Configuração de um provedor de identidade (IdP) para o Snowflake¶
As tarefas para configurar um IdP são diferentes dependendo se você escolher Okta, AD FS ou outro serviço/aplicativo (ou seja, personalizado) compatível com SAML 2.0 para fornecer autenticação federada para seus usuários do Snowflake.
Neste tópico:
Importante
Antes de configurar seu IdP, considere como gerenciar a autenticação federada depois que ela estiver totalmente configurada e como os usuários acessarão o Snowflake por meio da autenticação federada.
Por exemplo, decida se os usuários acessarão o Snowflake por meio de um URL público ou por meio de um URL associado à conectividade privada a um serviço Snowflake. Para saber mais, consulte Gerenciamento/uso da autenticação federada.
Configuração do Okta¶
Para usar o Okta como seu IdP para autenticação federada, você deve realizar as seguintes tarefas no Okta:
Crie uma conta Okta para sua empresa ou organização.
Faça login em sua conta Okta como usuário com privilégios de administrador e crie um usuário para cada pessoa que precisará ter acesso ao Snowflake. Ao criar usuários, certifique-se de incluir um endereço de e-mail para cada usuário. Os endereços de e-mail são necessários para mapear os usuários no Okta com os usuários correspondentes no Snowflake.
Nota
Lembre-se de garantir que o endereço de e-mail que você digita nos mapas de valores Okta tenha o valor
login_name
no Snowflake e o atributo SAMLNameID
.Para obter mais informações, consulte a Etapa 1 em Migração para uma integração de segurança SAML2.
Crie um aplicativo do Snowflake no Okta:
No campo Label do aplicativo, você pode especificar qualquer nome.
No campo SubDomain do aplicativo, insira o identificador de conta da sua conta Snowflake. Se você estiver usando conectividade privada, anexe
privatelink
ao identificador da conta. Por exemplo, se a URL usada para acessar a conta Snowflake éhttps://myorg-myaccount.privatelink.snowflakecomputing.com
, então digitemyorg-myaccount.privatelink
.Se o nome da conta Snowflake contiver um sublinhado e você estiver usando o formato de nome da conta do identificador, você precisa converter o sublinhado em um hífen porque o Okta não aceita sublinhados em URLs (por exemplo,
myorg-myaccount-name
).
Atribua os usuários do Okta que você criou ao aplicativo Snowflake no Okta.
Configure o SAML 2.0 como o sinal no método para o aplicativo Snowflake que você criou. Você precisará do valor do URL do SSO e do certificado na próxima etapa, Migração para uma integração de segurança SAML2.
Na guia Sign On, clique em View Setup Instructions.
Reúna as informações necessárias a partir das instruções de configuração:
URL do SSO (ponto de extremidade do URL do IdP para o qual Snowflake enviará solicitações SAML)
Certificado (usado para verificar a comunicação entre o IdP e o Snowflake)
Configuração do AD FS¶
Para usar o AD FS como seu IdP para autenticação federada, você deve realizar as seguintes tarefas no AD FS.
Pré-requisitos¶
Verifique se o AD FS 3.0 está instalado e funcionando no Windows Server 2012 R2.
Certifique-se de que existe um usuário no AD FS para cada pessoa que precisará ter acesso ao Snowflake. Ao criar usuários, certifique-se de incluir um endereço de e-mail para cada usuário. Os endereços de e-mail são necessários para conectar os usuários no AD FS a seus usuários correspondentes no Snowflake.
Nota
Outras versões do AD FS e do Windows Server podem ser usadas; entretanto, as instruções de configuração podem ser diferentes.
Adição de uma terceira parte confiável para o Snowflake¶
No Console de gerenciamento do AD FS, use o Add Relying Party Trust Wizard para adicionar um novo objeto de confiança de terceira parte confiável ao banco de dados de configuração do AD FS:
Quando solicitado, selecione o botão de rádio Enter data about the relying party manually.
Na tela seguinte, insira um nome de exibição (por exemplo, “Snowflake”) para a terceira parte confiável.
Na tela seguinte, selecione o botão de rádio AD FS profile.
Pule a próxima tela (para especificar um certificado de criptografia de token opcional).
Na tela seguinte:
Marque a caixa de seleção Enable support for the SAML 2.0 WebSSO protocol.
No campo Relying party SAML 2.0 SSO service URL, digite a URL do SSO da sua conta Snowflake anexada a
/fed/login
. Por exemplo, para usar a URL de Nome da conta com conectividade privada, digite:https://<nomeorg>-<nome_conta>.privatelink.snowflakecomputing.com/fed/login
. Para obter uma lista de formatos de URL possíveis, consulte Conexão com uma URL. Quando você criar a integração de segurança para autenticação federada, certifique-se de que seus parâmetros de URL correspondam ao formato usado nesse campo.
Na tela seguinte, no campo Relying party trust identifier, insira o URL de sua conta Snowflake, conforme especificado na etapa anterior.
Na tela seguinte, selecione o botão de rádio I do not want to configure multi-factor authentication settings for this relying party trust at this time.
Na tela seguinte, selecione o botão de rádio Permit all users to access this relying party.
Na tela seguinte, reveja sua configuração do objeto de confiança de terceira parte confiável. Certifique-se também de que, na guia Advanced, SHA-256 seja selecionado como o algoritmo de hash seguro.
Na tela seguinte, selecione Open the Edit Claim Rules dialog for this relying party trust when the wizard closes e clique em Close para finalizar a configuração do assistente.
