Snowflake

Este conector está disponible en los siguientes productos y regiones:

Service	Class	Regions
Copilot Studio	Premium	Todas las regiones de Power Automate excepto las siguientes:      - Gobierno de EE. UU. (GCC)      - Gobierno de EE. UU. (GCC High)      - China Cloud operado por 21Vianet      - Departamento de Defensa de EE. UU. (DoD)
Aplicaciones lógicas	Estándar	Todas las regiones de Logic Apps excepto las siguientes:      - Regiones de Azure Government      - Regiones de Azure China      - Departamento de Defensa de EE. UU. (DoD)
Power Apps	Premium	Todas las regiones de Power Apps excepto las siguientes:      - Gobierno de EE. UU. (GCC)      - Gobierno de EE. UU. (GCC High)      - China Cloud operado por 21Vianet      - Departamento de Defensa de EE. UU. (DoD)
Power Automate	Premium	Todas las regiones de Power Automate excepto las siguientes:      - Gobierno de EE. UU. (GCC)      - Gobierno de EE. UU. (GCC High)      - China Cloud operado por 21Vianet      - Departamento de Defensa de EE. UU. (DoD)

Contacto
Nombre	Compatibilidad con Snowflake
URL	https://www.snowflake.com/support
Correo Electrónico	support@snowflake.com

Metadatos del conector
Publicador	Snowflake
Sitio web	https://www.snowflake.com
Directiva de privacidad	https://www.snowflake.com/privacy-policy
Categorías	Datos; Marketing

Conector en profundidad

En este artículo se describen las funcionalidades y acciones del conector snowflake.

Funcionalidades admitidas para Power Automate

• Los usuarios pueden crear flujos y agregar acciones para ejecutar y obtener resultados de instrucciones SQL personalizadas con la conexión de Snowflake.

Funcionalidades admitidas para Power Apps

• Los usuarios deben crear primero tablas virtuales y, a continuación, cargarlas en aplicaciones con la conexión de Snowflake (una conexión creada con solo "autenticación de entidad de servicio"). Aprenda a crear tablas virtuales: Creación y edición de tablas virtuales con Microsoft Dataverse - Power Apps | Microsoft Learn.

Funcionalidades admitidas para Logic Apps

• Los usuarios pueden crear flujos y agregar acciones para ejecutar y obtener resultados de instrucciones SQL personalizadas con la conexión de Snowflake.

Compatibilidad con redes virtuales

Con la compatibilidad de Azure Virtual Network con Power Platform, los usuarios pueden integrar Power Platform con recursos dentro de su red virtual sin exponerlos a través de la red pública de Internet. Para conectarse a Virtual Network, asegúrese de seguir ambos pasos mencionados a continuación.

1. Aprenda a configurar Azure Private Link y Snowflake
2. Obtenga información sobre cómo configurar la compatibilidad de Virtual Network con Power Platform

Para más información sobre Virtual Network, consulte Introducción al soporte técnico de Virtual Network.

Prerrequisitos

• Los usuarios deben tener el identificador de Entra de Microsoft para la autorización externa. El flujo de autorización para PowerApps aprovecha la entidad de servicio y Power Automate admitirá tanto Service-Principal como flujos de usuario en nombre de usuario.
• Los usuarios deben tener una licencia premium de Power Apps.
• Los usuarios deben tener una cuenta de Snowflake.

Algunas cosas que se deben tener en cuenta con respecto a la configuración para usar el conector snowflake

1. El servidor de autorización puede conceder al cliente de OAuth un token de acceso en nombre del usuario, al que se hace referencia a DELEGATED BASED AUTH.
2. El servidor de autorización puede conceder al cliente de OAuth un token de acceso para el propio cliente de OAuth, denominado SP BASED AUTH.
3. En el caso del cliente de Oauth, asegúrese de agregar un URI de redirección (basado en web) para un delegado basado en AUTH.
   URI de redirección: https://global.consent.azure-apim.net/redirect/snowflakev2
4. Se debe crear una integración de seguridad con audiencias.
5. Para la autenticación basada en delegados, external_oauth_token_user_mapping_claim = 'upn'
6. Para la autenticación basada en sp, external_oauth_token_user_mapping_claim = 'sub'
7. En el momento de crear la integración de seguridad, describa la integración creada y compruebe si el rol dado al usuario de Snowflake está en la lista de bloqueados o no. Si está en la lista de bloqueados, cambie o quite el rol del usuario en la lista de bloqueados.
   
