Redirecionando usuários automaticamente para seu provedor de identidade¶

Este tópico descreve como configurar o Snowflake para redirecionar automaticamente os usuários para o seu provedor de identidade (Identity Provider, IdP) para autenticação quando acessarem uma interface do Snowflake, em vez de apresentar primeiro a página de login do Snowflake.

Você configura o redirecionamento por meio da propriedade de conta LOGIN_IDP_REDIRECT. Cada interface (como entrada do Snowsight, Streamlit no Snowflake ou Snowpark Container Services) pode ser mapeada para uma integração de segurança SAML2 diferente, ou você pode definir um único mapeamento padrão que se aplica a todas as interfaces.

Visão geral¶

Quando a autenticação federada é configurada em sua conta, o fluxo de login padrão solicita que o usuário primeiro acesse a página de login do Snowflake e depois escolha fazer login por meio do IdP. Com LOGIN_IDP_REDIRECT configurado, o Snowflake ignora completamente a página de login do Snowflake: o usuário é enviado diretamente ao IdP para autenticação e, em seguida, é retornado à interface solicitada do Snowflake.

Isso agiliza o fluxo de login para usuários que têm o IdP configurado como o único caminho de autenticação para essa interface. Isso é útil principalmente para experiências de usuário incorporadas, como URLs de visualizador do app Streamlit no Snowflake e pontos de extremidade de entrada do Snowpark Container Services, em que a página de login do Snowflake adiciona uma etapa extra para o usuário acessar o único IdP no qual ele pode se autenticar.

Pré-requisitos¶

Antes de configurar LOGIN_IDP_REDIRECT, certifique-se de que os seguintes requisitos sejam atendidos:

Você tem pelo menos uma integração de segurança SAML2 configurada e habilitada. A propriedade de redirecionamento só aceita integrações de segurança SAML2. Para obter instruções, consulte Configuração do Snowflake para usar a autenticação federada.
Você tem a função ACCOUNTADMIN ou uma função com os privilégios necessários para executar ALTER ACCOUNT.
Pelo menos um administrador da conta pode fazer login com um método de autenticação de backup (como uma senha do Snowflake com MFA) para que sua organização possa recuperar o acesso se o IdP ficar indisponível. Consulte Gerenciamento de usuários com autenticação federada ativada.

Interfaces compatíveis¶

É possível configurar um redirecionamento para qualquer uma das seguintes interfaces do Snowflake. Cada interface pode ser mapeada para uma integração de segurança SAML2 diferente.

DEFAULT

Aplica-se a duas situações:

Fluxos de login que começam em app.snowflake.com (a página de login do Snowsight). Quando DEFAULT é definido, esses fluxos são redirecionados para o IdP em vez de apresentar a tela de login do Snowflake.
Qualquer outra chave de interface listada abaixo que você não configure explicitamente. Por exemplo, se você definir DEFAULT, mas não STREAMLIT, os URLs de visualizador do app Streamlit no Snowflake usarão o mapeamento DEFAULT.

Para recusar uma interface específica do fallback DEFAULT, defina essa interface como NULL. Consulte Remover ou recusar um redirecionamento.

SNOWFLAKE_INTELLIGENCE

Aplica-se aos URLs do Snowflake Intelligence. Substitui o mapeamento DEFAULT para os URLs do Snowflake Intelligence. Defina esta chave como NULL para recusar URLs do Snowflake Intelligence do fallback DEFAULT. Para obter orientação específica sobre interfaces, incluindo a configuração de DNS necessária quando o Snowflake Intelligence é acessado com conectividade privada, consulte Redirecionar usuários para seu provedor de identidade.

STREAMLIT

Aplica-se aos URLs de visualizador do app Streamlit in Snowflake. Substitui o mapeamento DEFAULT para URLs de visualizador do app. Defina esta chave como NULL para recusar os URLs de visualizador do app Streamlit do fallback DEFAULT. Para obter orientação específica sobre interfaces, consulte Redirecionar os visualizadores de apps para o seu provedor de identidade.

SPCS

Aplica-se aos pontos de extremidade de entrada do Snowpark Container Services. Substitui o mapeamento DEFAULT para os URLs de entrada do SPCS. Defina esta chave como NULL para recusar os URLs de entrada do SPCS do fallback DEFAULT. Para obter orientação específica sobre interfaces, consulte Considerações sobre entrada e seu provedor de identidade (IdP).

O Snowflake resolve o redirecionamento para uma interface nesta ordem:

Se a chave da interface for definida explicitamente, este mapeamento será usado. Um valor NULL significa «sem redirecionamento para esta interface».
Caso contrário, se DEFAULT for definido, o mapeamento DEFAULT será usado.
Do contrário, a página de login padrão do Snowflake será exibida.

