为 Snowflake Open Catalog 配置身份提供商 (IdP)¶

本主题为您介绍如何配置 Okta 或配置 Auth0，以将其用作 Snowflake Open Catalog 账户的 IdP。

准备工作¶

要为 Open Catalog SSO 设置 IdP，您需要使用完整的 Open Catalog 账户标识符，其中包括您的 Snowflake 组织名称和 Open Catalog 账户名称；例如：<orgname>.<my-snowflake-open-catalog-account-name>。

要查找您的 Snowflake 组织名称 (<orgname>)，请参阅 查找账户的组织和账户名称 <https://docs.snowflake.com/en/user-guide/admin-account-identifier.html#label-account-name-find>_。
要查找您的 Snowflake Open Catalog 账户名称 (<my-snowflake-open-catalog-account-name>)，请参阅 :doc:/opencatalog/find-account-name。

配置 Okta¶

备注

要为您的公司或组织创建一个 Okta 账户，请参阅 https://www.okta.com/ (https://www.okta.com/)。

要将 Okta 设置为 Open Catalog 账户的 IdP，请按照以下步骤操作：

在 Okta 中为您的 Snowflake Open Catalog 账户创一个应用程序¶

登录 Okta Admin Portal。
在左侧窗格中，选择 Applications > Applications，然后选择 Browse App Catalog。
在搜索栏中搜索并选择 Snowflake 应用程序。
选择 Add Integration。
在 General settings 选项卡中，输入以下值：
- 在 Application label中，输入 Snowflake Open Catalog。
- 对于 Subdomain，输入您的 Snowflake 组织名称和 Snowflake Open Catalog 账户名称，格式为 <orgname>-<my-snowflake-open-catalog-account-name>。
  
  例如：ABCDEFG-MYACCOUNT1。要查找这些名称，请参阅准备工作。
在 Sign-On Options - Required 下，选择 SAML 2.0。
在 Credentials Details 下，为 Application username format 选择 Okta username。

这是 Okta 传递给 Snowflake 的 NameID 值，必须与 Snowflake Open Catalog 中每个用户的 LOGIN_NAME 值相匹配。
选择 Done。
选择 View Setup Instructions。

这会打开一个新的浏览器选项卡，其中包含有关配置您的 Snowflake Open Catalog 账户以使用 SSO 的信息。
从设置说明中复制以下值，并粘贴到文本编辑器中，以供稍后使用：
- 实体 ID（有时称为颁发者 URL）
- IDP SSO URL（有时称为登录 URL）
- 身份验证证书

创建用户（人）¶

Okta 使用的人一词指的是用户。这些用户将有权访问您的 Open Catalog 账户。

要在 Okta 中创建用户，请按照下列步骤操作：

在 Okta Admin Portal 中，从左侧窗格中选择 Directory > People。
选择 Add Person。

输入用户详细信息：

字段	值
User type	选择 User。
First name	用户的名字。
Last name	用户的姓氏。
Username	用户的电子邮件地址。注意：此处输入的 Username 必须与在 Open Catalog 中创建用户时使用的 LOGIN_NAME 一致。
Primary email	此字段将自动填充您输入的用户名。
Activation	选择 Activate now。
I will set password	选择此选项，然后输入用户密码。

选择 Save。

为用户分配 Snowflake Open Catalog 应用程序¶

将 Open Catalog 应用程序分配给用户后，即可授权其访问您的 Open Catalog 账户的权限。在 Open Catalog 中创建用户时，您将授予其访问账户的权限。

要在 Okta 中将 Snowflake Open Catalog 应用程序分配给用户，请按照以下步骤操作：

在 Okta Admin Portal 中，导航到您之前创建的 Snowflake Open Catalog 应用程序。
选择 Assignments 选项卡。
通过个人用户分配 (Assign to People) 或群组分配 (Assign to Groups)，将应用程序分配给用户。

配置 Auth0¶

备注

要为您的公司或组织创建 Auth0 账户，请参阅 https://auth0.com/ (https://auth0.com/)。

要将 Auth0 设置为 Open Catalog 账户的 IdP，请按照以下步骤操作：

创建 Snowflake Open Catalog 应用程序¶

登录 Auth0 控制台。
选择 Applications > Applications > + Create Application。
为 Snowflake Open Catalog 创建一个应用程序：
1. 选择 Native。
2. 输入应用程序名称：Snowflake Open Catalog
3. 选择 Create。

在 Settings 选项卡的 Application URIs 下，提供以下详细信息：

字段	值
Application Login URI	`https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn` 例如：`https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn` 要查找这些名称，请参阅准备工作。
Allowed Callback URLs	`https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn` `https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/login` 例如：`https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn <br /><br /> https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn/fed/login` 要查找这些名称，请参阅准备工作。
Allowed Logout URLs	`https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/logout` 例如：`https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn/fed/logout` 要查找这些名称，请参阅准备工作。

在 Advanced settings 下，选择 Grant Types 选项卡。
选择 Password 复选框。接受其他设置的默认值。
在页面顶部，选择 Addons 选项卡。
选择 SAML2 WEB APP。
在打开的窗口中，选择 Settings 选项卡。
对于 Application Callback URL，请输入：https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/login

例如：https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn/fed/login

要查找这些名称，请参阅准备工作。

对于 Settings，用以下代码替换内容：

  {
         "audience": "https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn",
         "recipient": "https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/login",
         "signatureAlgorithm": "rsa-sha256",
         "digestAlgorithm": "sha256",
         "destination": "https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/login",
         "nameIdentifierProbes": [
              "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
          ],
         "logout": {
            "callback": "https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/logout"
          },
         "binding": "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    }

Copy

其中：

<orgname> is the name of your Snowflake organization, and<my-snowflake-open-catalog-account-name> 是您的 Snowflake Open Catalog 账户名称。要查找这些名称，请参阅准备工作。

向下滚动并选择 Enable。

该按钮将变为 Save。
要保存设置，请选择 Save。

创建用户¶

这些用户将有权访问您的 Open Catalog 账户。

要在 Auth0 中创建用户，请按照下列步骤操作：

在 Auth0 控制台的左侧窗格中，选择 User Management > Users。
选择 + Create User。
在 Create user 对话框中输入以下值：
- 对于 Connection，选择 Username-Password-Authentication。
- 对于 Email，输入用户的电子邮件地址。
  
  备注
  
  此处输入的电子邮件地址必须与 [在 Open Catalog 中创建用户]（(./sso-configure-open-catalog.md#create-a-user-in-the-open-catalog-account) 时使用的 LOGIN_NAME 匹配。
1. 对于 Password 和 Repeat Password，为用户输入相同的密码两次。
2. 选择 Create。