Automatisches Umleiten der Benutzer zu Ihrem Identitätsanbieter¶

Unter diesem Thema wird beschrieben, wie Sie Snowflake so konfigurieren, dass Benutzer zur Authentifizierung automatisch zu Ihrem Identitätsanbieter (IdP) umgeleitet werden, wenn sie auf eine Snowflake-Schnittstelle zugreifen, anstatt zuerst die Anmeldeseite von Snowflake anzuzeigen.

Sie konfigurieren die Umleitung über die Eigenschaft LOGIN_IDP_REDIRECT des Kontos. Jede Schnittstelle (wie Snowsight, Streamlit in Snowflake oder Snowpark Container Services Ingress) kann einer anderen SAML2-Sicherheitsintegration zugeordnet werden, oder Sie können eine einzige Standardzuordnung festlegen, die für jede Schnittstelle gilt.

Übersicht¶

Wenn für Ihr Konto Verbundauthentifizierung konfiguriert ist, wird der Benutzer beim Standard-Anmeldeablauf aufgefordert, zunächst die Anmeldeseite von Snowflake aufzurufen und sich dann über Ihren IdP anzumelden. Wenn LOGIN_IDP_REDIRECT konfiguriert ist, überspringt Snowflake die Anmeldeseite von Snowflake komplett: der Benutzer wird zur Authentifizierung direkt zum IdP weitergeleitet und wird dann an die angeforderte Snowflake-Schnittstelle zurückgeleitet.

Dies vereinfacht den Anmeldeablauf für Benutzer, deren einziger Authentifizierungspfad der IdP ist, der für diese Schnittstelle konfiguriert ist. Dies ist besonders nützlich für eingebettete Benutzererfahrungen, wie z. B. Streamlit in Snowflake App-Viewer-URLs und Snowpark Container Services Ingress-Endpunkte, bei denen die Anmeldeseite von Snowflake einen zusätzlichen Schritt hinzufügt, bevor Benutzer den einzigen IdP erreichen, bei dem sie sich authentifizieren können.

Voraussetzungen¶

Bevor Sie LOGIN_IDP_REDIRECT konfigurieren, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind:

Sie haben mindestens eine SAML2-Sicherheitsintegration konfiguriert und aktiviert. Die Umleitungseigenschaft akzeptiert nur SAML2-Sicherheitsintegrationen. Eine Anweisung dazu finden Sie unter Konfigurieren von Snowflake für die Verwendung der Verbundauthentifizierung.
Sie haben die ACCOUNTADMIN-Rolle oder eine Rolle mit den für die Ausführung von ALTER ACCOUNT erforderlichen Berechtigungen.
Mindestens ein Kontoadministrator kann sich mit einer Backup-Authentifizierungsmethode anmelden (z. B. mit einem Snowflake-Kennwort mit MFA), damit Ihre Organisation den Zugriff wiederherstellen kann, wenn der IdP nicht mehr verfügbar ist. Siehe Verwalten von Benutzern mit aktivierter Verbundauthentifizierung.

Unterstützte Schnittstellen¶

Sie können eine Umleitung für jede der folgenden Snowflake-Schnittstellen konfigurieren. Jede Schnittstelle kann einer anderen SAML2-Sicherheitsintegration zugeordnet werden.

DEFAULT

Gilt für zwei Situationen:

Anmeldeabläufe, die bei app.snowflake.com beginnen (die Snowsight-Anmeldeseite). Wenn DEFAULT festgelegt ist, werden diese Abläufe zum IdP umgeleitet (anstatt die Snowflake-Anmeldeseite anzuzeigen).
Alle anderen unten aufgeführten Schnittstellen, die Sie nicht explizit konfigurieren. Wenn Sie beispielsweise DEFAULT einstellen, aber nicht STREAMLIT, verwendet Streamlit in Snowflake App-Viewer-URLs die DEFAULT-Zuordnung.

Um eine bestimmte Schnittstelle aus der DEFAULT-Vorgehensweise herauszunehmen, stellen Sie diese Schnittstelle auf NULL ein. Siehe Umleitung entfernen oder deaktivieren.

