Power BI SSO به Snowflake¶

این مبحث نحوه استفاده از Microsoft Power BI را برای نمونه سازی جلسه Snowflake و دسترسی به Snowflake با استفاده از یک ورود (SSO) توضیح می دهد.

در این تاپیک:

بررسی اجمالی¶

Snowflake به کاربران Microsoft Power BI اجازه می دهد تا با استفاده از اعتبارنامه Identity Provider و پیاده سازی OAuth 2. 0 به Snowflake متصل شوند تا تجربه SSO را برای دسترسی به داده های Snowflake فراهم کنند.

این ویژگی نیاز به پیاده سازی Power BI Gateway در محل را از بین می برد زیرا سرویس Power BI از یک درایور Snowflake تعبیه شده برای اتصال به Snowflake استفاده می کند.

گردش کار عمومی ¶

نمودار زیر جریان مجوز برای نمونه سازی یک جلسه Snowflake از Power BI را خلاصه می کند:

کاربر با استفاده از Microsoft Azure Active Directory (Azure AD) وارد سرویس Power BI می شود.

(اختیاری) اگر ارائه دهنده هویت Azure AD نباشد، Azure AD کاربر را از طریق احراز هویت SAML قبل از ورود کاربر به سرویس Power BI تأیید می کند.

هنگامی که کاربر به Snowflake متصل می شود، سرویس Power BI از Azure AD می خواهد تا یک توکن برای Snowflake به آن بدهد.

سرویس Power BI از درایور Snowflake تعبیه شده برای ارسال توکن Azure AD به Snowflake به عنوان بخشی از رشته اتصال استفاده می کند.

Snowflake توکن را اعتبارسنجی می کند، نام کاربری را از توکن استخراج می کند، آن را به کاربر Snowflake نگاشت می کند و با استفاده از نقش پیش فرض کاربر، یک جلسه Snowflake برای سرویس Power BI ایجاد می کند.

پیش نیازها¶

برای حساب Snowflake خود، لطفاً قبل از استفاده از ویژگی Power BI SSO موارد زیر را تأیید کنید:

در Snowflake، اگر از Network Policies استفاده می کنید، باید محدوده IP Microsoft Azure را که شامل منطقه Azure که در آن حساب Snowflake شما میزبانی می شود و هر منطقه Azure اضافی را در صورت لزوم، مجاز کنید.

برای ایجاد یک خط مشی شبکه که مختص Power BI برای منطقه Azure است که Snowflake on Azure شما در آن قرار دارد، دانلود JSON از مایکروسافت را برای منطقه خود جستجو کنید.

برای مثال، اگر حساب Snowflake در Azure شما در منطقه مرکزی کانادا قرار دارد، دانلود JSON را برای PowerBI. CanadaCentral جستجو کنید. محدوده آدرس IP را از لیست addressPrefixes انتخاب کنید. از این محدوده آدرس IP برای ایجاد یا به روز رسانی یک خط مشی شبکه در Snowflake استفاده کنید.

اگر لیست آدرس های پیشوند خالی است، لطفاً برای درخواست به روز رسانی با مایکروسافت تماس بگیرید.

اگر از چندین سرویس Microsoft Azure استفاده می کنید (مانند Power BI، SCIM)، با سرپرست Azure خود تماس بگیرید تا محدوده آدرس IP صحیح را تأیید کند تا مطمئن شوید خط مشی شبکه Snowflake دارای محدوده آدرس IP صحیح است تا به کاربران امکان دسترسی به Snowflake را بدهد.

یا login_name ، name یا ویژگی ایمیل برای کاربر در Snowflake باید به ویژگی Azure Ad UPN نقشه برداری کند. اگر ویژگی login_name تعریف نشده باشد ، آنگاه فرآیند به ویژگی Name پیش فرض می شود.

ملاحظات

اتصال خصوصی به سرویس Snowflake پشتیبانی می شود. در صورت لزوم استفاده از هر یک از این دو سرویس برای اتصال به Snowflake ، از دروازه On-Premises برای اتصال استفاده کنید.

