云服务器价格_云数据库_云主机【优惠】最新活动-搜集站云资讯

微软云_网站建设公司哪个好_年度促销

小七 141 0

在powerbi和Snowflake之间使用SSO

在powerbi和Snowflake之间使用SSO2020年2月14日|7分钟读取作者:维卡斯如何使用雪花,雪花技术客户喜欢雪花云数据平台,因为它安全、方便地访问任何具有无限可扩展性的数据。单点登录(SSO)是实现安全和轻松访问数据的功能之一。当从Microsoft Power BI连接到雪花时,我们与Microsoft合作,为您带来无缝访问体验。为了帮助实现这一点,我们宣布了powerbi和Snowflake之间的SSO预览。微软发布了一个针对雪花的本机Power BI连接器,它支持从Power BI桌面或Power BI服务连接到Snowflake的用户的SSO。它为联合客户解决了一个重要的用例,即集成他们的身份提供者(IdP)进行身份验证,如azuread(AAD)、Okta等,同时提供无缝的SSO体验。我们将首先从powerbi桌面开始,然后转到powerbi服务。使用Power BI桌面连接到雪花如果您使用2019年12月及以上版本的Power BI桌面,则在连接到雪花时,您将看到一个名为Microsoft帐户的附加选项。如果您使用Microsoft帐户选项进行连接,则会打开一个应用内浏览器窗口,将您重定向到使用AAD租户进行身份验证。如果AAD是您的主IdP,则需要输入AAD或链接的Active Directory凭据。如果您的身份管理员已将AAD与另一个IdP(如Okta)集成,您将被重定向到该IdP进行身份验证。要获得上述体验,您需要在雪花中执行一次性设置。以您的Snowflake帐户中的ACCOUNTADMIN身份登录,并创建本文档中描述的安全集成。确保powerbi用户存在于Snowflake中,并且它也与AAD中的用户匹配。您可以通过安全集成设置以多种方式设置用户匹配规则,但最常见的方法是使用AAD中的UPN值来匹配雪花用户的登录名。现在,您可以使用AAD或链接的IdP将powerbi连接到Snowflake,以便进行直接查询和导入体验。以下是旧版本的Power BI Desktop(2019年12月之前的版本)和较新版本之间的一些相同点和不同点:相似之处:用于连接的角色是雪花用户的默认_角色集。如果没有为用户设置默认的\u角色,则公共角色将用于连接。如果您正在使用AWS PrivateLink或Azure Private Link连接到雪花,则可以使用帐户的PrivateLink或Private Link URL从Power BI桌面连接,但不能从Power BI服务连接。如果使用通用ODBC连接连接到雪花(例如传递未通过Power BI Desktop公开的其他连接参数),则可以使用本地身份验证继续执行此操作,但不能使用使用Microsoft帐户功能的新身份验证。差异:对于旧版本的powerbidesktop,您必须下载雪花驱动程序。在2019年12月及以上版本的Power BI Desktop中,您不再需要下载雪花驱动程序,因为它嵌入了桌面版本。当您将Power BI Desktop从旧版本升级到2019年12月版本或更高版本时,嵌入的雪花驱动程序会自动获取连接设置。因此,对于Power BI桌面用户,不需要额外的步骤,除非您希望他们从本地身份验证切换到由Microsoft帐户选项支持的SSO。接下来,让我们看看powerbi服务。使用Power BI服务连接到雪花当您向Power BI服务发布Power BI桌面数据集或报告时,用户凭据不会传播到Power BI服务。您需要在powerbi服务中分别为连接设置身份验证。过去,您必须设置本地网关,下载雪花ODBC驱动程序,并使用服务帐户设置与雪花的连接。现在,powerbi服务嵌入了Snowflake ODBC驱动程序并直接连接到Snowflake帐户,无需设置网关。如果要继续对雪花使用本地身份验证,但只想从本地网关切换到直接连接,则可以通过为数据集选择"编辑凭据"并选择"基本"作为身份验证方法来禁用Power BI服务中的网关,如以下屏幕截图所示:如果您希望在不使用本地身份验证(即雪花中的密码)的情况下使用公共服务帐户连接到雪花,请从"身份验证方法"下拉菜单中选择OAuth,但不要选中"最终用户通过DirectQuery访问此数据源时使用他们自己的OAuth2凭据"复选框。