Configuration d’un fournisseur d’identité (IdP) pour Snowflake

Les tâches de configuration d’un IdP sont différentes selon que vous choisissez Okta, ADFS, ou un(e) autre service/application personnalisé(e) conforme SAML 2.0 pour fournir une authentification fédérée à vos utilisateurs Snowflake.

Dans ce chapitre :

Important

Avant de configurer votre IdP, réfléchissez à la manière de gérer l’authentification fédérée une fois celle-ci entièrement configurée et à la manière dont les utilisateurs accéderont à Snowflake par le biais de l’authentification fédérée.

Par exemple, décidez si les utilisateurs accéderont à Snowflake par le biais d’une URL publique ou par le biais d’une URL associée à une connectivité privée au service Snowflake. Pour en savoir plus, voir Gestion/Utilisation de l’authentification fédérée.

Configuration d’Okta

Pour utiliser Okta comme votre IdP pour l’authentification fédérée, vous devez exécuter les tâches suivantes dans Okta :

  1. Créez un compte Okta pour votre entreprise ou organisation.

  2. Connectez-vous à votre compte Okta en tant qu’utilisateur avec des privilèges d’administrateur, et créez un utilisateur pour chaque personne qui aura besoin d’accéder à Snowflake. Lors de la création d’utilisateurs, assurez-vous d’inclure une adresse e-mail pour chacun d’entre eux. Les adresses e-mail sont nécessaires pour connecter les utilisateurs d’Okta avec les utilisateurs correspondants dans Snowflake.

    Note

    Assurez-vous que l’adresse e-mail que vous saisissez dans Okta correspond à la valeur login_name de l’objet utilisateur dans Snowflake et l’attribut SAML NameID.

  3. Créez une application Snowflake dans Okta :

    • Dans le champ Label de l’application, vous pouvez spécifier n’importe quel nom.

    • Dans le champ SubDomain de l’application, entrez l”identificateur de compte de votre compte Snowflake. Si vous utilisez une connectivité privée, ajoutez privatelink à l’identificateur du compte. Par exemple, si l’URL utilisée pour accéder au compte Snowflake est https://myorg-myaccount.privatelink.snowflakecomputing.com, entrez myorg-myaccount.privatelink.

      Si le nom du compte Snowflake contient un caractère de soulignement et que vous utilisez le format de nom de compte de l’identificateur, vous devez convertir le caractère de soulignement en trait d’union car Okta ne prend pas en charge les caractères de soulignement dans les URLs (par exemple myorg-myaccount-name).

  4. Affectez les utilisateurs Okta que vous avez créés à l’application Snowflake dans Okta.

  5. Configurez SAML 2.0 comme méthode de connexion pour l’application Snowflake que vous avez créée. Vous aurez besoin de la valeur URL SSO et du certificat à l’étape suivante, Configuration de Snowflake pour l’utilisation de l’authentification fédérée.

    • Dans l’onglet Sign On, cliquez sur View Setup Instructions.

    • Rassemblez les informations requises dans les instructions d’installation :

      • SSO URL (le point de terminaison IdP URL auquel Snowflake enverra les requêtes SAML)

      • Certificat (utilisé pour vérifier la communication entre l’IdP et Snowflake)

Configuration d’AD FS

Pour utiliser AD FS comme IdP pour l’authentification fédérée, vous devez effectuer les tâches suivantes dans AD FS.

Conditions préalables

  • Vérifiez que AD FS 3.0 est installé et fonctionne sur Windows Server 2012 R2.

  • Vérifiez qu’il existe un utilisateur dans AD FS pour chaque personne qui aura besoin d’accéder à Snowflake. Lors de la création d’utilisateurs, assurez-vous d’inclure une adresse e-mail pour chacun d’entre eux. Les adresses e-mail sont nécessaires pour connecter les utilisateurs d’AD FS avec les utilisateurs correspondants dans Snowflake.

Note

D’autres versions d’AD FS et de Windows Server peuvent être utilisées ; cependant, les instructions de configuration peuvent être différentes.

