Snowflake Connector for Microsoft Power Platform: Konfigurieren der OAuth-Ressource in Microsoft Entra ID

Der Prozess der Konfiguration von OAuth in Microsoft Entra umfasst die folgenden Schritte:

  1. Navigieren Sie zum Microsoft Azure Portal, und authentifizieren Sie sich.

  2. Navigieren Sie zu Microsoft Entra ID.

  3. Wählen Sie App Registrations aus.

  4. Wählen Sie New Registration aus.

  5. Geben Sie „Snowflake OAuth-Ressource“ oder einen ähnlichen Wert wie Name ein.

  6. Überprüfen Sie, ob Supported account types auf Single Tenant festgelegt sind.

  7. Wählen Sie Register aus.

  8. Wählen Sie Expose an API aus.

  9. Wählen Sie den Link neben Application ID URI aus, um den Anwendungs-ID-URI hinzuzufügen. Der Anwendungs-ID-URI hat das Format Anwendungs-ID-URI <api://9xxxxxxxxxxxxxxxxxx>.

  10. Für delegierte Authentifizierung oder Für Dienstprinzipal-Authentifizierung

    1. Nur für delegierte Authentifizierung

      1. Wählen Sie Add a Scope aus, um einen Bereich hinzuzufügen, der die Snowflake-Rolle repräsentiert.

      2. Wählen Sie aus, wer zustimmen kann.

      3. Fügen Sie eine Beschreibung hinzu.

      4. Klicken Sie zum Speichern auf Add Scope.

        Beispiel: session:scope:analyst, um Benutzer mit bestimmten Rollen einzuschränken, und session:role-any, um Benutzer mit jeder Rolle zuzulassen.

    2. Nur für Dienstprinzipal-Authentifizierung

      Gehen Sie wie folgt vor, um eine Snowflake-Rolle als Rolle für OAuth-Abläufe hinzuzufügen, bei denen der programmgesteuerte Client ein Zugriffstoken für sich selbst anfordert:

      1. Wählen Sie App Roles aus.

      2. Wählen Sie +Create app role aus.

      3. Legen Sie für Applications „Allowed member types“ fest.

      4. Geben Sie für den Wert Folgendes ein:

        Beispiel: session:role:analyst zur Verbindung mit einer bestimmten Rolle, oder session:role-any für jede Rolle, der der Dienstbenutzer zugeordnet ist.

        Vermeiden Sie Rollen mit hohen Berechtigungen wie ACCOUNTADMIN, SECURITYADMIN oder ORGADMIN.

  11. [Optional] Wenn in Snowflake bereits eine Sicherheitsintegration mit einem anderen Microsoft-Produkt verwendet wird, z. B. PowerBI, und mit einer anderen Anspruchszuordnung, muss das Manifest angepasst werden. Das Manifest muss Token mit einem anderen Aussteller ausgeben, damit eine separate Sicherheitsintegration in Snowflake mit der eindeutigen Anspruchszuordnung erstellt werden kann.

    1. Wählen Sie Manifest aus.

    2. Suchen Sie das Attribut `requestedAccessTokenVersion und setzen Sie den Wert auf „2“.

      • Wenn requestedAccessTokenVersion auf „2“ gesetzt ist, hat das Zugriffstoken einen Aussteller im folgenden Format: `https://login.microsoftonline.com/<Mandanten-ID>/v2.0

      • Wenn requestedAccessTokenVersion auf „1“ gesetzt ist, hat das Zugriffstoken einen Aussteller im folgenden Format: https://sts.windows.net/<Mandanten-ID>/

    3. Wählen Sie Save aus.

Nächste Schritte

Führen Sie nach Beendigung dieser Prozeduren die unter Snowflake Connector for Microsoft Power Platform: OAuth-Client in Microsoft Entra ID erstellen beschriebenen Schritte aus.