教學課程：設定 Snowflake 以自動佈建使用者

發行項
07/02/2024

本教學課程會示範如何在 Snowflake 與 Microsoft Entra ID 中執行步驟，將 Microsoft Entra ID 設定為可對 Snowflake 自動佈建及取消佈建使用者或群組。如需有關此服務的用途、運作方式和常見問題等重要詳細資訊，請參閱什麼是在 Microsoft Entra ID 中自動佈建 SaaS 應用程式使用者？。

支援的功能

在 Snowflake 中建立使用者
當使用者不再需要存取時，將其從 Snowflake 中移除
讓 Microsoft Entra ID 與 Snowflake 之間的使用者屬性保持同步
在 Snowflake 中佈建群組和群組成員資格
允許單一登入至 Snowflake (建議使用)

必要條件

本教學課程中概述的案例假設您已經具有下列必要條件：

Microsoft Entra 租用戶
下列其中一個角色：應用程式系統管理員、雲端應用程式管理員，或應用程式擁有者。
Snowflake 租用戶
Snowflake 中至少有一位具有 ACCOUNTADMIN 角色的使用者。

步驟 1：規劃佈建部署

了解佈建服務的運作方式 \(部分機器翻譯\)。
判斷誰會在佈建範圍 \(部分機器翻譯\) 內。
判斷要在 Microsoft Entra ID 與 Snowflake 之間對應哪些資料。

步驟 2：設定 Snowflake 以支援使用 Microsoft Entra ID 進行佈建

在設定 Snowflake 使用 Microsoft Entra ID 來自動佈建使用者之前，您必須在 Snowflake 上啟用跨網域身分識別管理系統 (SCIM) 的佈建。

以系統管理員身分登入 Snowflake，並從 Snowflake 工作表介面或 SnowSQL 執行下列命令。

use role accountadmin;

 create role if not exists aad_provisioner;
 grant create user on account to role aad_provisioner;
 grant create role on account to role aad_provisioner;
grant role aad_provisioner to role accountadmin;
 create or replace security integration aad_provisioning
     type = scim
     scim_client = 'azure'
     run_as_role = 'AAD_PROVISIONER';
 select system$generate_scim_access_token('AAD_PROVISIONING');

使用 ACCOUNTADMIN 角色。
建立自訂角色 AAD_PROVISIONER。 Snowflake 中由 Microsoft Entra ID 建立的所有使用者和角色都將由縮小範圍的 AAD_PROVISIONER 角色所擁有。
讓 ACCOUNTADMIN 角色使用 AAD_PROVISIONER 自訂角色來建立安全性整合。
建立授權權杖並將其複製到剪貼簿，並安全地儲存以供稍後使用。針對每個 SCIM REST API 要求使用此權杖，並將其放在要求標頭中。存取權杖會在六個月之後到期，而且可使用此陳述式產生新的存取權杖。

步驟 3：從 Microsoft Entra 應用程式資源庫新增 Snowflake

從 Microsoft Entra 應用程式資源庫新增 Snowflake，以開始管理對 Snowflake 的佈建。如果您先前已設定 Snowflake 的單一登入 (SSO)，則可以使用相同的應用程式。不過，我們建議您在剛開始測試整合時先建立個別的應用程式。深入了解從資源庫新增應用程式。

步驟 4：定義佈建範圍內的人員

Microsoft Entra 佈建服務可讓您根據對應用程式的指派，或根據使用者或群組的屬性，界定將要佈建的人員。如果選擇根據指派來界定將佈建至應用程式的人員，則可使用這些將使用者和群組指派給應用程式的步驟。如果選擇僅根據使用者或群組屬性來界定將要佈建的人員，則可使用範圍篩選條件。

請記住下列秘訣：

在將使用者和群組指派給 Snowflake 時，您必須選取「預設存取」以外的角色。具有 [預設存取] 角色的使用者會從佈建中排除，而且會在佈建記錄中標示為不具有效權限。如果應用程式上唯一可用的角色是「預設存取」角色，您可以更新應用程式資訊清單以新增更多角色。
如果需要其他角色，您可以更新應用程式資訊清單以新增角色。

步驟 5：對 Snowflake 設定自動使用者佈建

本節將引導您逐步設定 Microsoft Entra 佈建服務，以在 Snowflake 中建立、更新和停用使用者和群組。您可以根據 Microsoft Entra ID 中的使用者和群組指派來進行設定。

若要在 Microsoft Entra ID 中為 Snowflake 設定使用者自動佈建：

以至少雲端應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [應用程式] > [企業應用程式]。
在應用程式清單中，選取 [Snowflake]。
選取 [佈建] 索引標籤。
將 [佈建模式] 設定為 [自動]。
在 [管理員認證] 區段中，分別在 [租用戶 URL] 和 [祕密權杖] 方塊中輸入稍早擷取到的 SCIM 2.0 基底 URL 和驗證權杖。

注意

Snowflake SCIM 端點是由 /scim/v2/ 附加的 Snowflake 帳戶 URL 所組成。例如，如果您的 Snowflake 帳戶名稱是 acme，而 Snowflake 帳戶位於 east-us-2 Azure 區域中，則 [租用戶 URL] 值為 https://acme.east-us-2.azure.snowflakecomputing.com/scim/v2。

選取 [測試連線]，以確保 Microsoft Entra ID 可以連線到 Snowflake。如果連線失敗，請確定您的 Snowflake 帳戶具有管理員權限，然後再試一次。
在 [通知電子郵件] 方塊中，輸入應收到佈建錯誤通知的個人或群組電子郵件地址。接著選取 [發生失敗時傳送電子郵件通知] 核取方塊。
選取 [儲存]。
在 [對應] 區段中，選取 [將 Microsoft Entra 使用者同步至 Snowflake]。
在 [屬性對應] 區段中，檢閱從 Microsoft Entra ID 同步至 Snowflake 的使用者屬性。選取為 [比對] 屬性 (Property) 的屬性 (Attribute)，會用來比對 Snowflake 中的使用者帳戶以進行更新作業。選取 [儲存] 按鈕以認可所有變更。

屬性類型

作用中布林值

displayName String

emails[type eq "work"].value String

userName String

name.givenName String

name.familyName String

externalId String
注意

Snowflake 在 SCIM 佈建期間支援的自訂擴充使用者屬性：
- DEFAULT_ROLE
- DEFAULT_WAREHOUSE
- DEFAULT_SECONDARY_ROLES
- SNOWFLAKE 名稱與 LOGIN_NAME 欄位會不同
這裡說明如何在 Microsoft Entra SCIM 使用者佈建中設定 Snowflake 自訂擴充屬性。
在 [對應] 區段中，選取 [將 Microsoft Entra 群組同步至 Snowflake]。
在 [屬性對應] 區段中，檢閱從 Microsoft Entra ID 同步至 Snowflake 的群組屬性。選取為 [比對] 屬性 (Property) 的屬性 (Attribute)，會用來比對 Snowflake 中的群組以進行更新作業。選取 [儲存] 按鈕以認可所有變更。

屬性類型

displayName String

成員參考
若要設定範圍篩選條件，請參閱範圍篩選器教學課程中的指示。
若要為 Snowflake 啟用 Microsoft Entra 佈建服務，請在 [設定] 區段中，將 [佈建狀態] 變更為 [開啟]。
在 [設定] 區段的 [範圍] 中選擇所需的值，以定義要佈建至 Snowflake 的使用者和群組。

如果此選項無法使用，請設定 [管理員認證] 下的必要欄位，然後選取 [儲存] 並重新整理頁面。
準備好要佈建時，請選取 [儲存]。