CREATE SECURITY INTEGRATION (SCIM)¶
Cria uma nova integração de segurança SCIM na conta ou substitui uma integração existente. Uma integração de segurança SCIM permite o gerenciamento automatizado de identidades e grupos de usuários (ou seja, funções) criando uma interface entre o Snowflake e um provedor de identidade de terceiros (IdP).
Para obter mais informações sobre a criação de outros tipos de integrações de segurança (por exemplo, SAML2), consulte CREATE SECURITY INTEGRATION.
- Consulte também:
ALTER SECURITY INTEGRATION (SCIM) , DROP INTEGRATION , SHOW INTEGRATIONS
Sintaxe¶
CREATE [ OR REPLACE ] SECURITY INTEGRATION [ IF NOT EXISTS ]
<name>
TYPE = SCIM
ENABLED = { TRUE | FALSE }
SCIM_CLIENT = { 'OKTA' | 'AZURE' | 'GENERIC' }
RUN_AS_ROLE = { 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER' }
[ NETWORK_POLICY = '<network_policy>' ]
[ SYNC_PASSWORD = { TRUE | FALSE } ]
[ COMMENT = '<string_literal>' ]
Parâmetros obrigatórios¶
name
Cadeia de caracteres que especifica o identificador (ou seja, nome) para a integração; deve ser única em sua conta.
Além disso, o identificador deve começar com um caractere alfabético e não pode conter espaços ou caracteres especiais, a menos que toda a cadeia de caracteres do identificador esteja entre aspas duplas (por exemplo,
"My object"
). Os identificadores delimitados por aspas duplas também diferenciam letras maiúsculas de minúsculas.Para obter mais detalhes, consulte Requisitos para identificadores.
TYPE = SCIM
Especifique o tipo de integração:
SCIM
: cria uma interface de segurança entre o Snowflake e um cliente que oferece suporte ao SCIM.
ENABLED = { TRUE | FALSE }
Especifique se a integração de segurança está ativada. Para criar uma integração de segurança que esteja desativada, defina
ENABLED = FALSE
.Padrão:
TRUE
SCIM_CLIENT = { 'OKTA' | 'AZURE' | 'GENERIC' }
Especifique o cliente SCIM.
RUN_AS_ROLE = { 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER' }
Especifique a função SCIM no Snowflake que possui quaisquer usuários e funções que são importadas do provedor de identidade para o Snowflake usando SCIM.
Os valores
OKTA_PROVISIONER
,AAD_PROVISIONER
eGENERIC_SCIM_PROVISIONER
diferenciam letras maiúsculas e minúsculas devem ser sempre capitalizados.
Parâmetros opcionais¶
NETWORK_POLICY = 'network_policy'
Especifica uma política de redes existente que controla o tráfego de rede SCIM.
Se também houver políticas de rede definidas para a conta ou usuário, consulte Precedência de política de redes.
SYNC_PASSWORD = { TRUE | FALSE }
Especifica se deve ativar ou desativar a sincronização de uma senha de usuário de um cliente Okta SCIM como parte da solicitação de API ao Snowflake.
TRUE
permite a sincronização de senhas.FALSE
desativa a sincronização de senha.
Padrão
TRUE
. Se for criada uma integração de segurança sem definir este parâmetro, o Snowflake define este parâmetro comoTRUE
.Se as senhas dos usuários não devem ser sincronizadas do cliente para o Snowflake, certifique-se de que este valor de propriedade esteja definido como
FALSE
e desabilite a sincronização de senhas no cliente.Note que esta propriedade é suportada para integrações SCIM Okta e personalizada. As integrações Azure SCIM não são suportadas porque o Microsoft Azure não oferece suporte à sincronização de senhas. Para solicitar suporte, entre em contato com o Microsoft Azure.
Para obter mais detalhes, consulte Gerenciamento de usuários e grupos com SCIM.
COMMENT = 'string_literal'
Especifica um comentário para a integração.
Padrão: sem valor
Requisitos de controle de acesso¶
Uma função usada para executar este comando SQL deve ter os seguintes privilégios no mínimo:
Privilégio |
Objeto |
Notas |
---|---|---|
CREATE INTEGRATION |
Conta |
Only the ACCOUNTADMIN role has this privilege by default. The privilege can be granted to additional roles as needed. |
Para instruções sobre como criar uma função personalizada com um conjunto específico de privilégios, consulte Criação de funções personalizadas.
Para informações gerais sobre concessões de funções e privilégios para executar ações de SQL em objetos protegíveis, consulte Visão geral do controle de acesso.
Notas de uso¶
Em relação aos metadados:
Atenção
Os clientes devem garantir que nenhum dado pessoal (exceto para um objeto do usuário), dados sensíveis, dados controlados por exportação ou outros dados regulamentados sejam inseridos como metadados ao usar o serviço Snowflake. Para obter mais informações, consulte Campos de metadados no Snowflake.
Instruções CREATE OR REPLACE <object> são atômicas. Ou seja, quando um objeto é substituído, o objeto antigo é excluído e o novo objeto é criado em uma única transação.
Exemplos¶
Exemplo do Microsoft Azure AD¶
O exemplo seguinte cria uma integração do Microsoft Azure ADSCIM com as configurações padrão:
CREATE OR REPLACE SECURITY INTEGRATION okta_provisioning
TYPE = scim
SCIM_CLIENT = 'AZURE'
RUN_AS_ROLE = 'AAD_PROVISIONER';
Ver as configurações de integração usando DESCRIBE INTEGRATION:
DESC SECURITY INTEGRATION aad_provisioning;
Exemplo do Okta¶
O exemplo seguinte cria uma integração do Okta SCIM com as configurações padrão:
CREATE OR REPLACE SECURITY INTEGRATION okta_provisioning
TYPE = scim
SCIM_CLIENT = 'OKTA'
RUN_AS_ROLE = 'OKTA_PROVISIONER';
Ver as configurações de integração usando DESCRIBE INTEGRATION:
DESC SECURITY INTEGRATION okta_provisioning;