Ajouter une approbation de partie de confiance pour Snowflake

Dans la console de gestion d’AD FS, utilisez Add Relying Party Trust Wizard pour ajouter une nouvelle approbation de partie de confiance à la base de données de configuration d’AD FS :

  1. Lorsque vous y êtes invité, sélectionnez la case d’option Enter data about the relying party manually.

  2. Dans l’écran suivant, entrez un nom d’affichage (par ex. « Snowflake ») pour la partie de confiance.

  3. Dans l’écran suivant, sélectionnez la case d’option AD FS profile.

  4. Passez l’écran suivant (pour spécifier un certificat de chiffrement par jeton facultatif).

  5. Dans l’écran suivant :

    • Cochez la case Enable support for the SAML 2.0 WebSSO protocol.

    • Dans le champ Relying party SAML 2.0 SSO service URL, entrez l’URL SSO pour votre compte Snowflake en y ajoutant /fed/login. Par exemple, pour utiliser l’URL de nom de compte avec une connectivité privée, entrez : https://<orgname>-<account_name>.privatelink.snowflakecomputing.com/fed/login. Pour une liste des formats URL possibles, voir Connexion avec une URL. Lorsque vous créez l’intégration de sécurité pour l’authentification fédérée, assurez-vous que ses paramètres URL correspondent au format utilisé dans ce champ.

  6. Dans l’écran suivant, dans le champ Relying party trust identifier, entrez l’URL pour votre compte Snowflake comme spécifié dans l’étape précédente.

  7. Dans l’écran suivant, sélectionnez la case d’option I do not want to configure multi-factor authentication settings for this relying party trust at this time.

  8. Dans l’écran suivant, sélectionnez la case d’option Permit all users to access this relying party.

  9. Dans l’écran suivant, examinez votre configuration pour l’approbation de partie de confiance. Assurez-vous également que dans l’onglet Advanced, SHA-256 est sélectionné comme algorithme de hachage sécurisé.

  10. Dans l’écran suivant, sélectionnez Open the Edit Claim Rules dialog for this relying party trust when the wizard closes et cliquez sur Close pour terminer la configuration de l’assistant.

Définir des règles de revendication pour l’approbation de partie de confiance de Snowflake

La fenêtre Edit Claim Rules for snowflake_trust_name s’ouvre automatiquement après la fermeture de l’assistant. Vous pouvez également ouvrir cette fenêtre à partir de la console de gestion de AD FS en cliquant sur :

AD FS » Trust Relationships » Relying Party Trusts » snowflake_trust_name » Edit Claim Rules…

Dans la fenêtre :

  1. Créez une règle pour l’envoi d’attributs LDAP en tant que revendications :

    1. Cliquez sur Add Rules et sélectionnez Send LDAP Attributes as Claim.

    2. Dans la boîte de dialogue Edit Rule :

      • Entrez un nom (par ex. « Obtenir attributs ») pour la règle.

        • Définissez Attribute store sur : Active Directory.

        • Ajoutez deux attributs LDAP pour la règle :

          • E-Mail-Addresses avec E-Mail Address comme type de revendication sortante.

          • Display-Name avec Name comme type de revendication sortante.

    3. Cliquez sur le bouton OK pour créer la règle.

  2. Créez une règle pour transformer les revendications entrantes :

    1. Cliquez sur Add Rules et sélectionnez Transform an Incoming Claim.

    2. Dans la boîte de dialogue Add Transform Claim Rule Wizard :

      • Entrez un nom (par ex. « Nom ID transformation ») pour la règle de revendication.

      • Définissez Incoming claim type sur : E-Mail Address.

      • Définissez Outgoing claim type sur : Name ID.

      • Définissez Outgoing name ID format sur : Email.

      • Sélectionnez la case d’option Pass through all claim values.

    3. Cliquez sur le bouton Finish pour créer la règle.

  3. Cliquez sur le bouton OK pour terminer l’ajout des règles de revendication pour l’approbation de partie de confiance de Snowflake.

Important

Assurez-vous d’entrer des valeurs de règles exactement comme décrit ci-dessus.

Assurez-vous que les règles que vous avez créées sont répertoriées dans l’ordre suivant :

  1. Attributs LDAP

  2. Transformation de revendications entrantes

Les règles ne fonctionneront pas correctement s’il y a des fautes de frappe dans les règles ou si les règles ne sont pas répertoriées dans le bon ordre.

