Snowflake

Этот соединитель доступен в следующих продуктах и регионах:

Услуга	Class	Регионы
Copilot Studio	Премия	Все регионы Power Automate , кроме следующих:      - Правительство США (GCC)      - Правительство США (GCC High)      — Облако Китая, управляемое 21Vianet      - Министерство обороны США (DoD)
Логические приложения	Стандарт	Все регионы Logic Apps , кроме следующих:      — Регионы Azure для государственных организаций      — Регионы Azure Для Китая      - Министерство обороны США (DoD)
Power Apps	Премия	Все регионы Power Apps , кроме следующих:      - Правительство США (GCC)      - Правительство США (GCC High)      — Облако Китая, управляемое 21Vianet      - Министерство обороны США (DoD)
Power Automate	Премия	Все регионы Power Automate , кроме следующих:      - Правительство США (GCC)      - Правительство США (GCC High)      — Облако Китая, управляемое 21Vianet      - Министерство обороны США (DoD)

Контакт
Имя	Поддержка Snowflake
URL	https://www.snowflake.com/support
Адрес электронной почты	[email protected]

Метаданные соединителя
Publisher	Snowflake
Website	https://www.snowflake.com
Политика конфиденциальности	https://www.snowflake.com/privacy-policy
Категории	Данные; Маркетинг

Подробное описание соединителя

В этой статье описываются возможности и действия соединителя Snowflake.

Поддерживаемые возможности Для Power Automate

• Пользователи могут создавать потоки и добавлять действия для выполнения и возврата результатов пользовательских инструкций SQL с подключением Snowflake.

Поддерживаемые возможности для Power Apps

• Сначала пользователи должны создавать виртуальные таблицы, а затем загружать их в приложения с подключением Snowflake (подключение, созданное только с помощью проверки подлинности субъекта-службы). Узнайте, как создавать виртуальные таблицы: создавать и изменять виртуальные таблицы с помощью Microsoft Dataverse — Power Apps | Microsoft Learn.

Поддерживаемые возможности для Logic Apps

• Пользователи могут создавать потоки и добавлять действия для выполнения и возврата результатов пользовательских инструкций SQL с подключением Snowflake.

Поддержка виртуальной сети

Благодаря поддержке виртуальной сети Azure для Power Platform пользователи могут интегрировать Power Platform с ресурсами в своей виртуальной сети, не предоставляя их через общедоступный Интернет. Чтобы подключиться к виртуальной сети, выполните указанные ниже действия.

1. Узнайте, как настроить Приватный канал Azure и Snowflake
2. Узнайте, как настроить поддержку виртуальной сети для Power Platform

Дополнительные сведения о виртуальной сети см. в обзоре поддержки виртуальной сети.

Предпосылки

• У пользователей должен быть идентификатор Microsoft Entra для внешней авторизации. Поток авторизации для PowerApps использует субъект-службу, и Power Automate будет поддерживать как потоки Service-Principal, так и от имени пользователя.
• У пользователей должна быть лицензия Power Apps уровня "Премиум".
• У пользователей должна быть учетная запись Snowflake.

Несколько вещей, которые следует учитывать в отношении конфигурации для использования соединителя Snowflake

1. Сервер авторизации может предоставить клиенту OAuth маркер доступа от имени пользователя.DELEGATED BASED AUTH
2. Сервер авторизации может предоставить клиенту OAuth маркер доступа для самого клиента OAuth, который называется SP BASED AUTH.
3. Для клиента Oauth обязательно добавьте универсальный код ресурса (URI перенаправления) для делегированной базы AUTHданных.
   URI перенаправления — https://global.consent.azure-apim.net/redirect/snowflakev2
4. Необходимо создать интеграцию безопасности с аудиториями.
5. Для делегированной проверки подлинности external_oauth_token_user_mapping_claim = 'upn'
6. Для проверки подлинности на основе sp external_oauth_token_user_mapping_claim = 'sub'
7. Во время создания интеграции безопасности опишите созданную интеграцию и проверьте, находится ли роль пользователя Snowflake в списке заблокированных или нет. Если в списке заблокирован, измените или удалите роль пользователя в списке заблокированных.
   
8. Убедитесь, что роли login_name настроены правильно в учетной записи Snowflake. Это можно проверить с помощью пользователей и ролей > вкладки > "Администраторы" и "Выбрать пользователя" и изменить сведения о пользователе.
   