8. Asegúrese de que los login_name roles y estén configurados correctamente en la cuenta de Snowflake. Esto se puede comprobar a través de usuarios y roles > de pestaña > de administración Seleccione un usuario y Edite los detalles del usuario.
   

Pasos de configuración

A. Configuración del recurso de OAuth en el identificador de Microsoft Entra

1. Vaya a Microsoft Azure Portal y autentíquese.
2. Vaya a Microsoft Entra ID.
3. Haga clic en Registros de aplicaciones.
4. Haga clic en Nuevo registro.
5. Escriba "Recurso de OAuth de Snowflake" o un valor similar al nombre.
6. Compruebe que los tipos de cuenta admitidos están establecidos en Inquilino único.
7. Haga clic en Registrar.
8. Haga clic en Exponer una API.
9. Haga clic en el vínculo situado junto a URI de id. de aplicación para agregar el URI del identificador de aplicación. El URI del identificador de aplicación tendrá el formato Application ID URI <api://9xxxxxxxxxxxxxxxxxx>
10. Para autenticación delegada (capturas de pantalla aquí):
    1. Haga clic en Agregar un ámbito para agregar un ámbito que represente el rol Snowflake.
    2. Seleccione quién puede dar su consentimiento.
    3. Agrega una descripción.
    4. Haga clic en Agregar ámbito para guardarlo.
       Ejemplo: session:scope:analyst
       
       OR
       
       
11. Para la autenticación de entidad de servicio (capturas de pantalla aquí):
    Para agregar un rol de Snowflake como rol para flujos de OAuth en los que el cliente mediante programación solicita un token de acceso por sí mismo:

    1. Haga clic en Manifiesto.

    2. Busque el appRoles elemento .

    3. Escriba un rol de aplicación con la siguiente configuración, el rol Snowflake debe ser el que tiene acceso a un almacenamiento y privilegios de uso en el esquema (consulte aquí para obtener más información sobre vales de manifiesto).

    4. Consulte la definición de ejemplo siguiente:
       
       El rol de aplicación se manifiesta de la manera siguiente. Evite usar roles con privilegios elevados como ACCOUNTADMIN, SECURITYADMIN o ORGADMIN.
       

        "appRoles":[
            {
                "allowedMemberTypes": [ "Application" ],
                "description": "Analyst.",
                "displayName": "Analyst",
                "id": "3ea51f40-2ad7-4e79-aa18-12c45156dc6a",
                "isEnabled": true,
                "lang": null,
                "origin": "Application",
                "value": "session:role:analyst"
            }
        ]
       

    5. Haga clic en Guardar.

12. Opcionalmente, si ya se usa una integración de seguridad en Snowflake con otro producto de Microsoft, como PowerBI y con una asignación de notificaciones diferente, será necesario modificar el manifiesto. El manifiesto tendrá que emitir tokens mediante un emisor diferente, de modo que se pueda crear una integración de seguridad independiente en Snowflake con la asignación de notificaciones única.
    a) Haga clic en Manifiesto.
    b. Busque el atributo requestedAccessTokenVersion y establezca el valor en "2".
    • Cuando requestedAccessTokenVersion se establece en "2", el token de acceso tendrá un emisor de formato: https://login.microsoftonline.com/<Tenant-ID>/v2.0
    • Cuando requestedAccessTokenVersion se establece en "1", el token de acceso tendrá un emisor de formato: https://sts.windows.net/<tenant-ID>/
      c. Haga clic en Guardar.