这允许您使用AAD(或链接的IdP)对服务帐户用户进行Snowflake身份验证。在DirectQuery模式下为powerbi的业务用户使用SSO访问雪花接下来,让我们介绍一下Power BI租户的业务用户在DirectQuery模式下访问雪花时的SSO体验。假设您的组织中有1000个用户需要连接到Snowflake,并且希望他们使用SSO进行连接,这样就不会向他们显示任何附加的身份验证提示。使用SSO,可以将每个用户的连接范围缩小到他们的角色,而不是使用与服务帐户一起使用的超权限角色。您还可以在雪花中跟踪这1000个用户中每个用户发出的查询。为此,请使用以下说明。首先,您需要让powerbi管理员在powerbi管理门户中启用"雪花SSO"选项。然后,按照本文档中的信息在雪花中设置安全集成。如果您已经为Power BI Desktop进行了设置,则可以跳过此步骤。powerbi桌面和powerbi服务都使用相同的集成。请确保安全集成中匹配的用户属性设置正确,以便可以使用AAD令牌中指定的传入用户在雪花中查找用户。下一步,创建powerbi服务业务用户,他们将直接查询成雪花。一个好的做法是使用跨域身份管理系统(SCIM)在AAD或您的IdP之间设置自动用户同步。你可以在这里读到更多关于SCIM的信息。现在,指示报表发布者导航到Workspace→dataset并从"Authentication method"下拉菜单中选择"editcredenticates"→OAuth。然后指示他们选中"最终用户通过DirectQuery访问此数据源时使用自己的OAuth2凭据"复选框喂!现在,您的业务用户可以使用SSO从powerbi服务连接到Snowflake。笔记:当您选中该复选框时,Power BI假定您在DirectQuery模式下使用AAD(OAuth2)凭据。如果在雪花帐户上设置了帐户级别的网络策略,则需要将Power BI租户正在运行的Azure数据中心的IP范围添加到该网络策略中,也可以仅为将从Power BI服务连接到Snowflake的用户进行设置。请参阅Power BI文档或联系Power BI支持以获取Power BI租户IP范围。从Power BI服务直接连接到雪花不支持AWS PrivateLink和Azure Private Link。如果您需要使用这两种服务中的任何一种,请使用网络中的Power BI网关连接到雪花的PrivateLink或专用链接帐户URL。您将无法在网关中使用SSO功能。这个过程是如何工作的?AAD为powerbi服务的登录提供电源。因此,当用户登录到powerbi服务时,该服务拥有AAD令牌。生成此令牌仅供Power BI服务使用,无法按"原样"发送到雪花。因此,powerbi服务将这个令牌与AAD交换,以获得一个可以发送到Snowflake的新令牌。使用新的安全令牌向用户发送令牌,并使用新的安全性声明来验证它。这是一个详细的流程图。用户使用AAD登录到Power BI服务。(可选)如果客户的IdP是Okta、Active Directory联合身份验证服务(ADFS)等,AAD会在用户登录到Power BI服务之前通过安全断言标记语言(SAML)身份验证过程将用户带到IdP。当用户连接到Snowflake时,Power BI服务要求AAD为其提供雪花的令牌。powerbi服务使用嵌入的Snowflake(SF)驱动程序将AAD令牌作为连接字符串的一部分发送到Snowflake。Snowflake验证令牌,从令牌中提取用户名,将其映射到Snowflake用户,并为Power BI服务创建数据库(db)会话。然后,powerbi服务使用db会话发送查询,直到空闲会话超时(4小时)。当会话超时时,powerbi会重复步骤3-5以无缝地获得新的db会话。当使用AAD令牌进行身份验证时,Snowflake执行哪些安全验证?雪花在令牌中使用issuer(iss)声明来查找匹配的安全集成。从安全集成中,它提取签名证书URL,并使用证书验证令牌签名。一旦使用签名验证验证令牌的完整性,它将检查访问群体值匹配和令牌过期,然后从令牌中提取用户名以匹配雪花用户。一旦找到匹配项,它将使用用户的默认角色创建雪花会话。是否支持计划报告?是的,SSO支持Power BI服务中的计划报告。在powerbi运行报告的预定时间,它使用相同的机制为Snowfla获取新的AAD令牌