Snowflake

Ce connecteur est disponible dans les produits et régions suivants :

Service	classe	Régions
Copilot Studio	Premium	Toutes les régions Power Automate , à l’exception des éléments suivants :      - Us Government (GCC)      - Us Government (GCC High)      - China Cloud géré par 21Vianet      - Us Department of Defense (DoD)
Applications logiques	Norme	Toutes les régions Logic Apps , à l’exception des suivantes :      - Régions Azure Government      - Régions Azure Chine      - Us Department of Defense (DoD)
Power Apps	Premium	Toutes les régions Power Apps , à l’exception des suivantes :      - Us Government (GCC)      - Us Government (GCC High)      - China Cloud géré par 21Vianet      - Us Department of Defense (DoD)
Power Automate	Premium	Toutes les régions Power Automate , à l’exception des éléments suivants :      - Us Government (GCC)      - Us Government (GCC High)      - China Cloud géré par 21Vianet      - Us Department of Defense (DoD)

Contact
Nom	Prise en charge de Snowflake
URL	https://www.snowflake.com/support
Messagerie électronique	support@snowflake.com

Métadonnées du connecteur
Éditeur	Snowflake
Site internet	https://www.snowflake.com
Politique de confidentialité	https://www.snowflake.com/privacy-policy
Catégories	Données; Marketing

Connecteur en profondeur

Cet article décrit les fonctionnalités et les actions du connecteur Snowflake.

Fonctionnalités prises en charge pour Power Automate

• Les utilisateurs peuvent créer des flux et ajouter des actions pour exécuter et récupérer des résultats d’instructions SQL personnalisées avec la connexion Snowflake.

Fonctionnalités prises en charge pour Power Apps

• Les utilisateurs doivent d’abord créer des tables virtuelles, puis les charger dans des applications avec la connexion Snowflake (une connexion créée uniquement à l’aide de l'« authentification du principal de service »). Découvrez comment créer des tables virtuelles : Créer et modifier des tables virtuelles avec Microsoft Dataverse - Power Apps | Microsoft Learn.

Fonctionnalités prises en charge pour Logic Apps

• Les utilisateurs peuvent créer des flux et ajouter des actions pour exécuter et récupérer des résultats d’instructions SQL personnalisées avec la connexion Snowflake.

Prise en charge du réseau virtuel

Avec la prise en charge du réseau virtuel Azure pour Power Platform, les utilisateurs peuvent intégrer Power Platform à des ressources à l’intérieur de leur réseau virtuel sans les exposer sur l’Internet public. Pour vous connecter au réseau virtuel, veillez à suivre les deux étapes mentionnées ci-dessous.

1. Découvrez comment configurer Azure Private Link et Snowflake
2. Découvrez comment configurer la prise en charge du réseau virtuel pour Power Platform

Pour en savoir plus sur le réseau virtuel, consultez la vue d’ensemble de la prise en charge du réseau virtuel.

Prerequisites

• Les utilisateurs doivent avoir l’ID Microsoft Entra pour l’autorisation externe. Le flux d’autorisation pour PowerApps tire parti du principal du service, et Power Automate prend en charge les flux Service-Principal et les flux d’utilisateurs pour le compte de l’utilisateur.
• Les utilisateurs doivent disposer d’une licence Power Apps Premium.
• Les utilisateurs doivent avoir un compte Snowflake.

Quelques éléments qui doivent être gardés à l’esprit concernant la configuration pour l’utilisation du connecteur Snowflake

1. Le serveur d’autorisation peut accorder au client OAuth un jeton d’accès pour le compte de l’utilisateur, référencé .DELEGATED BASED AUTH
2. Le serveur d’autorisation peut accorder au client OAuth un jeton d’accès pour le client OAuth lui-même, appelé SP BASED AUTH.
3. Pour le client Oauth, veillez à ajouter un URI de redirection (basé sur le web) pour une base AUTHdéléguée.
   URI de redirection - https://global.consent.azure-apim.net/redirect/snowflakev2
4. Une intégration de sécurité aux audiences doit être créée.
5. Pour l’authentification basée sur délégué, external_oauth_token_user_mapping_claim = 'upn'
6. Pour l’authentification basée sur sp, external_oauth_token_user_mapping_claim = 'sub'
7. Au moment de la création de l’intégration de sécurité, décrivez l’intégration créée et vérifiez si le rôle donné à l’utilisateur de Snowflake se trouve dans la liste bloquée ou non. Si dans la liste bloquée, modifiez ou supprimez le rôle de l’utilisateur dans la liste bloquée.
   