B. Creación de un cliente de OAuth en el identificador de Entra de Microsoft

1. Vaya a Microsoft Azure Portal y autentíquese.
2. Vaya a Azure Active Directory.
3. Haga clic en Registros de aplicaciones.
4. Haga clic en Nuevo registro.
5. Escriba un nombre para el cliente, como "Snowflake OAuth Client".
6. Compruebe que los tipos de cuenta admitidos están establecidos en Inquilino único.
7. Haga clic en Registrar.
8. En la sección Información general, copie desde ClientID el campo Id. de aplicación (cliente). Esto se conoce como en <OAUTH_CLIENT_ID> los pasos siguientes.
9. Haga clic en Certificados y secretos y, a continuación, en Nuevo secreto de cliente.
10. Agregue una descripción del secreto.
11. Para realizar pruebas, seleccione secretos de larga vida, pero para Producción, siga las directivas de seguridad necesarias.
12. Haga clic en Agregar. Copie el secreto. Esto se conoce como en <OAUTH_CLIENT_SECRET> los pasos siguientes.
13. Para autenticación delegada:
    a) Haga clic en Manage -API Permissions(Administrar permisos de API>).
    b. Haga clic en Agregar permiso.
    c. Haga clic en Mis API.
    d. Haga clic en el recurso de OAuth de Snowflake que se creó en Configurar el recurso de Oauth en el identificador de Entra de Microsoft.
    e. Haga clic en el cuadro Permisos delegados .
    f. Compruebe el permiso relacionado con los ámbitos definidos manualmente en la aplicación que se desea conceder a este cliente.
    g. Haga clic en Agregar permisos.
    h. Haga clic en el botón Conceder consentimiento del administrador para conceder los permisos al cliente. Tenga en cuenta que, con fines de prueba, los permisos se configuran de esta manera. Sin embargo, en un entorno de producción, no se recomienda conceder permisos de esta manera.
    i. Haga clic en Sí.
    j. Haga clic en Administrar:> autenticación, agregue una plataforma: > web y escriba el URI de redirección.
    https://global.consent.azure-apim.net/redirect/snowflakev2
    
    OR
    
    
14. Para la autenticación de la entidad de servicio:
    a) Haga clic en Manage -API Permissions(Administrar permisos de API>).
    b. Haga clic en Agregar permiso.
    c. Haga clic en Mis API.
    d. Haga clic en el recurso de OAuth de Snowflake que se creó en Configurar el recurso de Oauth en microsoft Entra ID .
    e. Haga clic en el cuadro Permisos de aplicación .
    f. Compruebe el permiso relacionado con los roles definidos manualmente en el manifiesto de la aplicación que se desea conceder a este cliente.
    g. Haga clic en Agregar permisos.
    h. Haga clic en el botón Conceder consentimiento del administrador para conceder los permisos al cliente. Tenga en cuenta que, con fines de prueba, los permisos se configuran de esta manera. Sin embargo, en un entorno de producción, no se recomienda conceder permisos de esta manera.
    i. Haga clic en Sí.

C. Recopilación de información de Azure AD para Snowflake

1. Vaya a Microsoft Azure Portal y autentíquese.
2. Vaya a Azure Active Directory.
3. Haga clic en Registros de aplicaciones.
4. Haga clic en el recurso de OAuth de Snowflake que se creó en Configurar el recurso de Oauth en microsoft Entra ID .
5. Haga clic en Puntos de conexión en la interfaz Información general.
6. En el lado derecho, copie el punto de conexión de token de OAuth 2.0 (v2) y anote las direcciones URL de los metadatos de OpenID Connect y los metadatos de Federation Connect.

