CREATE SECURITY INTEGRATION (SCIM)

계정에 새 SCIM 보안 통합을 만들거나 기존 통합을 바꿉니다. SCIM 보안 통합을 통해 Snowflake와 서드 파티 ID 공급자(IdP) 간의 인터페이스를 만들어 사용자 ID와 그룹(즉, 역할)을 자동으로 관리할 수 있습니다.

다른 유형의 보안 통합(예 SAML2) 생성에 대한 자세한 내용은 CREATE SECURITY INTEGRATION 섹션을 참조하십시오.

참고 항목:

ALTER SECURITY INTEGRATION (SCIM) , DROP INTEGRATION , SHOW INTEGRATIONS

구문

CREATE [ OR REPLACE ] SECURITY INTEGRATION [ IF NOT EXISTS ]
    <name>
    TYPE = SCIM
    ENABLED = { TRUE | FALSE }
    SCIM_CLIENT = { 'OKTA' | 'AZURE' | 'GENERIC' }
    RUN_AS_ROLE = { 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER' }
    [ NETWORK_POLICY = '<network_policy>' ]
    [ SYNC_PASSWORD = { TRUE | FALSE } ]
    [ COMMENT = '<string_literal>' ]
Copy

필수 매개 변수

name

통합에 대한 식별자(즉, 이름)를 지정하는 문자열로, 계정에서 고유해야 합니다.

또한, 식별자는 알파벳 문자로 시작해야 하며 전체 식별자 문자열을 큰따옴표(예: "My object")로 묶지 않는 한 공백이나 특수 문자를 포함할 수 없습니다. 큰따옴표로 묶인 식별자도 대/소문자를 구분합니다.

자세한 내용은 식별자 요구 사항 섹션을 참조하십시오.

TYPE = SCIM

통합 유형 지정:

  • SCIM: Snowflake와 SCIM을 지원하는 클라이언트 사이에 보안 인터페이스를 만듭니다.

ENABLED = { TRUE | FALSE }

보안 통합이 활성화되었는지 여부를 지정합니다. 비활성화된 보안 통합을 생성하려면 ENABLED = FALSE 를 설정하십시오.

기본값: TRUE

SCIM_CLIENT = { 'OKTA' | 'AZURE' | 'GENERIC' }

SCIM 클라이언트를 지정합니다.

RUN_AS_ROLE = { 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER' }

SCIM을 사용하여 ID 공급자에서 Snowflake로 가져온 모든 사용자와 역할을 소유하는 Snowflake의 SCIM 역할을 지정합니다.

OKTA_PROVISIONER , AAD_PROVISIONER , GENERIC_SCIM_PROVISIONER 는 대/소문자를 구분하며 항상 대문자여야 합니다.

선택적 매개 변수

NETWORK_POLICY = 'network_policy'

자신의 계정에 대해 기존의 네트워크 정책 을 활성으로 지정합니다. 네트워크 정책은 액세스 또는 새로 고침 토큰에 대한 인증 코드를 교환할 때와 새로 고침 토큰을 사용하여 새 액세스 토큰을 받을 때 사용자 IP 주소의 목록을 제한합니다. 이 매개 변수를 설정하지 않으면 계정에 대한 네트워크 정책(있는 경우)이 대신 사용됩니다.

SYNC_PASSWORD = { TRUE | FALSE }

Snowflake에 대한 API 요청의 일부로 Okta SCIM 클라이언트에서 사용자 비밀번호의 동기화를 활성화할지 여부를 지정합니다.

  • TRUE 로 지정하면 비밀번호 동기화가 활성화됩니다.

  • FALSE 로 지정하면 비밀번호 동기화가 비활성화됩니다.

기본값 TRUE 입니다. 이 매개 변수를 설정하지 않고 보안 통합이 생성되는 경우 Snowflake는 이 매개 변수를 TRUE 로 설정합니다.

사용자 비밀번호가 클라이언트에서 Snowflake로 동기화되지 않아야 하는 경우 이 속성 값이 FALSE 로 설정되어 있는지 확인할 뿐 아니라 클라이언트에서 비밀번호 동기화를 비활성화하십시오.

이 속성은 Okta 및 Custom SCIM 통합에 지원됩니다. Microsoft Azure는 비밀번호 동기화를 지원하지 않으므로 Azure SCIM 통합은 지원되지 않습니다. 지원을 요청하려면 Microsoft Azure에 문의하십시오.

자세한 내용은 SCIM을 사용하여 사용자 및 그룹 관리하기 섹션을 참조하십시오.

COMMENT = 'string_literal'

통합에 대한 설명을 지정합니다.

기본값: 값 없음

액세스 제어 요구 사항

이 SQL 명령을 실행하는 데 사용되는 역할 에는 최소한 다음 권한 이 있어야 합니다.

권한

오브젝트

참고

CREATE INTEGRATION

계정

Only the ACCOUNTADMIN role has this privilege by default. The privilege can be granted to additional roles as needed.

지정된 권한 세트로 사용자 지정 역할을 만드는 방법에 대한 지침은 사용자 지정 역할 만들기 섹션을 참조하십시오.

보안 오브젝트 에 대해 SQL 작업을 수행하기 위한 역할과 권한 부여에 대한 일반적인 정보는 액세스 제어의 개요 섹션을 참조하십시오.

사용법 노트

  • 메타데이터 관련:

    주의

    고객은 Snowflake 서비스를 사용할 때 개인 데이터(사용자 오브젝트 제외), 민감한 데이터, 수출 통제 대상 데이터 또는 기타 규제 데이터가 메타데이터로 입력되지 않도록 해야 합니다. 자세한 내용은 Snowflake의 메타데이터 필드 섹션을 참조하십시오.

  • CREATE OR REPLACE <오브젝트> 문은 원자성입니다. 즉, 오브젝트가 바뀔 때 단일 트랜잭션으로 이전 오브젝트가 삭제되고 새 오브젝트가 생성됩니다.

Microsoft Azure AD의 예

다음은 기본 설정을 사용하여 Microsoft Azure AD SCIM 통합을 만드는 예입니다.

CREATE OR REPLACE SECURITY INTEGRATION okta_provisioning
    TYPE = scim
    SCIM_CLIENT = 'AZURE'
    RUN_AS_ROLE = 'AAD_PROVISIONER';
Copy

DESCRIBE INTEGRATION 을 사용하여 통합 설정 보기:

DESC SECURITY INTEGRATION aad_provisioning;
Copy

Okta의 예

다음은 기본 설정을 사용하여 Okta SCIM 통합을 만드는 예입니다.

CREATE OR REPLACE SECURITY INTEGRATION okta_provisioning
    TYPE = scim
    SCIM_CLIENT = 'OKTA'
    RUN_AS_ROLE = 'OKTA_PROVISIONER';
Copy

DESCRIBE INTEGRATION 을 사용하여 통합 설정 보기:

DESC SECURITY INTEGRATION okta_provisioning;
Copy