SNOWFLAKE_INTELLIGENCE

Gilt für Snowflake Intelligence-URLs. Hat Vorrang vor der DEFAULT-Zuordnung für Snowflake Intelligence-URLs. Stellen Sie diesen Schlüssel auf NULL ein, um Snowflake Intelligence-URLs aus der DEFAULT-Vorgehensweise herauszunehmen. Schnittstellenspezifische Anleitungen, einschließlich DNS-Konfiguration, die erforderlich ist, wenn auf Snowflake Intelligence mit privater Konnektivität zugegriffen wird, finden Sie unter Umleiten der Benutzers zu Ihrem Identitätsanbieter.

STREAMLIT

Gilt für |sis|App-Viewer-URLs. Hat Vorrang vor der DEFAULT-Zuordnung für Streamlit App-Viewer-URLs. Stellen Sie diesen Schlüssel auf NULL ein, um Streamlit App-Viewer-URLs aus der DEFAULT-Vorgehensweise herauszunehmen. Schnittstellenspezifische Hinweise finden Sie unter Umleiten der App-Betrachter zu Ihrem Identitätsanbieter.

SPCS

Gilt für Snowpark Container Services Ingress-Endpunkte. Hat Vorrang vor der DEFAULT-Zuordnung für SPCS Ingress-URLs. Stellen Sie diesen Schlüssel auf NULL ein, um SPCS Ingress-URLs aus der DEFAULT-Vorgehensweise herauszunehmen. Schnittstellenspezifische Hinweise finden Sie unter Hinweise zu eingehendem Datenverkehr und zu Ihrem Identitätsanbieter (IdP).

Snowflake löst die Umleitung für eine Schnittstelle in dieser Reihenfolge auf:

Wenn der Schnittstellenschlüssel explizit festgelegt ist, wird diese Zuordnung verwendet. Ein Wert von NULL bedeutet „keine Umleitung für diese Schnittstelle“.
Wenn DEFAULT festgelegt ist, wird alternativ die DEFAULT-Zuordnung verwendet.
Andernfalls wird die Standard-Anmeldeseite von Snowflake angezeigt.

Konfigurieren der Umleitung¶

Verwenden Sie ALTER ACCOUNT, um LOGIN_IDP_REDIRECT festzulegen. Sie können mehrere Schnittstellen in einer einzigen Anweisung zuordnen. Ersetzen Sie your_security_integration mit dem Namen einer vorhandenen, aktivierten SAML2-Sicherheitsintegration.

Um jede Schnittstelle im Konto über denselben IdP umzuleiten:

ALTER ACCOUNT SET LOGIN_IDP_REDIRECT = (
  DEFAULT = my_saml_integration
);

Um eine andere SAML2-Sicherheitsintegration für einzelne Schnittstellen zu konfigurieren, listen Sie diese in derselben Anweisung auf. Zuordnungen pro Schnittstelle haben Vorrang vor der DEFAULT-Zuordnung für diese Schnittstelle.

ALTER ACCOUNT SET LOGIN_IDP_REDIRECT = (
  DEFAULT = my_saml_integration,
  SNOWFLAKE_INTELLIGENCE = my_intelligence_saml_integration,
  STREAMLIT = my_streamlit_saml_integration,
  SPCS = my_spcs_saml_integration
);

Erneute Festlegung von LOGIN_IDP_REDIRECT ersetzt die gesamte Zuordnung durch die neuen Werte. Listen Sie alle Schnittstellen auf, die bei jeder Änderung der Eigenschaft konfiguriert bleiben sollen.

Aktuelle Konfiguration anzeigen¶

Um zu sehen, welche Schnittstellen derzeit zugeordnet sind, fragen Sie den schreibgeschützten LOGIN_IDP_REDIRECT-Kontoparameter ab. Der Parameter gibt ein JSON-Objekt zurück, das die für das Konto festgelegten Zuordnungen zusammenfasst.

SHOW PARAMETERS LIKE 'LOGIN_IDP_REDIRECT' IN ACCOUNT;

Weitere Informationen dazu finden Sie unter LOGIN_IDP_REDIRECT (schreibgeschützt) in der Parameterreferenz.