• El punto de conexión de token de OAuth 2.0 (v2) se conoce como en <AZURE_AD_OAUTH_TOKEN_ENDPOINT> los pasos de configuración siguientes. El punto de conexión debe ser similar a https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token.
• Para los metadatos de OpenID Connect, abra en una nueva ventana del explorador.
  • Busque el jwks_uri parámetro y copie su valor.
  • Este valor de parámetro se conoce como en <AZURE_AD_JWS_KEY_ENDPOINT> los pasos de configuración siguientes. El punto de conexión debe ser similar a https://login.microsoftonline.com/<tenant-id>/discovery/v2.0/keys.
• Para el documento Metadatos de federación, abra la dirección URL en una nueva ventana del explorador.
  • Busque el "entityID" parámetro en XML Root Element y copie su valor.
  • Este valor de parámetro se conoce como en <AZURE_AD_ISSUER> los pasos de configuración siguientes. El valor entityID debe ser similar a https://sts.windows.net/<tenant-id>/.

D. Validar la configuración de autorización de Entra

Se recomienda probar la configuración en este momento, use el curl siguiente y compruebe si Entra emite un token mediante cualquier herramienta de prueba de API como Insomnio u otros.

• Autenticación delegada: (opcional)

  • Se debe ejecutar un paso anterior para obtener el código, se puede seguir este documento .
    

    curl --request POST --url https://login.microsoftonline.com/<TENANT_ID>/oauth2/token --header 'Content-Type: multipart/form-data' --form client_id=<AAD_CLIENT_ID> --form client_secret=< AAD_CLIENT_SECRET> --form resource=< AAD_RESOURCE_ID> --formgrant_type=authorization_code --form code=<CODE_GENERATED_ABOVE> --form redirect_uri=https://localhost
    

  • Nota: Agregue el URI de redirección en la aplicación cliente de AAD.
    

OR

• Autenticación de entidad de servicio:
  

  curl -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" \ --data-urlencode "client_id=client_id from above B.8" \ --data-urlencode "client_secret=<Secret from above B.12>" \ --data-urlencode "grant_type=client_credentials" \ --data-urlencode "scope=api://<Appl_URI_ID>/.default" \'https://login.microsoftonline.com/<tenant_id>/oauth2/v2.0/token'
  

Para validar el token, ejecute el siguiente comando en Snowflake:

select system$verify_external_oauth_token(‘<token>’);

E. Creación de una integración de seguridad con audiencias

El external_oauth_audience_list parámetro de la integración de seguridad debe coincidir con el URI de id. de aplicación que se especificó al configurar microsoft Entra ID.

• Autenticación delegada:
  

  create security integration external_oauth_azure_1    
      type = external_oauth
      enabled = true
      external_oauth_type = azure
      external_oauth_issuer = '<AZURE_AD_ISSUER>'
      external_oauth_jws_keys_url = '<AZURE_AD_JWS_KEY_ENDPOINT>'
      external_oauth_audience_list = ('<SNOWFLAKE_APPLICATION_ID_URI>')
      external_oauth_token_user_mapping_claim = ‘upn’ 
      external_oauth_snowflake_user_mapping_attribute = 'login_name or email address';
  

Si la integración de seguridad para Azure AD ya está configurada, use:

alter security integration external_oauth_azure_1 set external_oauth_token_user_mapping_claim = ('sub','upn');  

En el caso de la autenticación delegada, el usuario de login_name Snowflake o email_address debe coincidir con el correo electrónico Entra del usuario que ejecutará el flujo de Power Automate.

Ejemplo:

ALTER USER SNOWSQL_DELEGATE_USER  
LOGIN_NAME = '<ENTRA-USERID>' or EMAIL_ADDRESS = ‘ENTRA-USERID’ 
DISPLAY_NAME = 'SnowSQL Delegated User'  
COMMENT = 'A delegate user for SnowSQL client to be used for OAuth based connectivity'; 

OR

• Autenticación de entidad de servicio:
  

  create security integration external_oauth_azure_2 
      type = external_oauth 
      enabled = true 
      external_oauth_type = azure 
      external_oauth_issuer = '<AZURE_AD_ISSUER>' 
      external_oauth_jws_keys_url = '<AZURE_AD_JWS_KEY_ENDPOINT>' 
      external_oauth_audience_list = ('<SNOWFLAKE_APPLICATION_ID_URI>') 
      external_oauth_token_user_mapping_claim = ‘sub’     
      external_oauth_snowflake_user_mapping_attribute = 'login_name';
  

Continúe a continuación para la configuración de autenticación de entidad de servicio.

