Snowflake用のIDプロバイダー(IdP)の構成¶
IdP を構成するタスクは、Snowflakeユーザー用のフェデレーション認証を提供するために、Okta、 AD FS、または別の(つまり、カスタム) SAML 2.0準拠のサービス/アプリケーションを選択するどうかによって異なります。
このトピックの内容:
重要
IdP を構成する前に、完全に構成された後にフェデレーション認証を管理する方法と、ユーザーがフェデレーション認証を介してSnowflakeにアクセスする方法を検討してください。
たとえば、ユーザーがパブリック URL を介してSnowflakeにアクセスするか、Snowflakeサービスへのプライベート接続に関連付けられた URL を介してアクセスするかを決定します。詳細については、 フェデレーション認証の管理/使用 をご参照ください。
Oktaの設定¶
Oktaをフェデレーション認証の IdP として使用するには、Oktaで次のタスクを実行する必要があります。
会社または組織のOktaアカウントを作成します。
管理者権限を持つユーザーとしてOktaアカウントにログインし、Snowflakeへのアクセスが必要なユーザーごとにユーザーを作成します。ユーザーを作成するときは、各ユーザーのメールアドレスが必須です。OktaのユーザーとSnowflakeの対応するユーザーをマップするにはメールアドレスが必須です。
注釈
Oktaで入力したメールアドレスが、Snowflakeのユーザーオブジェクトの
login_name値と SAMLNameID属性にマッピングされていることを確認してください。OktaでSnowflakeアプリケーションを作成します。
アプリケーションの Label フィールドでは、任意の名前を指定できます。
アプリケーションの SubDomain フィールドに、Snowflakeアカウントの アカウント識別子 を入力します。プライベート接続を使用している場合は、アカウント識別子に
privatelinkを追加します。たとえば、Snowflakeアカウントへのアクセスに使用する URL がhttps://myorg-myaccount.privatelink.snowflakecomputing.comの場合は、myorg-myaccount.privatelinkと入力します。Snowflakeアカウント名にアンダースコアが含まれていて、識別子のアカウント名形式を使用している場合、Oktaは URLs でアンダースコアをサポートしていないため(例:
myorg-myaccount-name)、アンダースコアをハイフンに変換する必要があります。
作成したOktaユーザーをOktaのSnowflakeアプリケーションに割り当てます。
作成したSnowflakeアプリケーションのサインオン方法として SAML 2.0を構成します。次のステップ フェデレーション認証を使用するためのSnowflakeの構成 で SSO URL 値と証明書が必要になります。
Sign On タブで、 View Setup Instructions をクリックします。
設定手順から必要な情報を収集します。
SSO URL (Snowflakeが SAML リクエストを送信する IdP URL エンドポイント)
証明書( IdP とSnowflake間の通信を確認するために使用)
AD FS 設定¶
AD FS をフェデレーション認証の IdP として使用するには、 AD FSで次のタスクを実行する必要があります。
前提条件¶
AD FS 3.0がWindows Server 2012 R2にインストールされ、動作していることを確認します。
Snowflakeへのアクセスが必要な利用者ごとに、ユーザーが AD FS に存在することを確認します。ユーザーを作成するときは、各ユーザーのメールアドレスが必須です。 AD FS のユーザーをSnowflakeの対応するユーザーに接続するには、メールアドレスが必須です。
注釈
他のバージョンの AD FS およびWindows Serverも使用できます。ただし、構成手順は異なる場合があります。
Snowflake用の証明書利用者信頼を追加する¶
AD FS 管理コンソールで、 Add Relying Party Trust Wizard を使用して、新しい証明書利用者の信頼を AD FS 構成データベースに追加します。
プロンプトが表示されたら、 Enter data about the relying party manually ラジオボタンを選択します。
次の画面で、証明書利用者の表示名を入力します(例:「Snowflake」)。
次の画面で、 AD FS profile ラジオボタンを選択します。
次の画面をスキップします(オプションのトークン暗号化証明書を指定するため)。
次の画面:
Enable support for the SAML 2.0 WebSSO protocol チェックボックスを選択します。
Relying party SAML 2.0 SSO service URL フィールドに、
/fed/loginを追加したSnowflakeアカウントの SSO URL を入力します。たとえば、プライベート接続でアカウント名 URL を使用するには、https://<組織名>-<アカウント名>.privatelink.snowflakecomputing.com/fed/loginと入力します。使用可能な URL 形式のリストについては、 URL での接続 をご参照ください。フェデレーション認証用の セキュリティ統合を作成する ときは、その URL パラメーターがこのフィールドで使用される形式と一致していることを確認します。
前のステップで指定したように、次の画面の Relying party trust identifier フィールドに、Snowflakeのアカウントの URL を入力します。
次の画面で、 I do not want to configure multi-factor authentication settings for this relying party trust at this time ラジオボタンを選択します。
次の画面で、 Permit all users to access this relying party ラジオボタンを選択します。
次の画面で、証明書利用者信頼の構成を確認します。また、 Advanced タブで、 SHA-256 がセキュアハッシュアルゴリズムとして選択されていることを確認します。
次の画面で Open the Edit Claim Rules dialog for this relying party trust when the wizard closes を選択し、 Close をクリックしてウィザードの構成を完了します。
Snowflake証明書利用者信頼の要求規則を定義する¶
ウィザードを閉じると、 Edit Claim Rules for snowflake_trust_name ウィンドウが自動的に開きます。次をクリックして、 AD FS 管理コンソールからこのウィンドウを開くこともできます。
AD FS » Trust Relationships » Relying Party Trusts »
snowflake_trust_name» Edit Claim Rules...