8. Vérifiez que les rôles et les login_name rôles sont correctement définis dans le compte Snowflake. Vous pouvez le vérifier via l’onglet > Administrateur Utilisateurs et rôles > Sélectionner un utilisateur et modifier les détails de l’utilisateur.
   

Étapes de configuration

R. Configurer la ressource OAuth dans l’ID Microsoft Entra

1. Accédez au portail Microsoft Azure et authentifiez-vous.
2. Accédez à l’ID Microsoft Entra.
3. Cliquez sur Inscriptions d’applications.
4. Cliquez sur Nouvelle inscription.
5. Entrez « Snowflake OAuth Resource » ou une valeur similaire au nom.
6. Vérifiez que les types de comptes pris en charge sont définis sur Un seul locataire.
7. Cliquez sur S'inscrire.
8. Cliquez sur Exposer une API.
9. Cliquez sur le lien en regard de l’URI d’ID d’application pour ajouter l’URI d’ID d’application. L’URI de l’ID d’application sera au format Application ID URI <api://9xxxxxxxxxxxxxxxxxx>
10. Pour l’authentification déléguée (captures d’écran ici) :
    1. Cliquez sur Ajouter une étendue pour ajouter une étendue représentant le rôle Snowflake.
    2. Sélectionnez qui peut donner son consentement.
    3. Ajoutez une description.
    4. Cliquez sur Ajouter une étendue pour enregistrer.
       Exemple : session:scope:analyst
       
       OR
       
       
11. Pour l’authentification du principal de service (captures d’écran ici) :
    Pour ajouter un rôle Snowflake en tant que rôle pour OAuth, le client programmatique demande un jeton d’accès pour lui-même :

    1. Cliquez sur Manifeste.

    2. Recherchez l’élément appRoles .

    3. Entrez un rôle d’application avec les paramètres suivants : le rôle Snowflake doit être celui qui a accès à un entrepôt et les privilèges d’utilisation sur le schéma (consultez ici pour plus d’informations sur les vales de manifeste).

    4. Consultez l’exemple de définition ci-dessous :
       
       Le rôle d’application manifeste comme suit. Évitez d’utiliser des rôles à privilèges élevés tels que ACCOUNTADMIN, SECURITYADMIN ou ORGADMIN.
       

        "appRoles":[
            {
                "allowedMemberTypes": [ "Application" ],
                "description": "Analyst.",
                "displayName": "Analyst",
                "id": "3ea51f40-2ad7-4e79-aa18-12c45156dc6a",
                "isEnabled": true,
                "lang": null,
                "origin": "Application",
                "value": "session:role:analyst"
            }
        ]
       

    5. Cliquez sur Enregistrer

12. Si une intégration de sécurité est déjà utilisée dans Snowflake avec un autre produit Microsoft tel que PowerBI et avec un mappage de revendications différent, le manifeste doit être modifié. Le manifeste doit émettre des jetons à l’aide d’un autre émetteur, afin qu’une intégration de sécurité distincte dans Snowflake avec le mappage de revendications unique puisse être créée.
    a. Cliquez sur Manifeste.
    b. Recherchez l’attribut requestedAccessTokenVersion et définissez la valeur sur « 2 ».
    • Quand requestedAccessTokenVersion est défini sur « 2 », le jeton d’accès aura un émetteur de format : https://login.microsoftonline.com/<Tenant-ID>/v2.0
    • Quand requestedAccessTokenVersion est défini sur « 1 », le jeton d’accès aura un émetteur de format : https://sts.windows.net/<tenant-ID>/
      c. Cliquez sur Enregistrer.

