Übersicht zu External OAuth in Snowflake Open Catalog¶
Unter diesem Thema erfahren Sie, wie Sie External OAuth-Server konfigurieren, die OAuth 2.0 für den Zugriff auf Snowflake Open Catalog verwenden.
External OAuth integriert den OAuth 2.0-Server des Kunden, um eine nahtlose SSO-Erfahrung zu bieten, die Abfrage Engines den Zugriff auf Open Catalog ermöglicht.
Open Catalog unterstützt die folgenden externen Autorisierungsserver:
Auth0
Microsoft Entra ID
Okta
Anwendungsfälle und Vorteile¶
Open Catalog delegiert die Token-Ausgabe an einen dedizierten Autorisierungsserver, um sicherzustellen, dass sich der OAuth-Client und der Benutzer ordnungsgemäß authentifizieren. Das Ergebnis ist eine zentralisierte Verwaltung der an Open Catalog ausgegebenen Token.
Clients können sich ohne Browserzugriff bei Snowflake authentifizieren, was die Integration mit dem External OAuth-Server erleichtert.
Allgemeiner Workflow¶
Für jeden der unterstützten Identitätsanbieter kann der Workflow für OAuth in Bezug auf External OAuth-Autorisierungsserver wie folgt zusammengefasst werden. Beachten Sie, dass der erste Schritt nur einmal ausgeführt wird und die verbleibenden Schritte bei jedem Versuch des Zugriffs auf Open Catalog-Daten ausgeführt werden.
.
Konfigurieren Sie Ihren External OAuth-Autorisierungsserver in Ihrer Umgebung und die Sicherheitsintegration in Open Catalog, um eine Vertrauensstellung herzustellen.
Ein Dienstprinzipal versucht, über die Clientanwendung auf Open Catalog-Daten zuzugreifen, und die Anwendung versucht, den Dienstprinzipal zu verifizieren.
Bei der Überprüfung sendet der Autorisierungsserver ein JSON-Webtoken (d. h. OAuth-Token) an die Abfrage-Engine.
Der Open Catalog-Treiber übergibt eine Verbindungszeichenfolge an Open Catalog mit dem OAuth-Token
Open Catalog validiert den OAuth-Token.
Open Catalog führt eine Suche nach dem Dienstprinzipal durch.
Bei der Überprüfung instanziiert Open Catalog eine Sitzung für den Dienstprinzipal, um basierend auf seiner Rolle auf Daten in Open Catalog zuzugreifen.