Catégories :

Utilisateur et sécurité DDL (Intégrations de services tiers)

CREATE SECURITY INTEGRATION (SCIM)

Crée une nouvelle intégration de sécurité SCIM dans le compte ou remplace une intégration existante. Une intégration de sécurité SCIM permet la gestion automatisée des identités et des groupes d’utilisateurs (c’est-à-dire des rôles) en créant une interface entre Snowflake et un fournisseur d’identité tiers (IdP).

Pour des informations sur la création d’autres types d’intégrations de sécurité (par exemple SAML2), voir CREATE SECURITY INTEGRATION.

Voir aussi :

ALTER SECURITY INTEGRATION (SCIM) , DROP INTEGRATION , SHOW INTEGRATIONS

Dans ce chapitre :

Syntaxe

CREATE [ OR REPLACE ] SECURITY INTEGRATION [ IF NOT EXISTS ]
    <name>
    TYPE = SCIM
    SCIM_CLIENT = 'OKTA' | 'AZURE' | 'GENERIC'
    RUN_AS_ROLE = 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER'
    [ NETWORK_POLICY = '<network_policy>' ]
    [ SYNC_PASSWORD = TRUE | FALSE ]
    [ COMMENT = '<string_literal>' ]

Paramètres requis

name

Chaîne spécifiant l’identificateur (c’est-à-dire le nom) de l’intégration ; elle doit être unique sur votre compte.

De plus, l’identificateur doit commencer par un caractère alphabétique et ne peut pas contenir d’espaces ou de caractères spéciaux à moins que toute la chaîne d’identificateur soit délimitée par des guillemets doubles (p. ex. "My object"). Les identificateurs entre guillemets doubles sont également sensibles à la casse.

Pour plus de détails, voir Exigences relatives à l’identificateur.

TYPE = SCIM

Spécifiez le type d’intégration :

  • SCIM : crée une interface de sécurité entre Snowflake et un client prenant en charge SCIM.

SCIM_CLIENT = 'OKTA' | 'AZURE' | 'GENERIC'

Spécifiez le client SCIM.

RUN_AS_ROLE = 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER'

Spécifiez le rôle SCIM dans Snowflake qui possède les utilisateurs et les rôles importés du fournisseur d’identité dans Snowflake à l’aide de SCIM.

  • Les valeurs OKTA_PROVISIONER, AAD_PROVISIONER et GENERIC_SCIM_PROVISIONER sont sensibles à la casse et doivent toujours être mises en majuscule.

Paramètres facultatifs

NETWORK_POLICY = 'network_policy'

Spécifie une stratégie réseau existante active pour votre compte. La stratégie réseau restreint la liste des adresses IP des utilisateurs lors de l’échange d’un code d’autorisation contre un jeton d’accès ou d’actualisation et lors de l’utilisation d’un jeton d’actualisation pour obtenir un nouveau jeton d’accès. Si ce paramètre n’est pas défini, la politique réseau du compte (le cas échéant) est utilisée à la place.

SYNC_PASSWORD = TRUE | FALSE

Indique s’il faut activer ou désactiver la synchronisation des mots de passe des utilisateurs à partir d’un client SCIM Okta dans le cadre de la requête API vers Snowflake.

  • TRUE active la synchronisation des mots de passe.

  • FALSE désactive la synchronisation des mots de passe.

Par défaut : TRUE. Si une intégration de sécurité est créée sans définir ce paramètre, Snowflake définit ce paramètre sur TRUE.

Si les mots de passe des utilisateurs ne doivent pas être synchronisés du client vers Snowflake, assurez-vous que la valeur de cette propriété est définie sur FALSE et désactivez la synchronisation des mots de passe dans le client.

Notez que cette propriété est prise en charge pour les intégrations SCIM Okta et personnalisées. Les intégrations SCIM Azure ne sont pas prises en charge, car Microsoft Azure ne prend pas en charge la synchronisation des mots de passe. Pour demander de l’assistance, veuillez contacter Microsoft Azure.

Pour plus de détails, voir Gestion des utilisateurs et des groupes avec SCIM.

COMMENT

Chaîne (littéral) qui spécifie un commentaire pour l’intégration.

Par défaut : aucune valeur

Exigences en matière de contrôle d’accès

Un rôle utilisé pour exécuter cette commande SQL doit avoir les privilèges suivants définis au minimum ainsi :

Privilège

Objet

Remarques

CREATE INTEGRATION

Compte

Only the ACCOUNTADMIN role has this privilege by default. The privilege can be granted to additional roles as needed.

Pour obtenir des instructions sur la création d’un rôle personnalisé avec un ensemble spécifique de privilèges, voir Création de rôles personnalisés.

Pour des informations générales sur les rôles et les privilèges accordés pour effectuer des actions SQL sur des objets sécurisables, voir Contrôle d’accès dans Snowflake.

Notes sur l’utilisation

  • Concernant les métadonnées :

    Attention

    Les clients doivent s’assurer qu’aucune donnée personnelle (autre que pour un objet utilisateur), donnée sensible, donnée à exportation contrôlée ou autre donnée réglementée n’est saisie comme métadonnée lors de l’utilisation du service Snowflake. Pour plus d’informations, voir Champs de métadonnées dans Snowflake.

  • Les instructions CREATE OR REPLACE <objet> sont atomiques. Autrement dit, lorsque l’objet est remplacé, la suppression de l’ancien objet et la création du nouvel objet sont traitées en une seule transaction.

Exemples

Exemple avec AD Microsoft Azure

L’exemple suivant crée une intégration AD SCIM avec les paramètres par défaut :

create or replace security integration okta_provisioning
    type=scim
    scim_client='azure'
    run_as_role='AAD_PROVISIONER';

Afficher les paramètres d’intégration à l’aide de DESCRIBE INTEGRATION :

DESC SECURITY INTEGRATION aad_provisioning;

Exemple avec Okta

L’exemple suivant crée une intégration Okta SCIM avec les paramètres par défaut :

create or replace security integration okta_provisioning
    type=scim
    scim_client='okta'
    run_as_role='OKTA_PROVISIONER';

Afficher les paramètres d’intégration à l’aide de DESCRIBE INTEGRATION :

DESC SECURITY INTEGRATION okta_provisioning;
Revenir au début