Suporte ao Snowflake SCIM¶
Snowflake oferece suporte ao SCIM 2.0, permitindo integrar o Snowflake com o Okta e o Microsoft Azure AD como provedores de identidade. Você pode usar provedores de identidade personalizados, que não sejam provedores de identidade Okta nem Microsoft Azure. Você pode provisionar usuários e grupos (funções) do provedor de identidade para o Snowflake, que funciona como o provedor de serviços.
Nota
As funções SCIM no Snowflake devem ser de propriedade de quaisquer usuários ou funções importados do provedor de identidade. Se a função Snowflake SCIM não possuir usuários ou funções importados, as atualizações no provedor de identidade não serão sincronizadas com o Snowflake. As funções Snowflake SCIM se correlacionam com seu provedor de identidade (IdP):
Função SCIM do Okta:
okta_provisionerFunção Microsoft Entra ID SCIM:
aad_provisionerFunção SCIM personalizada:
generic_scim_provisioner
Para obter mais informações sobre como usar a função SCIM do Snowflake, consulte as seções de configuração de SCIM para Okta, Microsoft Entra ID e a integração SCIM personalizada.
Casos de uso¶
A API SCIM do Snowflake pode abordar os seguintes casos de uso.
Gerenciamento de usuários: Os administradores podem provisionar e gerenciar seus usuários desde o provedor de identidade de sua organização até o Snowflake. O gerenciamento de usuários é um mapeamento individual do provedor de identidade até o Snowflake.
Gerenciamento de usuários: Os administradores podem provisionar e gerenciar seus grupos (ou seja, funções) desde o provedor de identidade de sua organização até o Snowflake. O gerenciamento de funções é um mapeamento individual do provedor de identidade até o Snowflake.
Auditoria das solicitações da SCIM API: Os administradores podem consultar a tabela
rest_event_historypara determinar se o provedor de identidade está enviando atualizações (ou seja, solicitações da SCIM API) ao Snowflake.
SCIM API¶
Os provedores de identidade podem usar um cliente SCIM para fazer solicitações da API RESTful ao servidor Snowflake SCIM. Após validar a solicitação de API, o Snowflake executa ações solicitadas pelos provedores de identidade em usuários ou grupos.
O Snowflake autentica as solicitações da SCIM API de provedores de identidade por meio de um token Bearer OAuth no cabeçalho Authorization das solicitações HTTP. O token é válido por seis meses. Você deve garantir que seu token não esteja expirado ao autenticar. Se o seu token expirar, você pode gerar um novo token de acesso usando a função SYSTEM$GENERATE_SCIM_ACCESS_TOKEN.
Cuidado
A Snowflake SCIM API permite aos administradores gerenciar usuários e grupos do provedor de identidade do cliente ao Snowflake. Se você fizer alterações em usuários e grupos no Snowflake diretamente, as alterações não serão sincronizadas de volta com o provedor de identidade do cliente.
Para obter mais informações sobre como fazer solicitações da SCIM API ao Snowflake, consulte Referências da SCIM API.
Auditoria das solicitações da SCIM API¶
Você pode consultar o Snowflake para encontrar informações sobre as solicitações da SCIM API feitas ao longo de um período. Você pode usar essas informações para ver se os usuários ativos de sua organização correspondem aos usuários provisionados no Snowflake.
Por exemplo, para determinar quais solicitações da SCIM API foram feitas nos últimos cinco minutos, com um máximo de 200 solicitações a serem retornadas, você pode usar a função de tabela Information Schema REST_EVENT_HISTORY:
use role accountadmin;
use database demo_db;
use schema information_schema;
select *
from table(rest_event_history(
'scim',
dateadd('minutes',-5,current_timestamp()),
current_timestamp(),
200))
order by event_timestamp;
Para obter mais informações sobre como modificar esta consulta, consulte DATEADD e CURRENT_TIMESTAMP.
Integrações de segurança SCIM com suporte¶
Consulte Integrações de segurança SCIM.
Replicação de integrações de segurança¶
O Snowflake oferece suporte à replicação e failover/failback com a integração de segurança SCIM da conta de origem para a conta de destino.
Para obter mais detalhes, consulte Replicação de integrações de segurança e políticas de redes em múltiplas contas.