Kategorien:

DDL für Benutzer und Sicherheit (Integrationen von Drittanbieterdiensten)

CREATE SECURITY INTEGRATION (SCIM)

Erstellt eine neue SCIM-Sicherheitsintegration im Konto oder ersetzt eine vorhandene Integration. Eine SCIM-Sicherheitsintegration ermöglicht die automatisierte Verwaltung von Benutzeridentitäten und -gruppen (d. h. Rollen), indem eine Schnittstelle zwischen Snowflake und einem Identitätsanbieter (IdP) geschaffen wird.

Weitere Informationen zum Erstellen anderer Typen von Sicherheitsintegrationen (z. B. SAML2) finden Sie unter CREATE SECURITY INTEGRATION.

Siehe auch:

ALTER SECURITY INTEGRATION (SCIM), DROP INTEGRATION, SHOW INTEGRATIONS

Unter diesem Thema:

Syntax

CREATE [ OR REPLACE ] SECURITY INTEGRATION [ IF NOT EXISTS ]
    <name>
    TYPE = SCIM
    SCIM_CLIENT = 'OKTA' | 'AZURE' | 'GENERIC'
    RUN_AS_ROLE = 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER'
    [ NETWORK_POLICY = '<network_policy>' ]
    [ SYNC_PASSWORD = TRUE | FALSE ]
    [ COMMENT = '<string_literal>' ]

Erforderliche Parameter

name

Zeichenfolge, die den Bezeichner (d. h. den Namen) für die Integration angibt. Muss in Ihrem Konto eindeutig sein.

Darüber hinaus muss der Bezeichner mit einem Buchstaben beginnen und darf keine Leer- oder Sonderzeichen enthalten, es sei denn, die gesamte Bezeichnerzeichenfolge wird in doppelte Anführungszeichen gesetzt (z. B. "My object"). Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß-/Kleinschreibung zu beachten.

Weitere Details dazu finden Sie unter Anforderungen an Bezeichner.

TYPE = SCIM

Geben Sie den Typ der Integration an:

  • SCIM: Erstellt eine Sicherheitsschnittstelle zwischen Snowflake und einem Client, der SCIM unterstützt.

SCIM_CLIENT = 'OKTA' | 'AZURE' | 'GENERIC'

Gibt den SCIM-Client an.

RUN_AS_ROLE = 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER'

Gibt die SCIM-Rolle in Snowflake an, die Eigentümer aller Benutzer und Rollen ist, die mit SCIM vom Identitätsanbieter in Snowflake importiert werden.

  • Die Werte OKTA_PROVISIONER, AAD_PROVISIONER und GENERIC_SCIM_PROVISIONER unterscheiden zwischen Groß- und Kleinschreibung und müssen immer groß geschrieben werden.

Optionale Parameter

NETWORK_POLICY = 'network_policy'

Gibt eine vorhandene Netzwerkrichtlinie an, die für Ihr Konto aktiv ist. Die Netzwerkrichtlinie schränkt die Liste der Benutzer-IP-Adressen ein, wenn ein Autorisierungscode gegen ein Zugriffs- oder Aktualisierungstoken ausgetauscht und ein Aktualisierungstoken zum Abrufen eines neuen Zugriffstoken verwendet wird. Wenn dieser Parameter nicht festgelegt ist, wird stattdessen die Netzwerkrichtlinie für das Konto (wenn vorhanden) verwendet.

SYNC_PASSWORD = TRUE | FALSE

Gibt an, ob die Synchronisierung eines Benutzerkennworts von einem Okta-SCIM-Client als Teil der API-Anforderung an Snowflake aktiviert oder deaktiviert werden soll.

  • TRUE aktiviert die Kennwortsynchronisierung.

  • FALSE deaktiviert die Kennwortsynchronisierung.

Standard: TRUE. Wenn eine Sicherheitsintegration erstellt wird, ohne diesen Parameter festzulegen, setzt Snowflake den Parameter auf TRUE.

Wenn Benutzerkennwörter nicht vom Client zu Snowflake synchronisiert werden sollen, stellen Sie sicher, dass dieser Eigenschaftswert auf FALSE gesetzt ist und die Kennwortsynchronisierung im Client deaktiviert ist.

Beachten Sie, dass diese Eigenschaft für Okta- und für benutzerdefinierte SCIM-Integrationen unterstützt wird. Azure-SCIM-Integrationen werden nicht unterstützt, da Microsoft Azure die Kennwortsynchronisierung nicht unterstützt. Wenn Sie entsprechenden Support benötigen, wenden Sie sich an Microsoft Azure.

Weitere Details dazu finden Sie unter Verwalten von Benutzern und Gruppen mit SCIM.

COMMENT

Zeichenfolge (Literal), die einen Kommentar zur Integration enthält.

Standard: Kein Wert

Anforderungen an die Zugriffssteuerung

Eine Rolle, die zur Ausführung dieses SQL-Befehls verwendet wird, muss mindestens die folgenden Berechtigungen haben:

Berechtigung

Objekt

Anmerkungen

CREATE INTEGRATION

Konto

Only the ACCOUNTADMIN role has this privilege by default. The privilege can be granted to additional roles as needed.

Eine Anleitung zum Erstellen einer benutzerdefinierten Rolle mit einer bestimmten Gruppe von Berechtigungen finden Sie unter Erstellen von benutzerdefinierten Rollen.

Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Zugriffssteuerung in Snowflake.

Nutzungshinweise

  • Metadaten:

    Achtung

    Kunden müssen sicherstellen, dass bei der Nutzung des Snowflake-Dienstes keine personenbezogenen Daten (außer für ein Objekt „Benutzer“), sensible Daten, exportkontrollierte Daten oder andere regulierte Daten als Metadaten eingegeben werden. Weitere Informationen dazu finden Sie unter Metadatenfelder in Snowflake.

  • CREATE OR REPLACE <Objekt>-Anweisungen sind atomar. Das heißt, wenn das Objekt ersetzt wird, werden die Löschung des alten Objekts und die Erstellung des neuen Objekts in einer einzigen Transaktion verarbeitet.

Beispiele

Beispiel für Microsoft Azure AD

Im folgenden Beispiel wird eine AD-SCIM-Integration mit den Standardeinstellungen erstellt:

create or replace security integration okta_provisioning
    type=scim
    scim_client='azure'
    run_as_role='AAD_PROVISIONER';

Zeigen Sie mit DESCRIBE INTEGRATION die Integrationseinstellungen an:

DESC SECURITY INTEGRATION aad_provisioning;

Beispiel für Okta

Im folgenden Beispiel wird eine Okta-SCIM-Integration mit den Standardeinstellungen erstellt:

create or replace security integration okta_provisioning
    type=scim
    scim_client='okta'
    run_as_role='OKTA_PROVISIONER';

Zeigen Sie mit DESCRIBE INTEGRATION die Integrationseinstellungen an:

DESC SECURITY INTEGRATION okta_provisioning;
Zurück zum Anfang