Etapa 4: vincular a integração de API do Azure ao serviço de proxy no Portal¶
Quando uma função externa é chamada, o Snowflake envia um comando HTTP POST ao serviço de proxy (por exemplo, Azure Function), que retransmite o POST ao serviço remoto (por exemplo, serviço de gerenciamento de API do Azure). Uma entidade de serviço em seu locatário do Azure AD permite que o Snowflake autentique com o Azure AD ao chamar o serviço de gerenciamento de API do Azure em seu locatário.
Este tópico fornece instruções para a criação de uma entidade de serviço para vincular a integração de API que você criou na etapa anterior ao seu serviço de gerenciamento de API do Azure. As instruções são as mesmas independentemente de você estar usando o Portal do Azure ou o modelo ARM.
Para obter mais informações sobre as entidades de serviço, consulte a documentação da Microsoft: Objetos do aplicativo e entidades de serviço.
Neste tópico:
Obter o nome do aplicativo e a URL de consentimento para a integração de API¶
Antes de criar uma entidade de serviço, você precisa de algumas informações sobre a integração de API:
Entre na interface da Web do Snowflake se você ainda não tiver feito isso.
Execute o comando DESCRIBE INTEGRATION para a integração de API que você criou na etapa anterior:
describe api integration <integration_name>;
A partir dos resultados DESCRIBE:
Registre o nome do aplicativo (da coluna AZURE_MULTI_TENANT_APP_NAME) no campo correspondente da sua planilha de rastreamento.
Registre a URL de consentimento (da coluna AZURE_CONSENT_URL) no campo correspondente da sua planilha de rastreamento.
A URL se assemelha ao seguinte:
https://login.microsoftonline.com/<tenant_id>/oauth2/authorize?client_id=<snowflake_application_id>&response_type=code
Conceder acesso do Snowflake à locação do Azure¶
Para conceder acesso do Snowflake à locação do Azure, você precisa da AZURE_CONSENT_URL que você registrou anteriormente:
Cole a URL em seu navegador. Quando seu navegador resolve essa URL, o Azure cria automaticamente uma entidade de serviço que representa o Snowflake no locatário.
Note que você só precisa criar uma entidade de serviço para o Snowflake uma vez por locação. Após a concessão de acesso ao Snowflake, o acesso não precisa ser concedido novamente. Em outras palavras, você não precisa conceder acesso novamente para cada nova função externa que criar para o Azure.
Se o Snowflake já tem acesso à sua locação do Azure, o site do Snowflake é exibido e deve mostrar algo semelhante a SNOWFLAKE THE CLOUD DATA PLATFORM. Você pode então pular as tarefas restantes e prosseguir para Etapa 5: criar a função externa para o Azure no Snowflake.
Se o Snowflake ainda não tiver recebido acesso, uma página Permissions requested da Microsoft será exibida, e você deverá prosseguir para a próxima tarefa.
Clique no botão Accept. Isso permite que a entidade de serviço do Azure criada para sua conta Snowflake obtenha um token de acesso a qualquer recurso dentro do seu locatário Azure AD.
Nesse ponto, você terminou de criar uma entidade de serviço em seu locatário para representar o Snowflake.
Entretanto, para aumentar a segurança, você deve garantir que somente clientes autorizados possam acessar seu Azure Function. As instruções para controlar o acesso são fornecidas na etapa final do processo de criação.