Действия по настройке

А. Настройка ресурса OAuth в идентификаторе Microsoft Entra

1. Перейдите на портал Microsoft Azure и выполните проверку подлинности.
2. Перейдите к идентификатору Microsoft Entra.
3. Щелкните "Регистрация приложений".
4. Щелкните "Создать регистрацию".
5. Введите "Snowflake OAuth Resource" или аналогичное значение в качестве имени.
6. Убедитесь, что для типов поддерживаемых учетных записей задано значение "Один клиент".
7. Нажмите кнопку "Зарегистрировать".
8. Щелкните "Предоставить API".
9. Щелкните ссылку рядом с URI идентификатора приложения , чтобы добавить URI идентификатора приложения. URI идентификатора приложения будет иметь формат Application ID URI <api://9xxxxxxxxxxxxxxxxxx>
10. Для делегированной проверки подлинности (снимок экрана здесь):
    1. Щелкните "Добавить область", чтобы добавить область, представляющую роль Snowflake.
    2. Выберите, кто может согласиться.
    3. Добавьте описание.
    4. Нажмите кнопку "Добавить область", чтобы сохранить.
       Пример: session:scope:analyst
       
       OR
       
       
11. Для проверки подлинности субъекта-службы (снимок экрана здесь):
    Чтобы добавить роль Snowflake в качестве роли для потоков OAuth, где программный клиент запрашивает маркер доступа для себя:

    1. Щелкните манифест.

    2. appRoles Найдите элемент.

    3. Введите роль приложения со следующими параметрами, роль Snowflake должна быть той, которая имеет доступ к хранилищу и привилегии использования схемы (см. здесь подробные сведения о валях манифестов).

    4. См. пример определения ниже:
       
       Манифест роли приложения, как показано ниже. Избегайте использования ролей с высоким уровнем привилегий, например ACCOUNTADMIN, SECURITYADMIN или ORGADMIN.
       

        "appRoles":[
            {
                "allowedMemberTypes": [ "Application" ],
                "description": "Analyst.",
                "displayName": "Analyst",
                "id": "3ea51f40-2ad7-4e79-aa18-12c45156dc6a",
                "isEnabled": true,
                "lang": null,
                "origin": "Application",
                "value": "session:role:analyst"
            }
        ]
       

    5. Нажмите кнопку "Сохранить"

12. При необходимости, если интеграция безопасности уже используется в Snowflake с другим продуктом Майкрософт, таким как PowerBI и с другим сопоставлением утверждений, манифест должен быть изменен. Манифесту потребуется выдавать маркеры с помощью другого издателя, чтобы можно было создать отдельную интеграцию безопасности в Snowflake с уникальным сопоставлением утверждений.
    a. Щелкните манифест.
    б. Найдите атрибут requestedAccessTokenVersion и задайте значение "2".
    • Если requestedAccessTokenVersion задано значение "2", маркер доступа будет иметь издателя формата: https://login.microsoftonline.com/<Tenant-ID>/v2.0
    • Если requestedAccessTokenVersion задано значение "1", маркер доступа будет иметь издателя формата: https://sts.windows.net/<tenant-ID>/
      c. Нажмите кнопку "Сохранить".

В. Создание клиента OAuth в идентификаторе Microsoft Entra

1. Перейдите на портал Microsoft Azure и выполните проверку подлинности.
2. Перейдите в Azure Active Directory.
3. Щелкните "Регистрация приложений".
4. Щелкните "Создать регистрацию".
5. Введите имя клиента, например Snowflake OAuth Client.
6. Убедитесь, что для типов поддерживаемых учетных записей задано значение "Один клиент".
7. Нажмите кнопку "Зарегистрировать".
8. В разделе "Обзор " скопируйте ClientID поле идентификатора приложения (клиента ). Это будет известно в <OAUTH_CLIENT_ID> следующих шагах.
9. Щелкните сертификаты и секреты , а затем новый секрет клиента.
10. Добавьте описание секрета.
11. В целях тестирования выберите длинные секреты, но для рабочей среды следуйте необходимым политикам безопасности.
12. Нажмите кнопку "Добавить". Скопируйте секрет. Это будет известно в <OAUTH_CLIENT_SECRET> следующих шагах.
13. Для делегированной проверки подлинности:
    a. Щелкните "Управление разрешениями>API".
    б. Нажмите кнопку "Добавить разрешение".
    c. Щелкните "Мои API".
    d. Щелкните ресурс Snowflake OAuth , созданный в разделе "Настройка ресурса Oauth" в идентификаторе Microsoft Entra
    д) Щелкните поле "Делегированные разрешения".
    f. Проверьте разрешение , связанное с областями, которые вручную определены в приложении, которые должны быть предоставлены этому клиенту.
    ж. Нажмите кнопку "Добавить разрешения".
    х. Нажмите кнопку "Предоставить согласие администратора" , чтобы предоставить клиенту разрешения. Обратите внимание, что для тестирования разрешения настраиваются таким образом. Однако в рабочей среде предоставление разрешений таким образом не рекомендуется.
    и. Нажмите кнопку Да.
    ж. Щелкните "Управление —> проверка подлинности", добавьте платформу — > Веб-сайт и введите универсальный код ресурса (URI перенаправления)
    https://global.consent.azure-apim.net/redirect/snowflakev2
    