Configurar o redirecionamento¶

Use ALTER ACCOUNT para definir LOGIN_IDP_REDIRECT. Você pode mapear várias interfaces em uma única instrução. Substitua your_security_integration pelo nome de uma integração de segurança SAML2 existente e habilitada.

Para redirecionar cada interface na conta pelo mesmo IdP:

ALTER ACCOUNT SET LOGIN_IDP_REDIRECT = (
  DEFAULT = my_saml_integration
);

Para configurar uma integração de segurança SAML2 diferente para interfaces individuais, liste-as na mesma instrução. Os mapeamentos por interface substituem o mapeamento DEFAULT para essa interface.

ALTER ACCOUNT SET LOGIN_IDP_REDIRECT = (
  DEFAULT = my_saml_integration,
  SNOWFLAKE_INTELLIGENCE = my_intelligence_saml_integration,
  STREAMLIT = my_streamlit_saml_integration,
  SPCS = my_spcs_saml_integration
);

Configurar LOGIN_IDP_REDIRECT novamente substitui todo o mapeamento pelos novos valores. Liste cada interface que deseja manter configurada sempre que você alterar a propriedade.

Visualizar a configuração atual¶

Para ver quais interfaces estão mapeadas, consulte o parâmetro de conta LOGIN_IDP_REDIRECT somente visualização. O parâmetro retorna um objeto JSON que resume o mapeamento definido na conta.

SHOW PARAMETERS LIKE 'LOGIN_IDP_REDIRECT' IN ACCOUNT;

Para obter mais informações, consulte LOGIN_IDP_REDIRECT (somente visualização) na referência de parâmetros.

Remover ou recusar um redirecionamento¶

Para parar de redirecionar uma única interface para seu IdP mantendo os outros mapeamentos no lugar, defina essa interface como NULL em uma nova instrução ALTER ACCOUNT SET LOGIN_IDP_REDIRECT. Os usuários dessa interface veem a página de login padrão do Snowflake. Configurar uma interface como NULL também a recusa do fallback DEFAULT.

Por exemplo, para manter o mapeamento DEFAULT, mas parar de redirecionar os URLs de visualizador do app Streamlit:

ALTER ACCOUNT SET LOGIN_IDP_REDIRECT = (
  DEFAULT = my_saml_integration,
  STREAMLIT = NULL
);

Para remover todos os mapeamentos e restaurar o fluxo de login padrão para cada interface, remova a definição da propriedade:

ALTER ACCOUNT UNSET LOGIN_IDP_REDIRECT;

Ignorar o redirecionamento para acessar a página de login do Snowflake¶

O Snowflake oferece suporte a um procedimento de recuperação que permite acessar a página de login padrão mesmo quando um redirecionamento está configurado. Use esse procedimento quando você não puder fazer login por meio do seu IdP, ou quando precisar fazer login com um método de autenticação de backup, como uma senha do Snowflake com MFA.

O procedimento usa o parâmetro OIDC padrão prompt=login, que o Snowflake segue para suprimir o redirecionamento de IdP para uma única tentativa de login.

Para usá-lo:

No navegador, abra as ferramentas para desenvolvedores e selecione a guia Network.
Inicie o carregamento do URL do Snowflake que está sendo redirecionado.
Encontre a solicitação para o ponto de extremidade /oauth/authorize em snowflakecomputing.com e copie seu URL completo.
Anexe &prompt=login ao final do URL e carregue o URL editado no seu navegador.

O Snowflake exibe a página de login padrão, na qual você pode escolher qualquer método de autenticação habilitado para o seu usuário.

Importante

Certifique-se de que pelo menos um administrador da conta tenha um método de autenticação de backup ativo (como uma senha do Snowflake) para que sua organização possa recuperar o acesso se o IdP ficar indisponível. Consulte Gerenciamento de usuários com autenticação federada ativada para obter orientação sobre o gerenciamento de credenciais de administrador em um ambiente federado.

Considerações¶

Lembre-se do seguinte ao configurar LOGIN_IDP_REDIRECT:

Somente integrações de segurança SAML2 são compatíveis. Outros tipos de integrações de segurança não podem ser referenciados pela propriedade.
A integração de segurança referenciada deve existir e estar habilitada. Se você descartar ou desabilitar a integração de segurança, os usuários da interface afetada receberão um erro ao tentar fazer login. Atualize ou remova o mapeamento antes de desabilitar ou descartar a integração.
ALTER ACCOUNT SET LOGIN_IDP_REDIRECT substitui o mapeamento inteiro. Sempre inclua cada interface que você deseja manter configurada.
ALTER ACCOUNT UNSET LOGIN_IDP_REDIRECT remove todos os mapeamentos de uma vez.
O redirecionamento ignora a página de login do Snowflake para as interfaces configuradas, incluindo a opção de escolher um método de autenticação diferente. Os usuários que precisam fazer login com um método de autenticação de backup devem seguir o procedimento de recuperação descrito em Ignorar o redirecionamento para acessar a página de login do Snowflake.