大佬教程收集整理的这篇文章主要介绍了“Snowflake 仅支持来自单个 Azure AD 租户的单个安全集成”的解决方法,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在分享一个解决方案,因为我认为这对其他人有用。
按照 https://docs.snowflake.com/en/user-guide/oauth-azure.html 中的说明将我们的 Azure AD 与 Oauth 集成到 snowflake 后,我们遇到了问题。 snowflake 仅支持每个 AAD 租户一个安全集成。
因为我们想在客户端级别和用户级别同时使用集成;
create security integration (...)
external_oauth_token_user_R_181_11845@apPing_claim = 'sub'
vs
external_oauth_token_user_R_181_11845@apPing_claim = 'upn'
为了解决这个问题,我们在 AAD 中创建了两个自定义策略:
New-AzureADPolicy -DeFinition @('
{
"ClaimsmapPingPolicy":
{
"Version":1,"IncludeBasicclaimset":"true","ClaimsscheR_181_11845@a": [{"source":"application","ID":"objectID","JwtClaimType":"sfuser"}]
}
}') -displayname "snowflakeUserObjectClaims" -Type "ClaimsmapPingPolicy"
和
New-AzureADPolicy -DeFinition @('
{
"ClaimsmapPingPolicy":
{
"Version":1,"ClaimsscheR_181_11845@a": [{"source":"user","ID":"userprincipalname","JwtClaimType":"sfuser"}]
}
}') -displayname "snowflakeUserUpnClaims" -Type "ClaimsmapPingPolicy"
然后,这些可以与应用程序的一个应用程序注册和用户的另一个应用程序注册相关联(“Add-AzureADservicePrincipalPolicy”)。换句话说,这些声明中的每一个都将始终包括“sfuser”声明。这还需要手动更改应用程序清单:
"acceptMappedClaims": true,我们现在可以使用我们的新声明在 snowflake 中创建安全集成:
create security integration (...)
external_oauth_token_user_R_181_11845@apPing_claim = 'sfuser'
snowflake 能够使用新声明来验证来自我们两个 app.registrations 的请求。
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)
以上是大佬教程为你收集整理的“Snowflake 仅支持来自单个 Azure AD 租户的单个安全集成”的解决方法全部内容,希望文章能够帮你解决“Snowflake 仅支持来自单个 Azure AD 租户的单个安全集成”的解决方法所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。