为 Snowflake Open Catalog 配置身份提供商 (IdP)¶
本主题为您介绍如何 配置 Okta 或 配置 Auth0,以将其用作 Snowflake Open Catalog 账户的 IdP。
准备工作¶
要为 Open Catalog SSO 设置 IdP,您需要使用完整的 Open Catalog 账户标识符,其中包括您的 Snowflake 组织名称和 Open Catalog 账户名称;例如:<orgname>.<my-snowflake-open-catalog-account-name>
。
要查找您的 Snowflake 组织名称 (
<orgname>
),请参阅查找账户的组织和账户名称 <https://docs.snowflake.com/en/user-guide/admin-account-identifier.html#label-account-name-find>
_。要查找您的 Snowflake Open Catalog 账户名称 (
<my-snowflake-open-catalog-account-name>
),请参阅 :doc:/opencatalog/find-account-name
。
配置 Okta¶
备注
要为您的公司或组织创建一个 Okta 账户,请参阅 https://www.okta.com/ (https://www.okta.com/)。
要将 Okta 设置为 Open Catalog 账户的 IdP,请按照以下步骤操作:
在 Okta 中为您的 Snowflake Open Catalog 账户创一个应用程序¶
登录 Okta Admin Portal。
在左侧窗格中,选择 Applications > Applications,然后选择 Browse App Catalog。
在搜索栏中搜索并选择 Snowflake 应用程序。
选择 Add Integration。
在 General settings 选项卡中,输入以下值:
在 Application label中,输入 Snowflake Open Catalog。
对于 Subdomain,输入您的 Snowflake 组织名称和 Snowflake Open Catalog 账户名称,格式为
<orgname>-<my-snowflake-open-catalog-account-name>
。例如:
ABCDEFG-MYACCOUNT1
。 要查找这些名称,请参阅 准备工作。
在 Sign-On Options - Required 下,选择 SAML 2.0。
在 Credentials Details 下,为 Application username format 选择 Okta username。
这是 Okta 传递给 Snowflake 的 NameID 值,必须与 Snowflake Open Catalog 中每个用户的 LOGIN_NAME 值相匹配。
选择 Done。
选择 View Setup Instructions。
这会打开一个新的浏览器选项卡,其中包含有关配置您的 Snowflake Open Catalog 账户以使用 SSO 的信息。
从设置说明中复制以下值,并粘贴到文本编辑器中,以供稍后使用:
实体 ID(有时称为颁发者 URL)
IDP SSO URL(有时称为登录 URL)
身份验证证书
创建用户(人)¶
Okta 使用的 人 一词指的是 用户。这些用户将有权访问您的 Open Catalog 账户。
要在 Okta 中创建用户,请按照下列步骤操作:
在 Okta Admin Portal 中,从左侧窗格中选择 Directory > People。
选择 Add Person。
输入用户详细信息:
字段
值
User type
选择 User。
First name
用户的名字。
Last name
用户的姓氏。
Username
用户的电子邮件地址。
注意:此处输入的 Username 必须与 在 Open Catalog 中创建用户 时使用的 LOGIN_NAME 一致。Primary email
此字段将自动填充您输入的 用户名。
Activation
选择 Activate now。
I will set password
选择此选项,然后输入用户密码。
选择 Save。
为用户分配 Snowflake Open Catalog 应用程序¶
将 Open Catalog 应用程序分配给用户后,即可授权其访问您的 Open Catalog 账户的权限。在 Open Catalog 中创建用户 时,您将授予其访问账户的权限。
要在 Okta 中将 Snowflake Open Catalog 应用程序分配给用户,请按照以下步骤操作:
在 Okta Admin Portal 中,导航到您之前创建的 Snowflake Open Catalog 应用程序。
选择 Assignments 选项卡。
通过个人用户分配 (Assign to People) 或群组分配 (Assign to Groups),将应用程序分配给用户。
配置 Auth0¶
备注
要为您的公司或组织创建 Auth0 账户,请参阅 https://auth0.com/ (https://auth0.com/)。
要将 Auth0 设置为 Open Catalog 账户的 IdP,请按照以下步骤操作:
创建 Snowflake Open Catalog 应用程序¶
登录 Auth0 控制台。
选择 Applications > Applications > + Create Application。
为 Snowflake Open Catalog 创建一个应用程序:
选择 Native。
输入应用程序名称:Snowflake Open Catalog
选择 Create。
在 Settings 选项卡的 Application URIs 下,提供以下详细信息:
字段
值
Application Login URI
https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn
例如:https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn
要查找这些名称,请参阅 准备工作。Allowed Callback URLs
https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn
https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/login
例如:https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn <br /><br /> https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn/fed/login
要查找这些名称,请参阅 准备工作。Allowed Logout URLs
https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/logout
例如:https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn/fed/logout
要查找这些名称,请参阅 准备工作。在 Advanced settings 下,选择 Grant Types 选项卡。
选择 Password 复选框。接受其他设置的默认值。
在页面顶部,选择 Addons 选项卡。
选择 SAML2 WEB APP。
在打开的窗口中,选择 Settings 选项卡。
对于 Application Callback URL,请输入:
https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/login
例如:https://ABCDEFG-MYACCOUNT1.snowflakecomputing.cn/fed/login
要查找这些名称,请参阅 准备工作。对于 Settings,用以下代码替换内容:
{ "audience": "https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn", "recipient": "https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/login", "signatureAlgorithm": "rsa-sha256", "digestAlgorithm": "sha256", "destination": "https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/login", "nameIdentifierProbes": [ "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"" ], "logout": { "callback": "https://<orgname>-<my-snowflake-open-catalog-account-name>.snowflakecomputing.cn/fed/logout" }, "binding": "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" }
其中:
<orgname>
is the name of your Snowflake organization, and<my-snowflake-open-catalog-account-name>
是您的 Snowflake Open Catalog 账户名称。要查找这些名称,请参阅 准备工作。向下滚动并选择 Enable。
该按钮将变为 Save。
要保存设置,请选择 Save。
创建用户¶
这些用户将有权访问您的 Open Catalog 账户。
要在 Auth0 中创建用户,请按照下列步骤操作:
在 Auth0 控制台的左侧窗格中,选择 User Management > Users。
选择 + Create User。
在 Create user 对话框中输入以下值:
对于 Connection,选择 Username-Password-Authentication。
对于 Email,输入用户的电子邮件地址。
备注
此处输入的电子邮件地址必须与 [在 Open Catalog 中创建用户]((./sso-configure-open-catalog.md#create-a-user-in-the-open-catalog-account) 时使用的 LOGIN_NAME 匹配。
对于 Password 和 Repeat Password,为用户输入相同的密码两次。
选择 Create。