CREATE SECURITY INTEGRATION (SCIM)

アカウントに新しい SCIM セキュリティ統合を作成するか、既存の統合を置き換えます。SCIM セキュリティ統合は、SnowflakeとサードパーティのIDプロバイダー(IdP)の間にインターフェイスを作成することにより、ユーザーIDとグループ(つまりロール)の自動管理ができるようになります。

他の型のセキュリティ統合(例: SAML2)の作成については、 CREATE SECURITY INTEGRATION をご参照ください。

こちらもご参照ください。

ALTER SECURITY INTEGRATION (SCIM)DROP INTEGRATIONSHOW INTEGRATIONS

構文

CREATE [ OR REPLACE ] SECURITY INTEGRATION [ IF NOT EXISTS ]
    <name>
    TYPE = SCIM
    ENABLED = { TRUE | FALSE }
    SCIM_CLIENT = { 'OKTA' | 'AZURE' | 'GENERIC' }
    RUN_AS_ROLE = { 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER' }
    [ NETWORK_POLICY = '<network_policy>' ]
    [ SYNC_PASSWORD = { TRUE | FALSE } ]
    [ COMMENT = '<string_literal>' ]
Copy

必須パラメーター

name

統合の識別子(つまり、名前)を指定する文字列。アカウント内で一意である必要があります。

また、識別子はアルファベット文字で始まる必要があり、識別子文字列全体が二重引用符で囲まれていない限り、スペースや特殊文字を含めることはできません(例: "My object")。二重引用符で囲まれた識別子も大文字と小文字が区別されます。

詳細については、 識別子の要件 をご参照ください。

TYPE = SCIM

統合のタイプを指定します。

  • SCIM :Snowflakeと SCIM をサポートするクライアントとの間にセキュリティインターフェイスを作成します。

ENABLED = { TRUE | FALSE }

セキュリティ統合を有効にするかどうかを指定します。無効になっているセキュリティ統合を作成するには、 ENABLED = FALSE を設定します。

デフォルト: TRUE

SCIM_CLIENT = { 'OKTA' | 'AZURE' | 'GENERIC' }

SCIM クライアントを指定します。

RUN_AS_ROLE = { 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER' }

SCIM を使用して、IDプロバイダーからSnowflakeにインポートされるユーザーとロールを所有するSnowflakeの SCIM ロールを指定します。

OKTA_PROVISIONERAAD_PROVISIONER、および GENERIC_SCIM_PROVISIONER は大文字と小文字が区別されるため、常に大文字にする必要があります。

オプションのパラメーター

NETWORK_POLICY = 'network_policy'

アカウントに対してアクティブな既存の ネットワークポリシー を指定します。ネットワークポリシーは、アクセストークンまたは更新トークンの認証コードを交換するとき、および更新トークンを使用して新しいアクセストークンを取得するとき、ユーザー IP アドレスのリストを制限します。このパラメーターが設定されていない場合は、アカウントのネットワークポリシー(存在する場合)が代わりに使用されます。

SYNC_PASSWORD = { TRUE | FALSE }

Snowflakeへの API リクエストの一部として、Okta SCIM クライアントからのユーザーパスワードの同期を有効にするか無効にするかを指定します。

  • TRUE は、パスワードの同期を有効にします。

  • FALSE は、パスワードの同期を無効にします。

デフォルトは、 TRUE。このパラメーターを設定せずにセキュリティ統合を作成した場合、Snowflakeはこのパラメーターを TRUE に設定します。

クライアントからSnowflakeにユーザーパスワードを同期しない場合は、このプロパティ値が FALSE に設定されていることを確認し、 合わせて クライアントでパスワードの同期を無効にします。

このプロパティは、Oktaおよびカスタム SCIM 統合でサポートされています。Microsoft Azureはパスワードの同期をサポートしていないため、Azure SCIM 統合はサポートされていません。サポートをリクエストするには、Microsoft Azureにお問い合わせください。

詳細については、 SCIM を使用したユーザーとグループの管理 をご参照ください。

COMMENT = 'string_literal'

統合のコメントを指定します。

デフォルト: 値なし

アクセス制御の要件

この SQL コマンドの実行に使用される ロール には、少なくとも次の 権限 が必要です。

権限

オブジェクト

メモ

CREATE INTEGRATION

アカウント

Only the ACCOUNTADMIN role has this privilege by default. The privilege can be granted to additional roles as needed.

指定された権限のセットを使用してカスタムロールを作成する手順については、 カスタムロールの作成 をご参照ください。

セキュリティ保護可能なオブジェクト に対して SQL アクションを実行するためのロールと権限付与に関する一般的な情報については、 アクセス制御の概要 をご参照ください。

使用上の注意

  • メタデータについて。

    注意

    Snowflakeサービスを使用する場合、お客様は、個人データ(ユーザーオブジェクト向け以外)、機密データ、輸出管理データ、またはその他の規制されたデータがメタデータとして入力されていないことを確認する必要があります。詳細については、 Snowflakeのメタデータフィールド をご参照ください。

  • CREATE OR REPLACE <オブジェクト> ステートメントはアトミックです。つまり、オブジェクトが置き換えられると、単一のトランザクションで、古いオブジェクトが削除されて新しいオブジェクトが作成されます。

Microsoft Azure AD の例

次の例では、デフォルト設定でMicrosoft Azure ADSCIM 統合を作成します。

CREATE OR REPLACE SECURITY INTEGRATION okta_provisioning
    TYPE = scim
    SCIM_CLIENT = 'AZURE'
    RUN_AS_ROLE = 'AAD_PROVISIONER';
Copy

DESCRIBE INTEGRATION を使用して統合設定を表示します。

DESC SECURITY INTEGRATION aad_provisioning;
Copy

Oktaの例

次の例では、デフォルト設定でOkta SCIM 統合を作成します。

CREATE OR REPLACE SECURITY INTEGRATION okta_provisioning
    TYPE = scim
    SCIM_CLIENT = 'OKTA'
    RUN_AS_ROLE = 'OKTA_PROVISIONER';
Copy

DESCRIBE INTEGRATION を使用して統合設定を表示します。

DESC SECURITY INTEGRATION okta_provisioning;
Copy