B. Créer un client OAuth dans Microsoft Entra ID

1. Accédez au portail Microsoft Azure et authentifiez-vous.
2. Accédez à Azure Active Directory.
3. Cliquez sur Inscriptions d’applications.
4. Cliquez sur Nouvelle inscription.
5. Entrez un nom pour le client, tel que « Snowflake OAuth Client ».
6. Vérifiez que les types de comptes pris en charge sont définis sur Un seul locataire.
7. Cliquez sur Inscrire.
8. Dans la section Vue d’ensemble, copiez le ClientID champ d’ID d’application (client). Cette opération sera appelée <OAUTH_CLIENT_ID> dans les étapes suivantes.
9. Cliquez sur Certificats et secrets , puis sur Nouveau secret client.
10. Ajoutez une description du secret.
11. À des fins de test, sélectionnez des secrets de longue durée de vie, mais pour production, suivez les stratégies de sécurité nécessaires.
12. Cliquez sur Ajouter. Copiez le secret. Cette opération sera appelée <OAUTH_CLIENT_SECRET> dans les étapes suivantes.
13. Pour l’authentification déléguée :
    a. Cliquez sur Gérer ->Autorisations d’API.
    b. Cliquez sur Ajouter une autorisation.
    c. Cliquez sur Mes API.
    d. Cliquez sur la ressource OAuth Snowflake créée dans Configurer la ressource Oauth dans Microsoft Entra ID
    e. Cliquez sur la zone Autorisations déléguées .
    f. Vérifiez l’autorisation liée aux étendues définies manuellement dans l’application qui souhaite être accordée à ce client.
    g. Cliquez sur Ajouter des autorisations.
    h. Cliquez sur le bouton Accorder le consentement administrateur pour accorder les autorisations au client. Notez que, à des fins de test, les autorisations sont configurées de cette façon. Toutefois, dans un environnement de production, l’octroi d’autorisations de cette manière n’est pas conseillé.
    i. Sélectionnez Oui.
    j. Cliquer sur Gérer -> Authentification, ajouter une plateforme - > Web et entrer l’URI de redirection
    https://global.consent.azure-apim.net/redirect/snowflakev2
    
    OR
    
    
14. Pour l’authentification du principal de service :
    a. Cliquez sur Gérer ->Autorisations d’API.
    b. Cliquez sur Ajouter une autorisation.
    c. Cliquez sur Mes API.
    d. Cliquez sur la ressource OAuth Snowflake créée dans Configurer la ressource Oauth dans l’ID Microsoft Entra .
    e. Cliquez sur la zone Autorisations d’application .
    f. Vérifiez l’autorisation relative aux rôles définis manuellement dans le manifeste de l’application qui souhaite être accordée à ce client.
    g. Cliquez sur Ajouter des autorisations.
    h. Cliquez sur le bouton Accorder le consentement administrateur pour accorder les autorisations au client. Notez que, à des fins de test, les autorisations sont configurées de cette façon. Toutefois, dans un environnement de production, l’octroi d’autorisations de cette manière n’est pas conseillé.
    i. Cliquez sur Oui.

Chapitre C. Collecter des informations Azure AD pour Snowflake

1. Accédez au portail Microsoft Azure et authentifiez-vous.
2. Accédez à Azure Active Directory.
3. Cliquez sur Inscriptions d’applications.
4. Cliquez sur la ressource OAuth Snowflake créée dans Configurer la ressource Oauth dans l’ID Microsoft Entra .
5. Cliquez sur Points de terminaison dans l’interface Vue d’ensemble.
6. Sur le côté droit, copiez le point de terminaison de jeton OAuth 2.0 (v2) et notez les URL pour les métadonnées OpenID Connect et les métadonnées Federation Connect.