Definição de regras de declaração para a terceira parte confiável do Snowflake¶
A janela Edit Claim Rules for snowflake_trust_name
é aberta automaticamente após o fechamento do assistente. Você também pode abrir essa janela a partir do Console de gerenciamento do AD FS clicando em:
AD FS » Trust Relationships » Relying Party Trusts »
snowflake_trust_name
» Edit Claim Rules…
Na janela:
Crie uma regra para o envio de atributos LDAP como declarações:
Clique em Add Rules e selecione Send LDAP Attributes as Claim.
Na caixa de diálogo Edit Rule:
Insira um nome (por exemplo, “Obter atributos“) para a regra.
Ajuste Attribute store para: Active Directory.
Adicione dois atributos LDAP para a regra:
E-Mail-Addresses com E-Mail Address como o tipo de declaração de saída.
Display-Name com Name como o tipo de declaração de saída.
Clique no botão OK para criar a regra.
Crie uma regra para transformar as declarações recebidas:
Clique em Add Rules e selecione Transform an Incoming Claim.
Na caixa de diálogo Add Transform Claim Rule Wizard:
Insira um nome (por exemplo, “Nome transformar ID”) para a regra de declaração.
Ajuste Incoming claim type para: E-Mail Address.
Ajuste Outgoing claim type para: Name ID.
Ajuste Outgoing name ID format para: Email.
Selecione o botão de rádio Pass through all claim values.
Clique no botão Finish para criar a regra.
Clique no botão OK para terminar de adicionar regras de declaração para o objeto de confiança de terceira parte confiável do Snowflake.
Importante
Certifique-se de inserir os valores das regras exatamente como descrito acima.
Além disso, certifique-se de que as regras que você criou estejam listadas na seguinte ordem:
Atributos LDAP
Transformação de declarações recebidas
As regras não funcionarão corretamente se houver algum erro de digitação ou se elas não estiverem listadas na ordem correta.
Habilitação do logout global — Opcional¶
Para permitir o logout global do Snowflake no AD FS, no Console de gerenciamento do AD FS, clique em:
AD FS » Trust Relationships » Relying Party Trusts » <nome_de_confiança_snowflake> » Properties
Na caixa de diálogo Properties:
Vá até a guia Endpoints e clique no botão Add SAML….
Na caixa de diálogo Edit Endpoint:
Ajuste Endpoint type para: SAML Logout.
Ajuste Binding para: POST ou REDIRECT.
Ajuste Trusted URL para o valor especificado na etapa 1.
Deixe Response URL em branco.
Clique no botão OK para salvar suas alterações.
Obtenção do URL do SSO e o certificado¶
Para completar a configuração do AD FS, obtenha o URL do SSO e o certificado do AD FS. Você usará esses dois valores na próxima etapa: Migração para uma integração de segurança SAML2.
- SSO URL
O ponto de extremidade do URL do AD FS para o qual o Snowflake enviará as solicitações SAML. Esse é normalmente o URL de login do AD FS, que geralmente é o endereço IP ou o nome de domínio totalmente qualificado (ou seja, FQDN) de seu servidor AD FS com
/adfs/ls
anexado ao final.
- Certificado
Usado para verificar a comunicação entre o AD FS e o Snowflake. Você faz o download a partir do Console de gerenciamento do AD FS:
No console, clique em:
AD FS » Service » Certificates
Na página Certificates, clique com o botão direito do mouse na entrada Token-signing e clique em View Certificate….
Na caixa de diálogo Certificate, selecione a guia Details.
Clique em Copy to File… para abrir o assistente de exportação de certificados.
Para o formato de arquivo de exportação, selecione Base-64 encoded X.509 (.CER) e clique em Next.
Salve o arquivo em um diretório em seu ambiente local.
Abra o arquivo e copie o certificado, que consiste em uma única linha localizada entre as seguintes linhas:
-----BEGIN CERTIFICATE----- <certificate> -----END CERTIFICATE-----
Configuração do IdP personalizada¶
Para utilizar um serviço ou aplicativo compatível com SAML 2.0 como seu IdP para autenticação federada, você deve realizar as seguintes tarefas:
Na interface de serviço/aplicativo, defina um aplicativo personalizado SHA-256 para o Snowflake. As instruções para definir um aplicativo personalizado são específicas para o serviço/aplicativo que está servindo como IdP.
Na interface, crie um usuário para cada pessoa que precisará ter acesso ao Snowflake. Ao criar usuários, certifique-se de incluir um endereço de e-mail para cada usuário. Os endereços de e-mail são necessários para conectar os usuários no IdP a seus usuários correspondentes no Snowflake.
Obtenha o URL do SSO e o certificado de seu IdP personalizado. Você precisará do valor do URL do SSO e do certificado na próxima etapa, Migração para uma integração de segurança SAML2.
URL do SSO (ponto de extremidade do URL do IdP para o qual Snowflake enviará solicitações SAML)
Certificado (usado para verificar a comunicação entre o IdP e o Snowflake)
Importante
Na configuração de provedores de identidade personalizados, os valores de campo geralmente diferenciam maiúsculas de minúsculas. Se aparecerem mensagens de erro ou códigos de erro, verifique novamente os valores que você possa ter inserido no processo de configuração.
Próximos passos¶
Após ter concluído as etapas acima, você deve configurar o Snowflake para usar a autenticação federada para completar sua configuração personalizada IdP.