Cree un usuario para la conexión basada en la entidad de servicio:

• El subvalor debe asignarse a un usuario de Snowflake, evitar el uso de cuentas con privilegios elevados Accountadmin, Orgadmin, Securityadmin.

  CREATE OR REPLACE USER SNOWSQL_OAUTH_USER  
  LOGIN_NAME = '<subvalue from decoded token>'  
  DISPLAY_NAME = 'SnowSQL OAuth User'  
  COMMENT = 'A system user for SnowSQL client to be used for OAuth based connectivity'; 
  
  CREATE ROLE ANALYST; 
  
  GRANT ROLE ANALYST TO USER SNOWSQL_OAUTH_USER;
  

F. Validar el acceso de Snowflake [Opcional]

• Autenticación delegada

  snowsql -a organization-locator -u 'user@sandbox.onmicrosoft.com' --rolename <rolename> --authenticator oauth --token "<token-value>"
  

OR

• Autenticación de entidad de servicio

  snowsql -a <snowflake-accountname> -u ‘sub-value’ -r <snowflake-role from A.11.h above> –authenticator oauth –token <output from curl at step D> 
  

Clientes que usan Snowflake Connector [EN DESUSO]

Aplicable: Todas las regiones

Para migrar desde un conector de Snowflake anterior al nuevo, siga estos pasos.

Esta opción solo es para conexiones anteriores sin un tipo de autenticación explícito y solo se proporciona para la compatibilidad con versiones anteriores.

Si se ha compilado un flujo de Power Automate con un conector anterior (ahora marcado como en desuso), es necesario configurar una nueva conexión siguiendo los pasos descritos en Pasos de configuración anteriores y actualizar los flujos existentes para usar la nueva conexión.

La acción "Convertir filas del conjunto de resultados de matriz en objetos" también tendría que quitarse, ya que esa funcionalidad ahora está ajustada en "Comprobar el estado y obtener resultados".

Problemas y limitaciones conocidos

1. Actualmente no se admiten columnas duplicadas cuando se ejecuta el comando join. Una solución alternativa sería agregar alias a las columnas duplicadas.

2. Aquí se enumeran otras limitaciones con las tablas virtuales.

3. Las tablas virtuales solo se admiten con conexiones creadas con la autenticación "Entidad de servicio".

4. Al usar la autenticación de Service Principle, el usuario debe tener acceso de lectura a la tabla information_schema.columns .

5. Las conexiones de Snowflake no se pueden crear directamente en aplicaciones de Canvas, la información de error y los pasos necesarios para resolver el problema son los siguientes:

   1. Se mostrará un error si la conexión de Snowflake se crea directamente en una aplicación canvas, como se muestra en la captura de pantalla siguiente de conexión
   2. En lugar de agregar el conector directamente en la aplicación Canvas, cree una conexión de entidad de servicio (no delegada) desde fuera de la aplicación Canvas.
   3. Use la conexión de Snowflake creada anteriormente y cree un de tabla virtual.
   4. Después, la tabla virtual se puede cargar en la aplicación Canvas y la compilación de la aplicación Canvas puede continuar con .
   5. La tabla ANIMALS anterior es una tabla virtual, creada con la conexión de Snowflake, como se mencionó anteriormente.