    OR
    
    
14. Для проверки подлинности субъекта-службы:
    a. Щелкните "Управление разрешениями>API".
    б. Нажмите кнопку "Добавить разрешение".
    c. Щелкните "Мои API".
    d. Щелкните ресурс Snowflake OAuth, созданный в разделе "Настройка ресурса Oauth" в идентификаторе Microsoft Entra.
    д) Щелкните поле "Разрешения приложения ".
    f. Проверьте разрешение, связанное с ролями, которые вручную определены в манифесте приложения, которые должны быть предоставлены этому клиенту.
    ж. Нажмите кнопку "Добавить разрешения".
    х. Нажмите кнопку "Предоставить согласие администратора" , чтобы предоставить клиенту разрешения. Обратите внимание, что для тестирования разрешения настраиваются таким образом. Однако в рабочей среде предоставление разрешений таким образом не рекомендуется.
    и. Щелкните Да.

С. Сбор сведений Azure AD для Snowflake

1. Перейдите на портал Microsoft Azure и выполните проверку подлинности.
2. Перейдите в Azure Active Directory.
3. Щелкните "Регистрация приложений".
4. Щелкните ресурс Snowflake OAuth, созданный в разделе "Настройка ресурса Oauth" в идентификаторе Microsoft Entra.
5. Щелкните "Конечные точки" в интерфейсе обзора.
6. Скопируйте конечную точку маркера OAuth 2.0 справа и запишите URL-адреса для метаданных OpenID Connect и метаданных federation Connect.

• Конечная точка токена OAuth 2.0 (версия 2) будет известна как описанная <AZURE_AD_OAUTH_TOKEN_ENDPOINT> ниже конфигурация. Конечная точка должна быть похожа https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/tokenна .
• Для метаданных OpenID Connect откройте в новом окне браузера.
  • jwks_uri Найдите параметр и скопируйте его значение.
  • Это значение параметра будет известно как в <AZURE_AD_JWS_KEY_ENDPOINT> следующих шагах конфигурации. Конечная точка должна быть похожа https://login.microsoftonline.com/<tenant-id>/discovery/v2.0/keysна .
• В документе метаданных федерации откройте URL-адрес в новом окне браузера.
  • "entityID" Найдите параметр в XML Root Element поле и скопируйте его значение.
  • Это значение параметра будет известно как в <AZURE_AD_ISSUER> следующих шагах конфигурации. Значение entityID должно совпадать со https://sts.windows.net/<tenant-id>/значением .

D. Проверка установки авторизации entra

Рекомендуется протестировать конфигурацию в настоящее время, используйте приведенный ниже curl и проверьте, выдает ли Entra маркер с помощью любого средства тестирования API, такого как бессонница или другие.

• Делегированная проверка подлинности: (необязательно)

  • Для получения кода необходимо выполнить предыдущий шаг, чтобы получить код, можно выполнить этот документ .
    

    curl --request POST --url https://login.microsoftonline.com/<TENANT_ID>/oauth2/token --header 'Content-Type: multipart/form-data' --form client_id=<AAD_CLIENT_ID> --form client_secret=< AAD_CLIENT_SECRET> --form resource=< AAD_RESOURCE_ID> --formgrant_type=authorization_code --form code=<CODE_GENERATED_ABOVE> --form redirect_uri=https://localhost
    

  • Примечание. Добавьте URI перенаправления в клиентское приложение AAD.
    

OR

• Проверка подлинности субъекта-службы:
  

  curl -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" \ --data-urlencode "client_id=client_id from above B.8" \ --data-urlencode "client_secret=<Secret from above B.12>" \ --data-urlencode "grant_type=client_credentials" \ --data-urlencode "scope=api://<Appl_URI_ID>/.default" \'https://login.microsoftonline.com/<tenant_id>/oauth2/v2.0/token'
  

Чтобы проверить маркер, выполните следующую команду в Snowflake:

select system$verify_external_oauth_token(‘<token>’);

E. Создание интеграции безопасности с аудиториями

Параметр external_oauth_audience_list интеграции безопасности должен соответствовать URI идентификатора приложения, который был указан при настройке идентификатора Microsoft Entra.

