Snowflake SCIMサポート

SnowflakeはSCIM 2.0をサポートしており、IDプロバイダーとしてOktaおよびMicrosoft Azure ADとSnowflakeを統合できます。カスタムIDプロバイダーは、OktaでもMicrosoft AzureでもないIDプロバイダーです。IDプロバイダーから、サービスプロバイダーとして機能するSnowflakeにユーザーとグループ(ロール)をプロビジョニングできます。

注釈

Snowflakeの特定のSCIMロールは、IDプロバイダーからインポートされるユーザーとロールを所有する必要があります。Snowflake SCIMロールがインポートされたユーザーまたはロールを所有していない場合、IDプロバイダーの更新はSnowflakeに同期されません。Snowflake SCIMのロールは、IDプロバイダー(IdP)と相関しています。

  • Okta SCIM ロール: okta_provisioner

  • Microsoft Entra ID SCIM ロール: aad_provisioner

  • カスタム SCIM ロール: generic_scim_provisioner

Snowflake SCIM ロールの使用方法の詳細については、 OktaMicrosoft Entra ID、および カスタム SCIM 統合 の SCIM 構成セクションをご参照ください。

ユースケース

Snowflake SCIM API は、次のユースケースに対処できます。

  • ユーザーの管理:管理者は、組織のIDプロバイダーからSnowflakeにユーザーをプロビジョニングおよび管理できます。ユーザー管理は、IDプロバイダーからSnowflakeへの1対1のマッピングです。

  • グループの管理:管理者は、組織のIDプロバイダーからSnowflakeへのグループ(つまり、ロール)をプロビジョニングおよび管理できます。ロール管理は、IDプロバイダーからSnowflakeへの1対1のマッピングです。

  • SCIMAPIリクエストの監査: 管理者は rest_event_history テーブルをクエリして、IDプロバイダーがSnowflakeに更新(つまり SCIM API リクエスト)を送信しているかどうかを判断できます。

SCIM API

ID プロバイダーは、SCIMクライアントを使用して、Snowflake SCIMサーバーにRESTfulAPIリクエストを行うことができます。APIリクエストを検証した後、Snowflakeはユーザーまたはグループに対してIDプロバイダーから要求されたアクションを実行します。

Snowflakeは、HTTP リクエストの Authorization ヘッダーにある OAuth Bearerトークンを介して、IDプロバイダーからの SCIM API リクエストを認証コードします。トークンは6か月間有効です。認証コードの有効期限が切れていないことを確認してください。トークンの有効期限が切れた場合は、 SYSTEM$GENERATE_SCIM_ACCESS_TOKEN 関数を使用して新しいアクセストークンを生成できます。

注意

Snowflake SCIM APIにより、管理者は顧客のIDプロバイダーからSnowflakeへ のユーザーとグループを管理できます。Snowflakeでユーザーとグループに直接変更を加えた場合、その変更は顧客のIDプロバイダーには同期されません。

Snowflakeへの SCIM API リクエストの詳細については、 SCIMAPI リファレンス をご参照ください。

SCIMAPIリクエストの監査

Snowflakeにクエリして、一定期間に行われたSCIM APIリクエストに関する情報を見つけることができます。この情報を使用して、組織のアクティブユーザーとSnowflakeにプロビジョニングされたユーザーが一致するかどうかを確認できます。

例えば、過去5分間にどの SCIM API リクエストが行われたか、最大200リクエストまで返されるかを調べるには、Information Schemaテーブル関数 REST_EVENT_HISTORY を使用します。

use role accountadmin;
use database demo_db;
use schema information_schema;
select *
    from table(rest_event_history(
        'scim',
        dateadd('minutes',-5,current_timestamp()),
        current_timestamp(),
        200))
    order by event_timestamp;
Copy

このクエリを変更する方法の詳細については、 DATEADD および CURRENT_TIMESTAMP をご参照ください。

サポートされているSCIMセキュリティ統合

SCIMセキュリティ統合 をご参照ください。

セキュリティ統合の複製

Snowflakeは、 SCIM セキュリティ統合により、ソースアカウントからターゲットアカウントへの複製とフェールオーバー/フェールバックをサポートします。

詳細については、 複数のアカウントにわたるセキュリティ統合とネットワークポリシーの複製 をご参照ください。

言語: 日本語