возможности

• Создание пользователей в Snowflake.
• Удаление пользователей из Snowflake, когда доступ им больше не нужен.
• Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и Snowflake
• Подготовка групп и членства в группах в Snowflake.
• Разрешение единого входа в Snowflake (рекомендуется).

Необходимые компоненты

В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:

• Клиент Microsoft Entra
• Одна из следующих ролей: Application Администратор istrator, Cloud Application Администратор istrator или Владелец приложения.
• Арендатор Snowflake.
• По крайней мере один пользователь в Snowflake с ролью ACCOUNTADMIN .

Шаг 1. Планирование развертывания подготовки

1. Узнайте, как работает служба подготовки.
2. Определите, кто будет находиться в области подготовки.
3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и Snowflake.

Шаг 2. Настройка Snowflake для поддержки подготовки с помощью идентификатора Microsoft Entra

Перед настройкой Snowflake для автоматической подготовки пользователей с помощью идентификатора Microsoft Entra необходимо включить подготовку System for Cross-domain Identity Management (SCIM) в Snowflake.

1. Войдите в Snowflake от имени администратора и выполните следующие действия из интерфейса листа Snowflake или SnowSQL.

   use role accountadmin;
   
    create role if not exists aad_provisioner;
    grant create user on account to role aad_provisioner;
    grant create role on account to role aad_provisioner;
   grant role aad_provisioner to role accountadmin;
    create or replace security integration aad_provisioning
        type = scim
        scim_client = 'azure'
        run_as_role = 'AAD_PROVISIONER';
    select system$generate_scim_access_token('AAD_PROVISIONING');
   

2. Используйте роль ACCOUNTADMIN.

   

3. Создайте настраиваемую роль AAD_PROVISIONER. Все пользователи и роли в Snowflake, созданные идентификатором Microsoft Entra, будут принадлежать AAD_PROVISIONER роли область AAD_PROVISIONER.

   

4. Позвольте роли ACCOUNTADMIN создать интеграцию безопасности с помощью пользовательской роли AAD_PROVISIONER.

   

5. Создайте и скопируйте маркер авторизации в буфер обмена и безопасно сохраните его для последующего использования. Используйте этот маркер для каждого запроса REST API SCIM и поместите его в заголовок запроса. Срок действия маркера доступа истекает через шесть месяцев, а новый маркер доступа можно создать с помощью этой инструкции.

   

Шаг 3. Добавление Snowflake из коллекции приложений Microsoft Entra

Добавьте Snowflake из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в Snowflake. Если вы уже настроили единый вход в Snowflake, вы можете использовать то же приложение. Но мы рекомендуем создать отдельное приложение для исходной проверки интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.

Шаг 4. Определение того, кто будет находиться в область для подготовки

Служба подготовки Microsoft Entra позволяет область, которые будут подготовлены на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решили определить пользователей на основе назначения, выполните следующие действия, чтобы назначить пользователей и группы приложению. Если вы решили определить пользователей только на основе атрибутов пользователя или группы, примените фильтр области, как описано здесь.

Помните о следующем:

• При назначении пользователей и групп для Snowflake необходимо выбрать роль, отличную от роли "Доступ по умолчанию". Пользователи с ролью "Доступ по умолчанию" исключаются из подготовки и будут помечены в журналах подготовки как не назначенные явно. Если в приложении доступна только эта роль, можно изменить манифест приложения, чтобы добавить другие роли.

• Если требуются дополнительные роли, можно обновить манифест приложения, чтобы добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в Snowflake

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в Snowflake. Конфигурацию можно использовать для назначений пользователей и групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическую подготовку пользователей для Snowflake в идентификаторе Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям Identity>Applications>Enterprise.

   

3. В списке приложений выберите Snowflake.

   

4. Выберите вкладку Подготовка.

   

5. Для параметра Режим подготовки к работе выберите значение Автоматически.

   

6. В разделе Учетные данные администратора введите полученные ранее значения базового URL-адреса SCIM 2.0 и маркера аутентификации в поля URL-адрес арендатора и Токен секрета соответственно.