• Делегированная проверка подлинности:
  

  create security integration external_oauth_azure_1    
      type = external_oauth
      enabled = true
      external_oauth_type = azure
      external_oauth_issuer = '<AZURE_AD_ISSUER>'
      external_oauth_jws_keys_url = '<AZURE_AD_JWS_KEY_ENDPOINT>'
      external_oauth_audience_list = ('<SNOWFLAKE_APPLICATION_ID_URI>')
      external_oauth_token_user_mapping_claim = ‘upn’ 
      external_oauth_snowflake_user_mapping_attribute = 'login_name or email address';
  

Если интеграция безопасности для Azure AD уже настроена, используйте:

alter security integration external_oauth_azure_1 set external_oauth_token_user_mapping_claim = ('sub','upn');  

В случае делегированной проверки подлинности пользователь login_name Snowflake или email_address должен соответствовать электронной почте Entra пользователя, который будет запускать поток Power Automate.

Пример:

ALTER USER SNOWSQL_DELEGATE_USER  
LOGIN_NAME = '<ENTRA-USERID>' or EMAIL_ADDRESS = ‘ENTRA-USERID’ 
DISPLAY_NAME = 'SnowSQL Delegated User'  
COMMENT = 'A delegate user for SnowSQL client to be used for OAuth based connectivity'; 

OR

• Проверка подлинности субъекта-службы:
  

  create security integration external_oauth_azure_2 
      type = external_oauth 
      enabled = true 
      external_oauth_type = azure 
      external_oauth_issuer = '<AZURE_AD_ISSUER>' 
      external_oauth_jws_keys_url = '<AZURE_AD_JWS_KEY_ENDPOINT>' 
      external_oauth_audience_list = ('<SNOWFLAKE_APPLICATION_ID_URI>') 
      external_oauth_token_user_mapping_claim = ‘sub’     
      external_oauth_snowflake_user_mapping_attribute = 'login_name';
  

Перейдите ниже только для настройки проверки подлинности субъекта-службы.

Создайте пользователя для подключения на основе субъекта-службы:

• Подзначное значение должно быть сопоставлено пользователю в Snowflake, избегайте использования учетных записей с высокими привилегиями Accountadmin, Orgadmin, Securityadmin.

  CREATE OR REPLACE USER SNOWSQL_OAUTH_USER  
  LOGIN_NAME = '<subvalue from decoded token>'  
  DISPLAY_NAME = 'SnowSQL OAuth User'  
  COMMENT = 'A system user for SnowSQL client to be used for OAuth based connectivity'; 
  
  CREATE ROLE ANALYST; 
  
  GRANT ROLE ANALYST TO USER SNOWSQL_OAUTH_USER;
  

F. Проверка доступа Snowflake [необязательно]

• Делегированная проверка подлинности

  snowsql -a organization-locator -u '[email protected]' --rolename <rolename> --authenticator oauth --token "<token-value>"
  

OR

• Проверка подлинности субъекта-службы

  snowsql -a <snowflake-accountname> -u ‘sub-value’ -r <snowflake-role from A.11.h above> –authenticator oauth –token <output from curl at step D> 
  

Клиенты, использующие соединитель Snowflake [DEPRECATED]

Применимо: все регионы

Чтобы перейти из старого соединителя Snowflake в новый, выполните указанные ниже действия.

Этот параметр предназначен только для старых подключений без явного типа проверки подлинности и предоставляется только для обратной совместимости.

Если поток Power Automate с использованием предыдущих соединителей создан (теперь помечен как устаревший), необходимо настроить новое подключение, выполнив описанные выше действия, и обновить существующие потоки, чтобы использовать новое подключение.

Действие "Преобразование строк результирующих наборов из массива в объекты" также потребуется удалить, так как эта функция теперь упакована в "Проверка состояния и получение результатов".

Известные проблемы и ограничения

1. В настоящее время при выполнении команды соединения не поддерживаются повторяющиеся столбцы. Решением будет добавление псевдонимов в повторяющиеся столбцы.

2. Другие ограничения, связанные с виртуальными таблицами, перечислены здесь.

3. Виртуальные таблицы поддерживаются только с подключениями, созданными с проверкой подлинности субъекта-службы.

4. При использовании проверки подлинности принципа службы пользователь должен иметь доступ на чтение к таблице information_schema.columns .

5. Подключения Snowflake нельзя создавать непосредственно в приложениях Canvas, сведения об ошибках и шаги, необходимые для устранения проблемы, как показано ниже.

