Snowflake용 ID 공급자(IdP) 구성하기

IdP 구성 작업은 Snowflake 사용자에게 페더레이션 인증을 제공하기 위해 Okta, AD FS 또는 다른(즉, 사용자 지정) SAML 2.0 규격 서비스/애플리케이션을 사용하는지에 따라 다릅니다.

이 항목의 내용:

중요

IdP를 구성하기 전, 페더레이션 인증을 완전하게 구성한 이후의 관리 방법 및 사용자가 페더레이션 인증을 통해 Snowflake에 액세스하는 방법을 고려하십시오.

예를 들어 사용자가 공용 URL을 통해 액세스할지, 또는 Snowflake 서비스 비공개 연결과 관련된 URL을 통해 Snowflake에 액세스할지 결정하십시오. 자세한 내용은 페더레이션 인증 관리하기/사용하기 을 참조하십시오.

Okta 설정

페더레이션 인증에서 Okta를 IdP로 사용하려면 Okta에서 다음 작업을 수행해야 합니다.

  1. 회사 또는 조직의 Okta 계정을 생성합니다.

  2. 관리자 권한 사용자로 Okta 계정에 로그인하고 Snowflake에 액세스해야 하는 각 개인에 대한 사용자를 생성합니다. 사용자를 생성할 때는 각 사용자의 이메일 주소를 포함해야 합니다. 이메일 주소는 Okta 사용자와 Snowflake의 해당 사용자를 매핑하기 위한 용도로 필요합니다.

    참고

    Okta 값에 입력한 이메일 주소가 Snowflake의 login_name 값 및 SAML NameID 특성에 매핑되는지 확인해야 합니다.

    자세한 내용은 SAML2 보안 통합으로 마이그레이션하기 의 1단계를 참조하십시오.

  3. Okta에서 Snowflake 애플리케이션 생성:

    • 애플리케이션의 Label 필드에는 이름을 지정할 수 있습니다.

    • 애플리케이션의 SubDomain 필드에 Snowflake 계정의 식별자 를 입력합니다. 비공개 연결을 사용 중이라면 계정 식별자에 privatelink 를 추가합니다. 예를 들어 Snowflake 계정에 액세스하는 데 사용되는 URL이 https://myorg-myaccount.privatelink.snowflakecomputing.com 인 경우에는 myorg-myaccount.privatelink 를 입력합니다.

      Snowflake 계정 이름에 밑줄이 포함되어 있고 식별자의 계정 이름 형식을 사용 중인 경우, Okta는 URL에서 밑줄을 지원하지 않으므로 밑줄을 하이픈으로 변환해야 합니다(예: myorg-myaccount-name).

  4. 생성한 Okta 사용자를 Okta의 Snowflake 애플리케이션에 할당합니다.

  5. 생성한 Snowflake 애플리케이션의 로그인 방법으로 SAML 2.0을 구성합니다. 다음 단계인 SAML2 보안 통합으로 마이그레이션하기 에 SSO URL 값 및 인증서가 필요합니다.

    • Sign On 탭에서 View Setup Instructions 를 클릭합니다.

    • 설정 지침에서 수집하는 필수 정보는 다음과 같습니다.

      • SSO URL(Snowflake가 SAML 요청을 전송할 IdP URL 엔드포인트)

      • 인증서(IdP와 Snowflake 사이의 통신을 확인하기 위해 사용)

AD FS 설정

페더레이션 인증을 위해 AD FS를 IdP로 사용하려면 AD FS에서 다음 작업을 수행해야 합니다.

전제 조건

  • AD FS 3.0이 설치되어 Windows Server 2012 R2에서 작동해야 합니다.

  • Snowflake에 액세스해야 하는 각 개인에 대한 사용자가 AD FS에 있어야 합니다. 사용자를 생성할 때는 각 사용자의 이메일 주소를 포함해야 합니다. AD FS의 사용자를 Snowflake의 해당 사용자와 연결하기 위해서는 이메일 주소가 필요합니다.

참고

AD FS 및 Windows Server의 다른 버전도 사용할 수 있지만 구성 지침이 다를 수 있습니다.

Snowflake에 대한 신뢰 당사자 신뢰 추가하기

AD FS 관리 콘솔에서 Add Relying Party Trust Wizard 를 사용하여 다음과 같이 새 신뢰 당사자 신뢰를 AD FS 구성 데이터베이스에 추가합니다.