   Примечание.

   Конечная точка SCIM Snowflake состоит из URL-адреса учетной записи Snowflake, добавленного с /scim/v2/. Например, если имя учетной записи Snowflake и acme ваша учетная запись Snowflake находится в регионе east-us-2 Azure, значение URL-адреса клиента равно https://acme.east-us-2.azure.snowflakecomputing.com/scim/v2.

   Выберите "Тест Подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключиться к Snowflake. Если установить подключение не удалось, убедитесь, что у учетной записи Snowflake есть разрешения администратора, и повторите попытку.

   

7. В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки. Установите флажок Отправить уведомление по электронной почте при сбое.

   

8. Выберите Сохранить.

9. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Snowflake.

10. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Snowflake в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства сопоставления, используются для сопоставления учетных записей пользователей в Snowflake для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип
    active	Логический
    displayName	Строка
    emails[type eq "work"].value	Строка
    userName	Строка
    name.givenName	Строка
    name.familyName	Строка
    externalId	Строка

    Примечание.

    Snowflake поддерживает пользовательские атрибуты пользователя расширения во время подготовки SCIM:

    • DEFAULT_ROLE
    • DEFAULT_WAREHOUSE
    • DEFAULT_SECONDARY_ROLES
    • ИМЯ SNOWFLAKE И ПОЛЯ LOGIN_NAME ДЛЯ РАЗНЫХ

    Как настроить настраиваемые атрибуты расширения Snowflake в подготовке пользователей Microsoft Entra SCIM, описано здесь.

11. В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с Snowflake.

12. Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra с Snowflake в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства сопоставления, используются для сопоставления групп в Snowflake для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип
    displayName	Строка
    members	Справочные материалы

13. Чтобы настроить фильтры области, ознакомьтесь с инструкциями в этом учебнике.

14. Чтобы включить службу подготовки Microsoft Entra для Snowflake, измените состояние подготовки на On в разделе Параметры.

    

15. Определите пользователей и группы для подготовки в Snowflake, выбрав нужные значения в поле Область в разделе Параметры.

    Если этот параметр недоступен, настройте обязательные поля в разделе Учетные данные администратора, нажмите кнопку Сохранить и обновите страницу.

    

16. Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.

    

После этого начнется начальная синхронизация пользователей и групп, определенных в поле Область раздела Параметры. Начальная синхронизация занимает больше времени, чем последующие операции синхронизации. Последующие синхронизации происходят примерно каждые 40 минут, пока выполняется служба подготовки Microsoft Entra.

Шаг 6. Мониторинг развертывания

Завершив настройку подготовки, используйте следующие ресурсы для мониторинга развертывания:

• Используйте журналы подготовки, чтобы определить, какие пользователи были подготовлены успешно или неудачно.
• Используйте индикатор выполнения, чтобы узнать состояние цикла подготовки и близость его завершения.
• Если конфигурация подготовки, вероятно, находится в неработоспособном состоянии, приложение перейдет в карантин. Подробнее о режимах карантина.

Ограничения соединителя

Срок действия токенов SCIM, созданных Snowflake, истекает через 6 месяцев. Учтите, что их необходимо обновить до истечения срока действия, чтобы синхронизация подготовки продолжала работать.

Советы по устранению неполадок

Служба подготовки Microsoft Entra в настоящее время работает в определенных диапазонах IP-адресов. При необходимости можно ограничить другие диапазоны IP-адресов и добавить эти определенные диапазоны IP-адресов в список разрешений приложения. Этот метод позволит потоку трафика из службы подготовки Microsoft Entra в приложение.

Журнал изменений

• 07.21.2020: включен обратимое удаление для всех пользователей (с помощью активного атрибута).
• 10.12.2022: обновленная конфигурация SCIM Snowflake.

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложениям и единый вход с помощью идентификатора Microsoft Entra?

Следующие шаги

• Сведения о просмотре журналов и получении отчетов о действиях по подготовке