• Le point de terminaison de jeton OAuth 2.0 (v2) est appelé <AZURE_AD_OAUTH_TOKEN_ENDPOINT> dans les étapes de configuration suivantes. Le point de terminaison doit être similaire à https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token.
• Pour les métadonnées OpenID Connect, ouvrez dans une nouvelle fenêtre de navigateur.
  • Recherchez le jwks_uri paramètre et copiez sa valeur.
  • Cette valeur de paramètre est appelée <AZURE_AD_JWS_KEY_ENDPOINT> dans les étapes de configuration suivantes. Le point de terminaison doit être similaire à https://login.microsoftonline.com/<tenant-id>/discovery/v2.0/keys.
• Pour le document de métadonnées de fédération, ouvrez l’URL dans une nouvelle fenêtre de navigateur.
  • Recherchez le "entityID" paramètre dans le XML Root Element paramètre et copiez sa valeur.
  • Cette valeur de paramètre est appelée <AZURE_AD_ISSUER> dans les étapes de configuration suivantes. La valeur entityID doit être similaire à https://sts.windows.net/<tenant-id>/.

D. Valider la configuration de l’autorisation Entra

Il est recommandé que la configuration soit testée pour l’instant, utilisez le curl ci-dessous et vérifiez si Entra émet un jeton à l’aide d’un outil de test d’API tel que Insomnie ou d’autres.

• Authentification déléguée : (facultatif)

  • Une étape précédente doit être exécutée pour obtenir le code, ce document peut être suivi
    

    curl --request POST --url https://login.microsoftonline.com/<TENANT_ID>/oauth2/token --header 'Content-Type: multipart/form-data' --form client_id=<AAD_CLIENT_ID> --form client_secret=< AAD_CLIENT_SECRET> --form resource=< AAD_RESOURCE_ID> --formgrant_type=authorization_code --form code=<CODE_GENERATED_ABOVE> --form redirect_uri=https://localhost
    

  • Remarque : Ajoutez l’URI de redirection dans l’application cliente AAD.
    

OR

• Authentification du principal de service :
  

  curl -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" \ --data-urlencode "client_id=client_id from above B.8" \ --data-urlencode "client_secret=<Secret from above B.12>" \ --data-urlencode "grant_type=client_credentials" \ --data-urlencode "scope=api://<Appl_URI_ID>/.default" \'https://login.microsoftonline.com/<tenant_id>/oauth2/v2.0/token'
  

Pour valider le jeton, exécutez la commande ci-dessous dans Snowflake :

select system$verify_external_oauth_token(‘<token>’);

E. Créer une intégration de sécurité avec les audiences

Le external_oauth_audience_list paramètre de l’intégration de sécurité doit correspondre à l’URI d’ID d’application spécifié lors de la configuration de l’ID Microsoft Entra.

• Authentification déléguée :
  

  create security integration external_oauth_azure_1    
      type = external_oauth
      enabled = true
      external_oauth_type = azure
      external_oauth_issuer = '<AZURE_AD_ISSUER>'
      external_oauth_jws_keys_url = '<AZURE_AD_JWS_KEY_ENDPOINT>'
      external_oauth_audience_list = ('<SNOWFLAKE_APPLICATION_ID_URI>')
      external_oauth_token_user_mapping_claim = ‘upn’ 
      external_oauth_snowflake_user_mapping_attribute = 'login_name or email address';
  

Si l’intégration de sécurité pour Azure AD est déjà configurée, utilisez :

alter security integration external_oauth_azure_1 set external_oauth_token_user_mapping_claim = ('sub','upn');  

Dans le cas de l’authentification déléguée, l’utilisateur Snowflake ou email_address doit correspondre à l’e-mail login_name Entra de l’utilisateur qui exécutera le flux Power Automate.

Exemple :

ALTER USER SNOWSQL_DELEGATE_USER  
LOGIN_NAME = '<ENTRA-USERID>' or EMAIL_ADDRESS = ‘ENTRA-USERID’ 
DISPLAY_NAME = 'SnowSQL Delegated User'  
COMMENT = 'A delegate user for SnowSQL client to be used for OAuth based connectivity'; 

OR

• Authentification du principal de service :
  

  create security integration external_oauth_azure_2 
      type = external_oauth 
      enabled = true 
      external_oauth_type = azure 
      external_oauth_issuer = '<AZURE_AD_ISSUER>' 
      external_oauth_jws_keys_url = '<AZURE_AD_JWS_KEY_ENDPOINT>' 
      external_oauth_audience_list = ('<SNOWFLAKE_APPLICATION_ID_URI>') 
      external_oauth_token_user_mapping_claim = ‘sub’     
      external_oauth_snowflake_user_mapping_attribute = 'login_name';
  

Continuez ci-dessous pour la configuration de l’authentification du principal de service uniquement.

