Prise en charge de SCIM par Snowflake

Snowflake prend en charge SCIM 2.0, ce qui vous permet d’intégrer Snowflake avec Okta et Microsoft Azure AD en tant que fournisseurs d’identité. Vous pouvez utiliser des fournisseurs d’identité personnalisés, qui sont des fournisseurs d’identité qui ne sont ni Okta ni Microsoft Azure. Vous pouvez provisionner des utilisateurs et des groupes (rôles) à partir du fournisseur d’identité dans Snowflake, qui fonctionne comme fournisseur de services.

Note

Les rôles SCIM dans Snowflake doivent posséder les utilisateurs et les rôles importés à partir du fournisseur d’identité. Si le rôle SCIM de Snowflake ne possède pas les utilisateurs ou les rôles importés, les mises à jour du fournisseur d’identité ne seront pas synchronisées avec Snowflake. Les rôles SCIM de Snowflake sont en corrélation avec leur fournisseur d’identité (IdP) :

  • Rôle SCIM Okta : okta_provisioner

  • Microsoft Entra ID SCIM Rôle : aad_provisioner

  • Rôle SCIM personnalisé : generic_scim_provisioner

Pour plus d’informations sur l’utilisation du rôle SCIM Snowflake, voir les sections de configuration SCIM pour l’intégration SCIM Okta, Microsoft Entra ID et personnalisée.

Cas d’utilisation

L’API SCIM de Snowflake peut traiter les cas d’utilisation suivants.

  • Gestion des utilisateurs : les administrateurs peuvent provisionner et gérer leurs utilisateurs depuis le fournisseur d’identité de leur organisation vers Snowflake. La gestion des utilisateurs est un mappage individuel entre le fournisseur d’identité et Snowflake.

  • Gestion des groupes : les administrateurs peuvent provisionner et gérer leurs groupes (c’est-à-dire les rôles) entre le fournisseur d’identité de leur organisation et Snowflake. La gestion des rôles est un mappage individuel entre le fournisseur d’identité et Snowflake.

  • Audit des requêtes d’SCIM API : les administrateurs peuvent interroger la table rest_event_history pour déterminer si le fournisseur d’identité envoie des mises à jour (c’est-à-dire des requêtes d’API SCIM) à Snowflake.

SCIM API

Les fournisseurs d’identité peuvent utiliser un client SCIM pour exécuter des requêtes d’API RESTful au serveur SCIM de Snowflake. Après avoir validé la requête d’API, Snowflake effectue les actions demandées par les fournisseurs d’identité sur les utilisateurs ou les groupes.

Snowflake authentifie les requêtes d’API SCIM des fournisseurs d’identité par le biais d’un jeton du porteur OAuth dans l’en-tête Authorization des requêtes HTTP. Le jeton d’accès est valable six mois. Vous devez vous assurer que votre jeton n’a pas expiré lors de l’authentification. Si votre jeton expire, vous pouvez en générer un nouveau à l’aide de la fonction SYSTEM$GENERATE_SCIM_ACCESS_TOKEN.

Prudence

Actuellement, l’API SCIM de Snowflake permet aux administrateurs de gérer des utilisateurs et des groupes du fournisseur d’identité du client à Snowflake. Si vous modifiez directement les utilisateurs et les groupes dans Snowflake, les modifications ne sont pas synchronisées avec le fournisseur d’identité du client.

Pour plus d’informations sur les requêtes d’API SCIM adressées à Snowflake, voir Références API SCIM.

Audit des requêtes d’SCIM API

Vous pouvez interroger Snowflake pour obtenir des informations sur les requêtes d’API SCIM exécutées au cours d’une période donnée. Vous pouvez utiliser ces informations pour vérifier si les utilisateurs actifs de votre organisation correspondent aux utilisateurs provisionnés dans Snowflake.

Par exemple, pour déterminer les requête d’API SCIM effectuées au cours des cinq dernières minutes, avec un maximum de 200 requêtes à renvoyer, vous pouvez utiliser la fonction de table Information Schema REST_EVENT_HISTORY :

use role accountadmin;
use database demo_db;
use schema information_schema;
select *
    from table(rest_event_history(
        'scim',
        dateadd('minutes',-5,current_timestamp()),
        current_timestamp(),
        200))
    order by event_timestamp;
Copy

Pour plus d’informations sur la façon de modifier cette requête, voir les fonctions DATEADD et CURRENT_TIMESTAMP.

Intégrations de sécurité SCIM prises en charge

Voir Intégrations de sécurité SCIM.

Réplication des intégrations de sécurité

Snowflake prend en charge la réplication et le basculement/la restauration avec l’intégration de sécurité SCIM du compte source au compte cible.

Pour plus de détails, voir Réplication des intégrations de sécurité et des politiques réseau sur plusieurs comptes.

Langage: Français