  1. 메시지가 표시되면 Enter data about the relying party manually 라디오 버튼을 선택합니다.

  2. 다음 화면에서 신뢰 당사자의 표시 이름(예: 《Snowflake》)을 입력합니다.

  3. 다음 화면에서 AD FS profile 라디오 버튼을 선택합니다.

  4. 다음 화면(선택 사항 토큰 암호화 인증서 지정)을 건너뜁니다.

  5. 다음 화면에서:

    • Enable support for the SAML 2.0 WebSSO protocol 확인란을 선택합니다.

    • Relying party SAML 2.0 SSO service URL 필드에 /fed/login 이 추가된 Snowflake 계정의 SSO URL을 입력합니다. 예를 들어, 비공개 연결에서 계정 이름 URL을 사용하려면 https://<조직_이름>-<계정_이름>.privatelink.snowflakecomputing.com/fed/login 을 입력하십시오. 가능한 URL 형식의 목록은 URL을 사용하여 연결하기 섹션을 참조하십시오. 페더레이션 인증을 위한 보안 통합 을 만들 때 URL 매개 변수가 이 필드에 사용된 형식과 일치하는지 확인하십시오.

  6. 다음 화면에서 Relying party trust identifier 필드에 이전 단계에서 지정한 Snowflake 계정에 대한 URL을 입력합니다.

  7. 다음 화면에서 I do not want to configure multi-factor authentication settings for this relying party trust at this time 라디오 버튼을 선택합니다.

  8. 다음 화면에서 Permit all users to access this relying party 라디오 버튼을 선택합니다.

  9. 다음 화면에서 신뢰 당사자 신뢰에 대한 구성을 검토합니다. 또한, Advanced 탭에서 SHA-256 이 보안 해시 알고리즘으로 선택되었는지 확인합니다.

  10. 다음 화면에서 Open the Edit Claim Rules dialog for this relying party trust when the wizard closes 를 선택하고 Close 를 클릭하여 마법사 구성을 종료합니다.

Snowflake 신뢰 당사자 신뢰에 대한 클레임 규칙 정의하기

마법사를 종료하면 Edit Claim Rules for snowflake_trust_name 윈도우가 자동으로 열립니다. 이 창은 다음을 클릭하여 AD FS 관리 콘솔에서도 열 수 있습니다.

AD FS » Trust Relationships » Relying Party Trusts » snowflake_trust_name » Edit Claim Rules…

창에서:

  1. LDAP 특성을 클레임으로 전송하기 위한 규칙 생성:

    1. Add Rules 를 클릭하고 Send LDAP Attributes as Claim 을 선택합니다.

    2. Edit Rule 대화 상자에서:

      • 규칙의 이름(예: 《특성 가져오기》)을 입력합니다.

        • Attribute storeActive Directory 로 설정합니다.

        • 규칙에 LDAP 속성 2개를 추가합니다.

          • E-Mail-Addresses 가 발신 클레임 타입인 E-Mail Address

          • Name 가 발신 클레임 타입인 Display-Name

    3. OK 버튼을 클릭하여 규칙을 생성합니다.

  2. 수신 클레임을 변환하기 위한 규칙을 생성합니다.

    1. Add Rules 를 클릭하고 Transform an Incoming Claim 을 선택합니다.

    2. Add Transform Claim Rule Wizard 대화 상자에서:

      • 클레임 규칙의 이름(예: 《ID 변환 이름》)을 입력합니다.

      • Incoming claim typeE-Mail Address 로 설정합니다.

      • Outgoing claim typeName ID 로 설정합니다.

      • Outgoing name ID formatEmail 로 설정합니다.

      • Pass through all claim values 라디오 버튼을 선택합니다.

    3. Finish 버튼을 클릭하여 규칙을 생성합니다.

  3. OK 버튼을 클릭하여 Snowflake 신뢰 당사자 신뢰를 위한 클레임 규칙 추가를 종료합니다.

중요

위의 설명에 따라 규칙에 대한 값을 입력했는지 확인합니다.

또한, 생성한 규칙이 다음 순서로 나열되는지 확인합니다.

  1. LDAP 특성

  2. 수신 클레임 변환

규칙에 오타가 있거나 규칙이 올바른 순서로 나열되지 않으면 이 규칙은 올바르게 동작하지 않습니다.