Créez un utilisateur pour la connexion basée sur le principal de service :

• La sous-valeur doit être mappée à un utilisateur dans Snowflake, évitez d’utiliser des comptes de privilèges élevés Accountadmin, Orgadmin, Securityadmin.

  CREATE OR REPLACE USER SNOWSQL_OAUTH_USER  
  LOGIN_NAME = '<subvalue from decoded token>'  
  DISPLAY_NAME = 'SnowSQL OAuth User'  
  COMMENT = 'A system user for SnowSQL client to be used for OAuth based connectivity'; 
  
  CREATE ROLE ANALYST; 
  
  GRANT ROLE ANALYST TO USER SNOWSQL_OAUTH_USER;
  

F. Valider l’accès Snowflake [Facultatif]

• Authentification déléguée

  snowsql -a organization-locator -u 'user@sandbox.onmicrosoft.com' --rolename <rolename> --authenticator oauth --token "<token-value>"
  

OR

• Authentification du principal de service

  snowsql -a <snowflake-accountname> -u ‘sub-value’ -r <snowflake-role from A.11.h above> –authenticator oauth –token <output from curl at step D> 
  

Clients utilisant Snowflake Connector [DÉPRÉCIÉ]

Applicable : Toutes les régions

Pour migrer d’un connecteur Snowflake plus ancien vers le nouveau connecteur, suivez les étapes ci-dessous.

Cette option concerne uniquement les connexions plus anciennes sans type d’authentification explicite et est fournie uniquement pour la compatibilité descendante.

Si un flux Power Automate à l’aide d’un connecteur antérieur a été créé (désormais marqué comme déconseillé), une nouvelle connexion doit être configurée en suivant les étapes décrites dans les étapes de configuration ci-dessus et mettre à jour les flux existants pour utiliser la nouvelle connexion.

L’action « Convertir les lignes du jeu de résultats du tableau en objets » doit également être supprimée, car cette fonctionnalité est désormais encapsulée dans « Vérifier l’état et obtenir les résultats ».

Problèmes connus et limitations

1. Actuellement, nous ne prenons pas en charge les colonnes dupliquées lorsque la commande de jointure est exécutée. Une solution de contournement consiste à ajouter des alias aux colonnes dupliquées.

2. D’autres limitations avec les tables virtuelles sont répertoriées ici.

3. Les tables virtuelles sont uniquement prises en charge avec les connexions créées avec l’authentification « Principal de service ».

4. Lorsque vous utilisez l’authentification par principe de service, l’utilisateur doit disposer d’un accès en lecture à la table information_schema.columns .

5. Les connexions Snowflake ne peuvent pas être créées directement dans les applications Canvas, les informations d’erreur et les étapes nécessaires pour résoudre le problème sont les suivantes :

   1. Une erreur s’affiche si la connexion Snowflake est créée directement dans une application Canvas, comme illustré dans la capture d’écran ci-dessous, créer une
   2. Au lieu d’ajouter le connecteur directement dans l’application Canvas, créez une connexion de principal de service (non déléguée) en dehors de l’application Canvas.
   3. Utiliser la connexion Snowflake créée ci-dessus et créer une connexion de table virtuelle
   4. Par la suite, la table virtuelle peut être chargée dans l’application Canevas et générer à partir de l’application Canevas peut poursuivre
   5. La table ANIMALS ci-dessus est une table virtuelle, créée à l’aide de la connexion Snowflake, comme mentionné ci-dessus

Limites générales

Nom	Valeur
Nombre maximal de demandes traitées par le connecteur simultanément	50

Création d’une connexion

Le connecteur prend en charge les types d’authentification suivants :