ウィンドウでは、
要求として LDAP 属性を送信するための規則を作成します。
Add Rules をクリックして Send LDAP Attributes as Claim を選択します。
Edit Rule ダイアログで、
規則の名前を入力します(例:「属性の取得」)。
Attribute store を Active Directory に設定します。
規則に2つの LDAP 属性を追加します。
発信要求タイプとして E-Mail-Addresses と E-Mail Address を使用します。
発信要求タイプとして Display-Name と Name を使用します。
OK ボタンをクリックして、規則を作成します。
受信要求を変換するための規則を作成します。
Add Rules をクリックして Transform an Incoming Claim を選択します。
Add Transform Claim Rule Wizard ダイアログで、
要求規則の名前を入力します(例:「名前 ID 変換」)。
Incoming claim type を E-Mail Address に設定します。
Outgoing claim type を Name ID に設定します。
Outgoing name ID format を Email に設定します。
Pass through all claim values ラジオボタンを選択します。
Finish ボタンをクリックして、規則を作成します。
OK ボタンをクリックして、Snowflake証明書利用者信頼の要求規則の追加を完了します。
重要
上記のとおりに規則の値が入力されていることを確認します。
また、作成した規則が次の順序でリストされていることを確認します。
LDAP 属性
受信要求変換
規則にタイプミスがあるか、規則が正しい順序でリストされていない場合、規則は正しく機能 しません。
グローバルログアウトを有効にする --- オプション¶
AD FS でSnowflakeのグローバルログアウトを有効にするには、 AD FS 管理コンソールで次をクリックします。
AD FS » Trust Relationships » Relying Party Trusts » <snowflake_trust_name> » Properties
Properties ダイアログで、
Endpoints タブに移動して、 Add SAML... ボタンをクリックします。
Edit Endpoint ダイアログで、
Endpoint type を SAML Logout に設定します。
Binding を POST または REDIRECT に設定します。
Trusted URL をステップ1で指定された値に設定します。
Response URL を空白のままにします。
OK ボタンをクリックして、変更を保存します。
SSO URL と証明書を取得する¶
AD FS のセットアップを完了するには、 AD FS から SSO URL と証明書を取得します。次のステップでこれら2つの値を使用します。 フェデレーション認証を使用するためのSnowflakeの構成。
- SSO URL
Snowflakeが SAML リクエストを送信する先の AD FS URL エンドポイント。これは通常、AD FS用のログイン URL で、IP アドレスまたは AD FS サーバーの完全修飾ドメイン名(すなわち FQDN)の末尾に
/adfs/lsが追加されているものが一般的です。
- 認証
AD FS とSnowflake間の通信を確認するために使用されます。 AD FS 管理コンソールからダウンロードします。
コンソールで、次をクリックします。
AD FS » Service » Certificates
Certificates ページで、 Token-signing エントリを右クリックし、 View Certificate... をクリックします。
Certificate ダイアログで、 Details タブを選択します。
Copy to File... をクリックして、証明書のエクスポートウィザードを開きます。
エクスポートファイル形式については、 Base-64 encoded X.509 (.CER) を選択して Next をクリックします。
ファイルをローカル環境のディレクトリに保存します。
ファイルを開き、証明書をコピーします。証明書は、次の行の間にある単一行で構成されています。
-----BEGIN CERTIFICATE----- <certificate> -----END CERTIFICATE-----
カスタム IdP 設定¶
SAML 2.0準拠のサービスまたはアプリケーションをフェデレーション認証の IdP として使用するには、次のタスクを実行する必要があります。
サービス/アプリケーションインターフェイスで、Snowflakeのカスタム SHA-256アプリケーションを定義します。カスタムアプリケーションを定義する手順は、 IdP として機能しているサービス/アプリケーション固有です。
インターフェイスで、Snowflakeへのアクセスが必要な利用者ごとにユーザーを作成します。ユーザーを作成するときは、各ユーザーのメールアドレスが必須です。 IdP のユーザーをSnowflakeの対応するユーザーに接続するには、メールアドレスが必須です。
カスタム IdP から SSO URL と証明書を取得します。次のステップ フェデレーション認証を使用するためのSnowflakeの構成 で SSO URL 値と証明書が必要になります。
SSO URL (Snowflakeが SAML リクエストを送信する IdP URL エンドポイント)
証明書( IdP とSnowflake間の通信を確認するために使用)
重要
カスタムIDプロバイダーを構成する場合、フィールド値では大文字と小文字が区別されることがよくあります。エラーメッセージまたはエラーコードが表示される場合は、構成プロセスで入力した可能性のある値の大文字と小文字を再確認してください。
次のステップ¶
上記のステップを完了したら、 フェデレーション認証を使用するようにSnowflakeを構成 して、カスタム IdP セットアップを完了する必要があります。