بدون دروازه قدرت BI

اتصال خصوصی به سرویس Snowflake پشتیبانی نمی شود. برای سرویس Power BI و Power BI Desktop ، یک خط مشی شبکه ایجاد کنید تا به محدوده آدرس IP عمومی Azure Active Directory اجازه دهید. توجه داشته باشید که خط مشی های شبکه برای آدرس های IP مجاز 100000 کاراکتر دارند.

نشانه ها و کلیدها

Snowflake سعی می کند دایرکتوری فعال Azure را از طریق مقدار URL در ویژگی Exteal_OATH_JWS_KEYS_URL (نشان داده شده در زیر) یا از طریق آدرس های IP مجاز در خط مشی شبکه ، در صورت وجود خط مشی شبکه ، تأیید کند. مایکروسافت هر 24 ساعت نشانه ها و کلیدهای خود را به روز می کند. برای کسب اطلاعات بیشتر در مورد به روزرسانی های مایکروسافت ، به نمای کلی در مورد نشانه های Azure Active Directory B2C مراجعه کنید.

تنظیم نقش های مجاز

به طور پیش فرض ، نقش های سیستم AccountAdmin و SecurityAdmin از استفاده از Microsoft Power BI برای فوری یک جلسه برف برفی مسدود شده است. در صورت لزوم استفاده از این نقشهای بسیار ممتاز ، پارامتر یکپارچه سازی امنیتی Exteal_oAuth_allowed_roles را به روز کنید تا این نقش ها را مشخص کنید. قبل از مشخص کردن نقش های سیستم AccountAdmin و SecurityAdmin در پارامتر یکپارچه سازی امنیتی Exteal_OAUTH_ALLOD_ROLES ، احتیاط کنید.

شروع شدن¶

در این بخش نحوه ایجاد یک ادغام امنیتی BI در Snowflake و نحوه دسترسی به Snowflake از طریق Power BI توضیح داده شده است.

ایجاد یک ادغام امنیتی BI BI

این مرحله در صورت استفاده از Power Bi Gateway برای Power BI Service برای اتصال به Snowflake یا از نام کاربری Snowflake و رمز عبور خود برای تأیید اعتبار استفاده نمی کنید.

برای استفاده از Power BI برای دسترسی به داده های Snowflake از طریق SSO ، لازم است با استفاده از ایجاد ادغام امنیتی همانطور که در زیر آمده است ، یک ادغام امنیتی برای Power BI ایجاد کنید.

ادغام امنیتی باید مقدار صحیح پارامتر Exteal_OATH_ISSUER را داشته باشد. بخشی از این ارزش به مستاجر AD AD شما. می توانید این مقدار را در بخش About Power Power BI خود پیدا کنید.

اگر سازمان شما استقرار پیشرفته ای از سرویس Power BI دارد ، پس از آن با مدیر تبلیغات Azure خود بررسی کنید تا ارزش صحیح مستاجر Azure AD را در ساخت URL صادرکننده دریافت کنید.

به عنوان مثال ، اگر شناسه مستاجر Azure AD شما A828B821-F4698-85B2-3C6749302698 است ، سپس ارزش Azure_ad_issuer را شبیه به https://sts. windows. net/a82821-f444f-4698-4698-4698-4698-444f-4698-444f-4698-444f-4698-444f-4698-444f-4698-444f-469821-f44f-469821-f44f-469821-f44f-469821-f444f-469821-21-f444f-4698549821مهم است که در انتهای مقدار ، برش رو به جلو (یعنی /) را درج کنید.

پس از ساخت مقدار برای Azure_ad_issuer ، دستور ایجاد ادغام امنیتی را اجرا کنید.

اگر حساب Snowflake یا Microsoft Power BI Service در منطقه ابر دولت Microsoft Azure قرار دارد ، مقدار خاصیت Exteal_OUTH_AUDIENCE_LIST را به https://analysis.usgovcloudapi. net/powerbi/connector/snowflake تنظیم کنید.

ادغام امنیتی برای Microsoft Power BI

ادغام امنیتی دولت مایکروسافت لاجورد برای Microsoft Power BI < SPAN> اگر سازمان شما دارای استقرار پیشرفته ای از سرویس Power BI است ، سپس با سرپرست تبلیغ Azure خود بررسی کنید تا ارزش صحیح مستاجر Azure AD را در ساخت URL صادرکننده دریافت کنید.