CREATE SECURITY INTEGRATION (SCIM)

Cria uma nova integração de segurança SCIM na conta ou substitui uma integração existente. Uma integração de segurança SCIM permite o gerenciamento automatizado de identidades e grupos de usuários (ou seja, funções) criando uma interface entre o Snowflake e um provedor de identidade de terceiros (IdP).

Para obter mais informações sobre a criação de outros tipos de integrações de segurança (por exemplo, SAML2), consulte CREATE SECURITY INTEGRATION.

Consulte também:

ALTER SECURITY INTEGRATION (SCIM) , DROP INTEGRATION , SHOW INTEGRATIONS

Sintaxe

CREATE [ OR REPLACE ] SECURITY INTEGRATION [ IF NOT EXISTS ]
    <name>
    TYPE = SCIM
    ENABLED = { TRUE | FALSE }
    SCIM_CLIENT = { 'OKTA' | 'AZURE' | 'GENERIC' }
    RUN_AS_ROLE = { 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER' }
    [ NETWORK_POLICY = '<network_policy>' ]
    [ SYNC_PASSWORD = { TRUE | FALSE } ]
    [ COMMENT = '<string_literal>' ]
Copy

Parâmetros obrigatórios

name

Cadeia de caracteres que especifica o identificador (ou seja, nome) para a integração; deve ser única em sua conta.

Além disso, o identificador deve começar com um caractere alfabético e não pode conter espaços ou caracteres especiais, a menos que toda a cadeia de caracteres do identificador esteja entre aspas duplas (por exemplo, "My object"). Os identificadores delimitados por aspas duplas também diferenciam letras maiúsculas de minúsculas.

Para obter mais detalhes, consulte Requisitos para identificadores.

TYPE = SCIM

Especifique o tipo de integração:

  • SCIM: cria uma interface de segurança entre o Snowflake e um cliente que oferece suporte ao SCIM.

ENABLED = { TRUE | FALSE }

Especifique se a integração de segurança está ativada. Para criar uma integração de segurança que esteja desativada, defina ENABLED = FALSE.

Padrão: TRUE

SCIM_CLIENT = { 'OKTA' | 'AZURE' | 'GENERIC' }

Especifique o cliente SCIM.

RUN_AS_ROLE = { 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER' }

Especifique a função SCIM no Snowflake que possui quaisquer usuários e funções que são importadas do provedor de identidade para o Snowflake usando SCIM.

Os valores OKTA_PROVISIONER, AAD_PROVISIONER e GENERIC_SCIM_PROVISIONER diferenciam letras maiúsculas e minúsculas devem ser sempre capitalizados.

Parâmetros opcionais

NETWORK_POLICY = 'network_policy'

Especifica uma política de redes existente ativa para sua conta. A política de redes restringe a lista de endereços IP do usuário ao trocar um código de autorização por um token de acesso ou de atualização e ao usar um token de atualização para obter um novo token de acesso. Se este parâmetro não for definido, a política de redes para a conta (se houver) é utilizada em seu lugar.

SYNC_PASSWORD = { TRUE | FALSE }

Especifica se deve ativar ou desativar a sincronização de uma senha de usuário de um cliente Okta SCIM como parte da solicitação de API ao Snowflake.

  • TRUE permite a sincronização de senhas.

  • FALSE desativa a sincronização de senha.

Padrão TRUE. Se for criada uma integração de segurança sem definir este parâmetro, o Snowflake define este parâmetro como TRUE.

Se as senhas dos usuários não devem ser sincronizadas do cliente para o Snowflake, certifique-se de que este valor de propriedade esteja definido como FALSE e desabilite a sincronização de senhas no cliente.

Note que esta propriedade é suportada para integrações SCIM Okta e personalizada. As integrações Azure SCIM não são suportadas porque o Microsoft Azure não oferece suporte à sincronização de senhas. Para solicitar suporte, entre em contato com o Microsoft Azure.

Para obter mais detalhes, consulte Gerenciamento de usuários e grupos com SCIM.

COMMENT = 'string_literal'

Especifica um comentário para a integração.

Padrão: sem valor

Requisitos de controle de acesso

Uma função usada para executar este comando SQL deve ter os seguintes privilégios no mínimo:

Privilégio

Objeto

Notas

CREATE INTEGRATION

Conta

Only the ACCOUNTADMIN role has this privilege by default. The privilege can be granted to additional roles as needed.

Para instruções sobre como criar uma função personalizada com um conjunto específico de privilégios, consulte Criação de funções personalizadas.

Para informações gerais sobre concessões de funções e privilégios para executar ações de SQL em objetos protegíveis, consulte Visão geral do controle de acesso.

Notas de uso

  • Em relação aos metadados:

    Atenção

    Os clientes devem garantir que nenhum dado pessoal (exceto para um objeto do usuário), dados sensíveis, dados controlados por exportação ou outros dados regulamentados sejam inseridos como metadados ao usar o serviço Snowflake. Para obter mais informações, consulte Campos de metadados no Snowflake.

  • Instruções CREATE OR REPLACE <object> são atômicas. Ou seja, quando um objeto é substituído, o objeto antigo é excluído e o novo objeto é criado em uma única transação.

Exemplos

Exemplo do Microsoft Azure AD

O exemplo seguinte cria uma integração do Microsoft Azure ADSCIM com as configurações padrão:

CREATE OR REPLACE SECURITY INTEGRATION okta_provisioning
    TYPE = scim
    SCIM_CLIENT = 'AZURE'
    RUN_AS_ROLE = 'AAD_PROVISIONER';
Copy

Ver as configurações de integração usando DESCRIBE INTEGRATION:

DESC SECURITY INTEGRATION aad_provisioning;
Copy

Exemplo do Okta

O exemplo seguinte cria uma integração do Okta SCIM com as configurações padrão:

CREATE OR REPLACE SECURITY INTEGRATION okta_provisioning
    TYPE = scim
    SCIM_CLIENT = 'OKTA'
    RUN_AS_ROLE = 'OKTA_PROVISIONER';
Copy

Ver as configurações de integração usando DESCRIBE INTEGRATION:

DESC SECURITY INTEGRATION okta_provisioning;
Copy
Linguagem: Português