   1. Ошибка будет отображаться, если подключение Snowflake создается непосредственно в приложении Canvas, как показано на снимке экрана ниже, как показано на следующем снимке экрана
   2. Вместо добавления соединителя непосредственно в приложение Canvas создайте подключение субъекта-службы (не делегировано) из-за пределов приложения Canvas
   3. Используйте созданное выше соединение Snowflake и создайте к виртуальной таблице
   4. После этого виртуальная таблица может быть загружена в приложение Canvas и сборка из приложения Canvas может продолжить
   5. Выше приведенная выше таблица ANIMALS — это виртуальная таблица, созданная с помощью подключения Snowflake, как упоминалось выше.

Общие ограничения

Имя	Ценность
Максимальное количество запросов, обрабатываемых соединителем одновременно	50

Создание подключения

Соединитель поддерживает следующие типы проверки подлинности:

Субъект-служба (приложение идентификатора Microsoft Entra)	Используйте приложение Идентификатора Microsoft Entra для доступа к базе данных Snowflake.	Все регионы	Доступный для общего пользования
Делегированная проверка подлинности субъекта-службы (приложение идентификатора Microsoft Entra ID)	Используйте приложение Идентификатора Microsoft Entra для доступа к базе данных Snowflake.	Все регионы	Доступный для общего пользования
По умолчанию [не рекомендуется]	Этот параметр предназначен только для старых подключений без явного типа проверки подлинности и предоставляется только для обратной совместимости.	Все регионы	Недоступен для совместного использования

Субъект-служба (приложение идентификатора Microsoft Entra)

Идентификатор проверки подлинности: oauthSP

Применимо: все регионы

Используйте приложение Идентификатора Microsoft Entra для доступа к базе данных Snowflake.

Это совместное подключение. Если приложение power app предоставлено другому пользователю, подключение также предоставляется совместно. Дополнительные сведения см. в обзоре соединителей для приложений на основе холста — Power Apps | Документация Майкрософт

Имя	Тип	Description	Обязательно
Tenant	струна		True
Идентификатор клиента	струна		True
Секрет клиента	securestring		True
URL-адрес ресурса	струна	URL-адрес аудитории Snowflake OAuth (URL-адрес ресурса)	True
URL-адрес SaaS Snowflake	струна	URL-адрес Snowflake, не включая префикс HTTPS (например, fnpuupu-in12345.snowflakecomputing.com)	True
База данных Snowflake	струна	Указание базы данных для подключения к	True
Имя хранилища	струна	Хранилище Snowflake для подключения к	True
Role	струна	Роль Snowflake для подключения как	True
Schema	струна	Схема Snowflake для подключения к	True

Делегированная проверка подлинности субъекта-службы (приложение идентификатора Microsoft Entra ID)

Идентификатор проверки подлинности: oauthSPUserDelegated

Применимо: все регионы

Используйте приложение Идентификатора Microsoft Entra для доступа к базе данных Snowflake.

Это совместное подключение. Если приложение power app предоставлено другому пользователю, подключение также предоставляется совместно. Дополнительные сведения см. в обзоре соединителей для приложений на основе холста — Power Apps | Документация Майкрософт

Имя	Тип	Description	Обязательно
Идентификатор клиента	струна	Идентификатор клиента OAuth Snowflake	True
Секрет клиента	securestring	Секрет клиента Snowflake OAuth	True
URL-адрес ресурса	струна	Url-адрес аудитории OAuth Snowflake (URL-адрес ресурса)	True

По умолчанию [не рекомендуется]

Применимо: все регионы

Этот параметр предназначен только для старых подключений без явного типа проверки подлинности и предоставляется только для обратной совместимости.

Это недоступно для общего доступа. Если приложение power предоставляется другому пользователю, пользователю будет предложено явно создать новое подключение.

Имя	Тип	Description	Обязательно
Это фиктивный заполнитель, необходимый для времени из-за ошибки мини-приложения подключения пользовательского интерфейса MCS. Любые изменения проверки подлинности должны вноситься в connectionParameterSets	струна	Это фиктивный заполнитель, необходимый для времени из-за ошибки мини-приложения подключения пользовательского интерфейса MCS. Любые изменения проверки подлинности должны вноситься в connectionParameterSets

Ограничения регулирования

Имя	Вызовы	Период обновления
Вызовы API для каждого подключения	900	60 секунд

Действия

Отмена выполнения инструкции	Отмена выполнения инструкции
Отправка инструкции SQL для выполнения	Отправка инструкции SQL для выполнения
Проверка состояния и получение результатов	Проверьте состояние выполнения инструкции и получите результаты

Отмена выполнения инструкции

Отправка инструкции SQL для выполнения

Проверка состояния и получение результатов