Límites generales

Nombre	Importancia
Número máximo de solicitudes que procesa el conector simultáneamente	50

Creación de una conexión

El conector admite los siguientes tipos de autenticación:

Entidad de servicio (aplicación microsoft Entra ID)	Use la aplicación Microsoft Entra ID para acceder a la base de datos de Snowflake.	Todas las regiones	Compartible
Autenticación delegada de entidad de servicio (aplicación microsoft Entra ID)	Use la aplicación Microsoft Entra ID para acceder a la base de datos de Snowflake.	Todas las regiones	Compartible
Valor predeterminado [EN DESUSO]	Esta opción solo es para conexiones anteriores sin un tipo de autenticación explícito y solo se proporciona para la compatibilidad con versiones anteriores.	Todas las regiones	No se puede compartir

Principal de servicio (aplicación de Microsoft Entra ID)

Identificador de autenticación: oauthSP

Aplicable: Todas las regiones

Use la aplicación Microsoft Entra ID para acceder a la base de datos de Snowflake.

Se trata de una conexión que se puede compartir. Si la aplicación de energía se comparte con otro usuario, también se comparte la conexión. Para más información, consulte introducción a los conectores para aplicaciones de lienzo: Power Apps | Microsoft Docs

Nombre	Tipo	Description	Obligatorio
Inquilino	cuerda / cadena		Cierto
Id. de cliente	cuerda / cadena		Cierto
Secreto del cliente	securestring		Cierto
Dirección URL del recurso	cuerda / cadena	Dirección URL de audiencia de OAuth de Snowflake (DIRECCIÓN URL del recurso)	Cierto
Snowflake SaaS URL	cuerda / cadena	Dirección URL de Snowflake que no incluye el prefijo HTTPS (por ejemplo, fnpuupu-in12345.snowflakecomputing.com)	Cierto
Base de datos de Snowflake	cuerda / cadena	Especificar la base de datos a la que conectarse	Cierto
Nombre del almacén	cuerda / cadena	Almacén de Snowflake para conectarse a	Cierto
Rol	cuerda / cadena	Rol snowflake para conectarse como	Cierto
Schema	cuerda / cadena	Esquema de Snowflake al que conectarse	Cierto

Autenticación delegada de entidad de servicio (aplicación microsoft Entra ID)

Identificador de autenticación: oauthSPUserDelegated

Aplicable: Todas las regiones

Use la aplicación Microsoft Entra ID para acceder a la base de datos de Snowflake.

Se trata de una conexión que se puede compartir. Si la aplicación de energía se comparte con otro usuario, también se comparte la conexión. Para más información, consulte introducción a los conectores para aplicaciones de lienzo: Power Apps | Microsoft Docs

Nombre	Tipo	Description	Obligatorio
Id. de cliente	cuerda / cadena	Identificador de cliente de OAuth de Snowflake	Cierto
Secreto del cliente	securestring	Secreto de cliente de OAuth de Snowflake	Cierto
Dirección URL del recurso	cuerda / cadena	Snowflake OAuth Audience URL(Resource URL)	Cierto

Valor predeterminado [EN DESUSO]

Aplicable: Todas las regiones

Esta opción solo es para conexiones anteriores sin un tipo de autenticación explícito y solo se proporciona para la compatibilidad con versiones anteriores.

Esta conexión no se puede compartir. Si la aplicación de energía se comparte con otro usuario, se pedirá a otro usuario que cree explícitamente una nueva conexión.

Nombre	Tipo	Description	Obligatorio
Se trata de un marcador de posición ficticio necesario durante el tiempo debido a un error del widget de conexión de la interfaz de usuario de MCS. Los cambios de autenticación deben realizarse en connectionParameterSets	cuerda / cadena	Se trata de un marcador de posición ficticio necesario durante el tiempo debido a un error del widget de conexión de la interfaz de usuario de MCS. Los cambios de autenticación deben realizarse en connectionParameterSets

Limitaciones

Nombre	Llamadas	Período de renovación
Llamadas API por conexión	900	60 segundos

Acciones

Cancelar la ejecución de una instrucción	Cancelar la ejecución de una instrucción
Comprobar el estado y obtener resultados	Comprobar el estado de la ejecución de una instrucción y obtener los resultados
Enviar instrucción SQL para su ejecución	Enviar una instrucción SQL para su ejecución

Cancelar la ejecución de una instrucción

Comprobar el estado y obtener resultados

Enviar instrucción SQL para su ejecución