Как вы можете подключить Snowflake к IDE, используя Okta с MFA?

Question

В настоящее время мы используем Okta (для которой требуется MFA), чтобы управлять нашими пользователями Snowflake, поэтому у большинства наших пользователей Snowflake нет пароля. У нас есть разработчики, которые хотят использовать IDE, например DataGrip или DBeaver, но мы не можем подключиться, используя метод Okta.

Когда мы пытаемся подключиться с параметром подключения authenticator='https://<your_okta_account_name>.okta.com', мы получаем сообщение об ошибке [08001][390400] Bad request; operation not supported.

Когда мы пытаемся соединиться с параметром соединения authenticator= externalbrowser, мы получаем сообщение об ошибке [08001][390400] !390400!

Мы не можем найти лучшие сообщения об ошибках, чем те. Мы получаем эти сообщения об ошибках как с DBeaver, так и с DataGrip.

Есть ли какой-нибудь совет, как заставить это работать? Мы не можем выяснить, является ли это проблемой Снежинки или Окты.

Мы ссылались на следующие части документации: https://docs.snowflake.net/manuals/user-guide/jdbc-configure.html#connection -параметры https://support.snowflake.net/s/article/How-to-Configure-Snowflake-connections-for-Datagrip

Answer 1

Наша проблема была на самом деле другой и не имела ничего общего с нашей интеграцией Okta / Snowflake. Мы могли бы следовать документации Snowflake о том, как подключиться к Tableau или DataGrip.

Существует проблема при использовании Okta с MFA для Snowflake с использованием метода аутентификатора externalbrowser. У нас есть псевдоним в имени нашего хоста, который мы пытались использовать для аутентификации.

Например, наше реальное имя хоста может быть aaa111.snowflakecomputing.com, а у нас есть псевдоним companyname.snowflakecomputing.com, вам нужно использовать aaa111.snowflakecomputing.com имя хоста при настройке соединения.

Если вы находитесь на Okta с MFA, вам нужно указать метод аутентификации externalbrowser.

Answer 2

Не уверен насчет конкретно Okta, но когда вы предоставляете URL-адрес единого входа для Snowflake при обновлении параметра учетной записи SAML_IDENTITY_PROVIDER, вам нужно будет указать SP-initiated SSO URL, поэтому вы должны убедиться, что Okta настроена для SP единый вход.

Инициированный SP - это аутентификация, инициированная поставщиком услуг, а IdP - это аутентификация, инициированная поставщиком идентификации.

Я не являюсь экспертом по аутентификации, но узнал достаточно ( и я не буду вдаваться в подробности здесь) пытаясь настроить это с моей компанией, чтобы узнать, что , если вы хотите использовать инструменты не на основе браузера при использовании поставщика удостоверений вашей компании с Snowflake, тогда требуется аутентификация быть настроенным с помощью SSO-URL, инициированного SP.

В документации Snowflake ничего не упоминается, поэтому навигация может быть сложной.

Вот пара деталей, связанных с аутентификацией, если вам интересно: http://jamsheert.blogspot.com/2015/08/difference-between-idp-initiated-sso.html

Различия между SP инициированный SSO и IDP инициированный SSO