为 Snowflake Open Catalog 配置身份提供商 (IdP)

本主题为您介绍如何 配置 Okta配置 Auth0,以将其用作 Snowflake Open Catalog 账户的 IdP。

准备工作

要为 Open Catalog SSO 设置 IdP,您需要使用完整的 Open Catalog 账户标识符,其中包括您的 Snowflake 组织名称和 Open Catalog 账户名称;例如:<orgname>.<my-snowflake-open-catalog-account-name>

  • 要查找您的 Snowflake 组织名称 (<orgname>),请参阅 查找账户的组织和账户名称 <https://docs.snowflake.com/en/user-guide/admin-account-identifier.html#label-account-name-find>_。

  • 要查找您的 Snowflake Open Catalog 账户名称 (<my-snowflake-open-catalog-account-name>),请参阅 :doc:/opencatalog/find-account-name

配置 Okta

备注

要为您的公司或组织创建一个 Okta 账户,请参阅 https://www.okta.com/ (https://www.okta.com/)。

要将 Okta 设置为 Open Catalog 账户的 IdP,请按照以下步骤操作:

在 Okta 中为您的 Snowflake Open Catalog 账户创一个应用程序

  1. 登录 Okta Admin Portal。

  2. 在左侧窗格中,选择 Applications > Applications,然后选择 Browse App Catalog

  3. 在搜索栏中搜索并选择 Snowflake 应用程序。

  4. 选择 Add Integration

  5. General settings 选项卡中,输入以下值:

    • Application label中,输入 Snowflake Open Catalog。

    • 对于 Subdomain,输入您的 Snowflake 组织名称和 Snowflake Open Catalog 账户名称,格式为 <orgname>-<my-snowflake-open-catalog-account-name>

      例如:ABCDEFG-MYACCOUNT1。 要查找这些名称,请参阅 准备工作

  6. Sign-On Options - Required 下,选择 SAML 2.0

  7. Credentials Details 下,为 Application username format 选择 Okta username

    这是 Okta 传递给 Snowflake 的 NameID 值,必须与 Snowflake Open Catalog 中每个用户的 LOGIN_NAME 值相匹配。

  8. 选择 Done

  9. 选择 View Setup Instructions

    这会打开一个新的浏览器选项卡,其中包含有关配置您的 Snowflake Open Catalog 账户以使用 SSO 的信息。

  10. 从设置说明中复制以下值,并粘贴到文本编辑器中,以供稍后使用:

    • 实体 ID(有时称为颁发者 URL)

    • IDP SSO URL(有时称为登录 URL)

    • 身份验证证书

创建用户(人)

Okta 使用的 一词指的是 用户。这些用户将有权访问您的 Open Catalog 账户。

要在 Okta 中创建用户,请按照下列步骤操作:

  1. 在 Okta Admin Portal 中,从左侧窗格中选择 Directory > People

  2. 选择 Add Person

  3. 输入用户详细信息:

    字段

    User type

    选择 User

    First name

    用户的名字。

    Last name

    用户的姓氏。

    Username

    用户的电子邮件地址。

    注意:此处输入的 Username 必须与 在 Open Catalog 中创建用户 时使用的 LOGIN_NAME 一致。

    Primary email

    此字段将自动填充您输入的 用户名

    Activation

    选择 Activate now

    I will set password

    选择此选项,然后输入用户密码。

  4. 选择 Save

为用户分配 Snowflake Open Catalog 应用程序

将 Open Catalog 应用程序分配给用户后,即可授权其访问您的 Open Catalog 账户的权限。在 Open Catalog 中创建用户 时,您将授予其访问账户的权限。

要在 Okta 中将 Snowflake Open Catalog 应用程序分配给用户,请按照以下步骤操作:

  1. 在 Okta Admin Portal 中,导航到您之前创建的 Snowflake Open Catalog 应用程序。

  2. 选择 Assignments 选项卡。

  3. 通过个人用户分配 (Assign to People) 或群组分配 (Assign to Groups),将应用程序分配给用户。

配置 Auth0

备注

要为您的公司或组织创建 Auth0 账户,请参阅 https://auth0.com/ (https://auth0.com/)。

要将 Auth0 设置为 Open Catalog 账户的 IdP,请按照以下步骤操作:

创建 Snowflake Open Catalog 应用程序

  1. 登录 Auth0 控制台。

  2. 选择 Applications > Applications > + Create Application

  3. 为 Snowflake Open Catalog 创建一个应用程序:

    1. 选择 Native

    2. 输入应用程序名称:Snowflake Open Catalog

    3. 选择 Create

  4. Settings 选项卡的 Application URIs 下,提供以下详细信息:

    字段

    Application Login URI

    https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn

    例如:https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn

    要查找这些名称,请参阅 准备工作

    Allowed Callback URLs

    https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn

    https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/login

    例如:https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn <br /><br /> https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn/fed/login

    要查找这些名称,请参阅 准备工作

    Allowed Logout URLs

    https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/logout

    例如:https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn/fed/logout

    要查找这些名称,请参阅 准备工作

  5. Advanced settings 下,选择 Grant Types 选项卡。

  6. 选择 Password 复选框。接受其他设置的默认值。

  7. 在页面顶部,选择 Addons 选项卡。

  8. 选择 SAML2 WEB APP

  9. 在打开的窗口中,选择 Settings 选项卡。

  10. 对于 Application Callback URL,请输入:https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/login

    例如:https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn/fed/login

    要查找这些名称,请参阅 准备工作

  11. 对于 Settings,用以下代码替换内容:

      {
             "audience": "https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn",
             "recipient": "https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/login",
             "signatureAlgorithm": "rsa-sha256",
             "digestAlgorithm": "sha256",
             "destination": "https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/login",
             "nameIdentifierProbes": [
                  "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
              ],
             "logout": {
                "callback": "https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/logout"
              },
             "binding": "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
        }
    
    Copy

    其中:

    <orgname> is the name of your Snowflake organization, and<my-snowflake-open-catalog-account-name> 是您的 Snowflake Open Catalog 账户名称。要查找这些名称,请参阅 准备工作

  12. 向下滚动并选择 Enable

    该按钮将变为 Save

  13. 要保存设置,请选择 Save

创建用户

这些用户将有权访问您的 Open Catalog 账户。

要在 Auth0 中创建用户,请按照下列步骤操作:

  1. 在 Auth0 控制台的左侧窗格中,选择 User Management > Users

  2. 选择 + Create User

  3. Create user 对话框中输入以下值:

    • 对于 Connection,选择 Username-Password-Authentication

    • 对于 Email,输入用户的电子邮件地址。

      备注

      此处输入的电子邮件地址必须与 [在 Open Catalog 中创建用户]((./sso-configure-open-catalog.md#create-a-user-in-the-open-catalog-account) 时使用的 LOGIN_NAME 匹配。

    1. 对于 PasswordRepeat Password,为用户输入相同的密码两次。

    2. 选择 Create

语言: 中文