Activer la déconnexion globale — Facultatif

Pour activer la déconnexion globale de Snowflake dans ADFS, dans la console de gestion de AD FS, cliquez sur :

AD FS » Trust Relationships » Relying Party Trusts » <nom_confiance_snowflake> » Properties

Dans la boîte de dialogue Properties :

  1. Accédez à l’onglet Endpoints et cliquez sur le bouton Add SAML….

  2. Dans la boîte de dialogue Edit Endpoint :

    • Définissez Endpoint type sur : SAML Logout.

    • Réglez Binding sur : POST ou REDIRECT.

    • Définissez Trusted URL sur la valeur spécifiée à l’étape 1.

    • Laissez Response URL vide.

    • Cliquez sur le bouton OK pour enregistrer vos modifications.

Obtenir l’URL SSO et le certificat

Pour terminer la configuration de AD FS, obtenez l’URL SSO et le certificat auprès de AD FS. Vous utiliserez ces deux valeurs à l’étape suivante : Configuration de Snowflake pour l’utilisation de l’authentification fédérée.

  • SSO URL

    Le point de terminaison de l’URL AD FS auquel Snowflake enverra les requêtes SAML. Il s’agit généralement de l’URL de connexion pour AD FS, qui est habituellement l’adresse IP ou le nom de domaine complet (FQDN) de votre serveur AD FS avec /adfs/ls ajouté à la fin.

  • Certificat

    Utilisé pour vérifier la communication entre AD FS et Snowflake. Vous le téléchargez depuis la console de gestion de AD FS :

    1. Dans la console, cliquez sur :

      AD FS » Service » Certificates

    2. Dans la page Certificates, cliquez avec le bouton droit de la souris sur l’entrée Token-signing et cliquez sur View Certificate….

    3. Dans la boîte de dialogue Certificate, sélectionnez l’onglet Details.

    4. Cliquez sur Copy to File… pour ouvrir l’assistant d’exportation de certificats.

    5. Pour le format de fichier d’exportation, sélectionnez Base-64 encoded X.509 (.CER) et cliquez sur Next.

    6. Enregistrez le fichier dans un répertoire de votre environnement local.

    7. Ouvrez le fichier et copiez le certificat, qui se compose d’une seule ligne située entre les lignes suivantes :

      -----BEGIN CERTIFICATE-----
<certificate>
-----END CERTIFICATE-----
      Copy

Configuration d’IdP personnalisée

Pour utiliser un service ou une application conforme SAML 2.0 comme IdP pour l’authentification fédérée, vous devez effectuer les tâches suivantes :

  1. Dans l’interface du service/application, définissez une application personnalisée SHA-256 pour Snowflake. Les instructions pour définir une application personnalisée sont spécifiques au service/application qui sert d’IdP.

  2. Dans l’interface, créez un utilisateur pour chaque personne qui aura besoin d’accéder à Snowflake. Lors de la création d’utilisateurs, assurez-vous d’inclure une adresse e-mail pour chacun d’entre eux. Les adresses e-mail sont nécessaires pour connecter les utilisateurs de l’IdP avec les utilisateurs correspondants dans Snowflake.

  3. Obtenez l’URL SSO et le certificat auprès de votre IdP personnalisé. Vous aurez besoin de la valeur URL SSO et du certificat à l’étape suivante, Configuration de Snowflake pour l’utilisation de l’authentification fédérée.

    • SSO URL (le point de terminaison IdP URL auquel Snowflake enverra les requêtes SAML)

    • Certificat (utilisé pour vérifier la communication entre l’IdP et Snowflake)

Important

Lors de la configuration de fournisseurs d’identité personnalisés, les valeurs de champ sont souvent sensibles à la casse. Si des messages d’erreur ou des codes d’erreur apparaissent, vérifiez à nouveau la casse pour toutes les valeurs que vous avez entrées lors du processus de configuration.

Prochaines étapes

Après avoir effectué les étapes ci-dessus, vous devez configurer Snowflake pour utiliser l’authentification fédérée afin de compléter votre configuration IdP personnalisée.

Langage: Français