전역 로그아웃 활성화 — 선택 사항

AD FS에서 Snowflake의 전역 로그아웃을 활성화하려면 AD FS 관리 콘솔에서 다음을 클릭합니다.

AD FS » Trust Relationships » Relying Party Trusts » <snowflake_트러스트_이름> » Properties

Properties 대화 상자에서:

  1. Endpoints 탭으로 이동하여 Add SAML… 버튼을 클릭합니다.

  2. Edit Endpoint 대화 상자에서:

    • Endpoint typeSAML Logout 으로 설정합니다.

    • BindingPOST 로 또는 REDIRECT 로 설정합니다.

    • Trusted URL 을 1단계에서 지정한 값으로 설정합니다.

    • Response URL 을 비워둡니다.

    • OK 버튼을 클릭하여 변경 사항을 저장합니다.

SSO URL 및 인증서 가져오기

AD FS 설정을 완료하려면 SSO URL 및 인증서를 AD FS에서 가져옵니다. 다음 단계인 SAML2 보안 통합으로 마이그레이션하기 에서 이 두 값을 사용합니다.

  • SSO URL

    Snowflake가 SAML 요청을 전송할 AD FS URL 엔드포인트입니다. 이는 일반적으로 AD FS에 대한 로그인 URL이며, 주로 /adfs/ls 가 끝에 추가된 AD FS 서버의 정규화된 도메인 이름(즉, FQDN) 또는 IP 주소입니다.

  • 인증서

    AD FS와 Snowflake 사이의 통신을 확인하기 위해 사용됩니다. 다음과 같이 AD FS 관리 콘솔에서 다운로드합니다.

    1. 콘솔에서 다음을 클릭합니다.

      AD FS » Service » Certificates

    2. Certificates 페이지에서 Token-signing 항목을 마우스 오른쪽 버튼으로 클릭하고 View Certificate… 를 클릭합니다.

    3. Certificate 대화 상자에서 Details 탭을 선택합니다.

    4. Copy to File… 를 클릭하여 인증서 내보내기 마법사를 엽니다.

    5. 내보내기 파일 형식으로 Base-64 encoded X.509 (.CER) 를 선택하고 Next 을 클릭합니다.

    6. 로컬 환경의 디렉터리에 파일을 저장합니다.

    7. 파일을 열고 인증서를 복사합니다. 인증서는 다음 라인 사이에 위치한 단일 라인으로 구성됩니다.

      -----BEGIN CERTIFICATE-----
      <certificate>
      -----END CERTIFICATE-----
      
      Copy

사용자 지정 IdP 설정

페더레이션 인증을 위해 SAML 2.0 규격 서비스 또는 애플리케이션을 IdP로 사용하려면 다음 작업을 수행해야 합니다.

  1. 서비스/애플리케이션 인터페이스에서 Snowflake용 사용자 지정 SHA-256 애플리케이션을 정의합니다. 사용자 지정 애플리케이션 정의 지침은 IdP의 역할을 하는 서비스/애플리케이션에 따라 다릅니다.

  2. 인터페이스에서 Snowflake에 액세스해야 하는 각 개인에 대한 사용자를 생성합니다. 사용자를 생성할 때는 각 사용자의 이메일 주소를 포함해야 합니다. IdP의 사용자를 Snowflake의 해당 사용자와 연결하기 위해서는 이메일 주소가 필요합니다.

  3. 사용자 지정 IdP에서 SSO URL 및 인증서를 에서 가져옵니다. 다음 단계인 SAML2 보안 통합으로 마이그레이션하기 에 SSO URL 값 및 인증서가 필요합니다.

    • SSO URL(Snowflake가 SAML 요청을 전송할 IdP URL 엔드포인트)

    • 인증서(IdP와 Snowflake 사이의 통신을 확인하기 위해 사용)

중요

사용자 지정 ID 공급자를 구성할 때 필드 값에서는 대/소문자를 구분하는 경우가 많습니다. 오류 메시지 또는 오류 코드가 표시되면 구성 단계에서 입력했을 수 있는 값의 대/소문자를 다시 확인합니다.

다음 단계

위의 단계를 완료한 후 페더레이션 인증을 사용하도록 Snowflake를 구성 하여 사용자 지정 IdP 설정을 완료해야 합니다.