Umleitung entfernen oder deaktivieren¶

Um die Umleitung einer einzelnen Schnittstelle zu Ihrem IdP zu stoppen, während andere Zuordnungen bestehen bleiben, setzen Sie diese Schnittstelle in einer neuen ALTER ACCOUNT SET LOGIN_IDP_REDIRECT-Anweisung auf NULL. Benutzern dieser Schnittstelle wird dann die Standard-Anmeldeseite von Snowflake angezeigt. Einstellen einer Schnittstelle auf NULL nimmt diese Schnittstelle auch aus der DEFAULT-Vorgehensweise heraus.

Beispiel: Um die DEFAULT-Zuordnung beizubehalten, aber die Umleitung von Streamlit App-Viewer-URLs zu stoppen:

ALTER ACCOUNT SET LOGIN_IDP_REDIRECT = (
  DEFAULT = my_saml_integration,
  STREAMLIT = NULL
);

Um alle Zuordnungen zu entfernen und den Standardanmeldeablauf für jede Schnittstelle wiederherzustellen, deaktivieren Sie die Eigenschaft:

ALTER ACCOUNT UNSET LOGIN_IDP_REDIRECT;

Umleitung umgehen, um die Anmeldeseite von Snowflake zu erreichen¶

Snowflake unterstützt ein Wiederherstellungsverfahren, mit dem Sie die Standardanmeldeseite erreichen können, auch wenn eine Umleitung konfiguriert ist. Verwenden Sie diese Prozedur, wenn Sie sich nicht über Ihren IdP anmelden können oder wenn Sie sich mit einer Backup-Authentifizierungsmethode anmelden müssen, z. B. mit einem Snowflake-Kennwort mit MFA.

Die Prozedur stützt sich auf den OIDC``prompt=login``-Standardparameter, den Snowflake einsetzt, um die IdP-Umleitung für einen einzelnen Anmeldeversuch zu unterdrücken.

So verwenden Sie dies:

Öffnen Sie in Ihrem Browser die Entwicklertools, und wählen Sie die Registerkarte „Netzwerk“.
Starten Sie das Laden der Snowflake-URL, die umgeleitet wird.
Suchen Sie die Anforderung an den /oauth/authorize-Endpunkt unter snowflakecomputing.com und kopieren Sie die vollständige URL.
Hängen Sie &prompt=login an das Ende der URL an und laden Sie die bearbeitete URL in Ihrem Browser.

Snowflake zeigt die Standardanmeldeseite an, auf der Sie eine beliebige Authentifizierungsmethode auswählen können, die für Ihren Benutzer aktiviert ist.

Wichtig

Stellen Sie sicher, dass mindestens ein Kontoadministrator über eine funktionierende Backup-Authentifizierungsmethode (z. B. ein Snowflake-Kennwort) verfügt, damit Ihre Organisation den Zugriff wiederherstellen kann, wenn der IdP nicht mehr verfügbar ist. Siehe Verwalten von Benutzern mit aktivierter Verbundauthentifizierung für Hinweise zur Verwaltung von Administrator-Anmeldeinformationen in einer Verbundumgebung.

Hinweise¶

Beachten Sie bei der Konfiguration von LOGIN_IDP_REDIRECT die folgenden Punkte:

Nur SAML2-Sicherheitsintegrationen werden unterstützt. Andere Typen von Sicherheitsintegrationen können mit der Eigenschaft nicht referenziert werden.
Die referenzierte Sicherheitsintegration muss vorhanden und aktiviert sein. Wenn Sie die Sicherheitsintegration löschen oder deaktivieren, erhalten Benutzer der betroffenen Schnittstelle einen Fehler, wenn sie versuchen, sich anzumelden. Aktualisieren oder entfernen Sie die Zuordnung, bevor Sie die Integration deaktivieren oder löschen.
ALTER ACCOUNT SET LOGIN_IDP_REDIRECT ersetzt die gesamte Zuordnung. Fügen Sie immer jede Schnittstelle hinzu, die Sie konfiguriert behalten möchten.
ALTER ACCOUNT UNSET LOGIN_IDP_REDIRECT entfernt alle Zuordnungen auf einmal.
Die Umleitung umgeht die Snowflake-Anmeldeseite für konfigurierte Schnittstellen, einschließlich der Option, eine andere Authentifizierungsmethode zu wählen. Benutzer, die sich mit einer Backup-Authentifizierungsmethode anmelden, müssen das unter Umleitung umgehen, um die Anmeldeseite von Snowflake zu erreichen beschriebene Wiederherstellungsverfahren ausführen.