Principal du service (application Microsoft Entra ID)	Utilisez l’application Microsoft Entra ID pour accéder à votre base de données Snowflake.	Toutes les régions	Partageable
Authentification déléguée du principal de service (application Microsoft Entra ID)	Utilisez l’application Microsoft Entra ID pour accéder à votre base de données Snowflake.	Toutes les régions	Partageable
Valeur par défaut [DÉCONSEILLÉE]	Cette option concerne uniquement les connexions plus anciennes sans type d’authentification explicite et est fournie uniquement pour la compatibilité descendante.	Toutes les régions	Non partageable

Principal du service (application Microsoft Entra ID)

ID d’authentification : oauthSP

Applicable : Toutes les régions

Utilisez l’application Microsoft Entra ID pour accéder à votre base de données Snowflake.

Il s’agit d’une connexion partageable. Si l’application d’alimentation est partagée avec un autre utilisateur, la connexion est également partagée. Pour plus d’informations, consultez la vue d’ensemble des connecteurs pour les applications de canevas - Power Apps | Microsoft Docs

Nom	Type	Descriptif	Obligatoire
Locataire	ficelle		Vrai
ID de client	ficelle		Vrai
Clé secrète client	securestring		Vrai
URL de ressource	ficelle	URL de l’audience OAuth Snowflake (URL de ressource)	Vrai
Snowflake SaaS URL	ficelle	URL Snowflake n’incluant pas le préfixe HTTPS (par exemple, fnpuupu-in12345.snowflakecomputing.com)	Vrai
Base de données Snowflake	ficelle	Spécifier la base de données à laquelle se connecter	Vrai
Nom de l’entrepôt	ficelle	Entrepôt Snowflake pour se connecter à	Vrai
Role	ficelle	Rôle Snowflake pour se connecter en tant que	Vrai
Schema	ficelle	Schéma Snowflake à connecter à	Vrai

Authentification déléguée du principal de service (application Microsoft Entra ID)

ID d’authentification : oauthSPUserDelegated

Applicable : Toutes les régions

Utilisez l’application Microsoft Entra ID pour accéder à votre base de données Snowflake.

Il s’agit d’une connexion partageable. Si l’application d’alimentation est partagée avec un autre utilisateur, la connexion est également partagée. Pour plus d’informations, consultez la vue d’ensemble des connecteurs pour les applications de canevas - Power Apps | Microsoft Docs

Nom	Type	Descriptif	Obligatoire
ID de client	ficelle	Snowflake OAuth Client ID	Vrai
Clé secrète client	securestring	Clé secrète client OAuth Snowflake	Vrai
URL de ressource	ficelle	URL de l’audience OAuth Snowflake (URL de ressource)	Vrai

Valeur par défaut [DÉCONSEILLÉE]

Applicable : Toutes les régions

Cette option concerne uniquement les connexions plus anciennes sans type d’authentification explicite et est fournie uniquement pour la compatibilité descendante.

Cette connexion n’est pas partageable. Si l’application power est partagée avec un autre utilisateur, un autre utilisateur est invité à créer une connexion explicitement.

Nom	Type	Descriptif	Obligatoire
Il s’agit d’un espace réservé factice nécessaire pour le temps en raison du bogue du widget de connexion de l’interface utilisateur MCS. Toutes les modifications d’authentification doivent être apportées dans connectionParameterSets	ficelle	Il s’agit d’un espace réservé factice nécessaire pour le temps en raison du bogue du widget de connexion de l’interface utilisateur MCS. Toutes les modifications d’authentification doivent être apportées dans connectionParameterSets

Limitations

Nom	Appels	Période de renouvellement
Appels d’API par connexion	900	60 secondes

Actions

Annuler l’exécution d’une instruction	Annuler l’exécution d’une instruction
Envoyer une instruction SQL pour l’exécution	Envoyer une instruction SQL pour l’exécution
Vérifier l’état et obtenir les résultats	Vérifier l’état de l’exécution d’une instruction et obtenir les résultats

Annuler l’exécution d’une instruction

Envoyer une instruction SQL pour l’exécution

Vérifier l’état et obtenir les résultats