Snowflake

Esse conector está disponível nos seguintes produtos e regiões:

Service	Class	Regions
Copilot Studio	Premium	Todas as regiões do Power Automate , exceto as seguintes:      – Governo dos EUA (GCC)      – Governo dos EUA (GCC High)      - China Cloud operado pela 21Vianet      - Departamento de Defesa dos EUA (DoD)
Aplicativos Lógicos	Standard	Todas as regiões dos Aplicativos Lógicos , exceto as seguintes:      – Regiões do Azure Governamental      - Regiões do Azure China      - Departamento de Defesa dos EUA (DoD)
Power Apps	Premium	Todas as regiões do Power Apps , exceto as seguintes:      – Governo dos EUA (GCC)      – Governo dos EUA (GCC High)      - China Cloud operado pela 21Vianet      - Departamento de Defesa dos EUA (DoD)
Power Automate	Premium	Todas as regiões do Power Automate , exceto as seguintes:      – Governo dos EUA (GCC)      – Governo dos EUA (GCC High)      - China Cloud operado pela 21Vianet      - Departamento de Defesa dos EUA (DoD)

Contato
Nome	Suporte do Snowflake
URL	https://www.snowflake.com/support
Email	support@snowflake.com

Metadados do conector
Publicador	Snowflake
Site	https://www.snowflake.com
Política de privacidade	https://www.snowflake.com/privacy-policy
Categorias	Dados; Marketing

Conector aprofundado

Este artigo descreve as funcionalidades e ações do conector Snowflake.

Recursos com suporte para o Power Automate

• Os usuários podem criar fluxos e adicionar ações para executar e obter resultados de instruções SQL personalizadas com a conexão Snowflake.

Recursos com suporte para o Power Apps

• Os usuários devem primeiro criar tabelas virtuais e, em seguida, carregá-las em aplicativos com a conexão Snowflake (uma conexão criada usando apenas 'autenticação da Entidade de Serviço'). Saiba como criar tabelas virtuais: criar e editar tabelas virtuais com o Microsoft Dataverse – Power Apps | Microsoft Learn.

Recursos com suporte para aplicativos lógicos

• Os usuários podem criar fluxos e adicionar ações para executar e obter resultados de instruções SQL personalizadas com a conexão Snowflake.

Suporte à rede virtual

Com o suporte à Rede Virtual do Azure para o Power Platform, os usuários podem integrar o Power Platform a recursos dentro de sua rede virtual sem expô-los pela Internet pública. Para se conectar à Rede Virtual, siga as duas etapas mencionadas abaixo.

1. Saiba como configurar o Link Privado do Azure e o Snowflake
2. Saiba como configurar o suporte à Rede Virtual para o Power Platform

Para saber mais sobre a rede virtual, verifique a visão geral do suporte à Rede Virtual.

Pré-requisitos

• Os usuários devem ter a ID do Microsoft Entra para a autorização externa. O fluxo de autorização do PowerApps aproveita a Entidade de Serviço e o Power Automate dará suporte a fluxos Service-Principal e em nome do usuário.
• Os usuários devem ter uma licença premium do Power Apps.
• Os usuários devem ter uma conta snowflake.

Algumas coisas que devem ser mantidas em mente em relação à configuração para usar o conector Snowflake

1. O servidor de autorização pode conceder ao cliente OAuth um token de acesso em nome do usuário, chamado DELEGATED BASED AUTH.
2. O servidor de autorização pode conceder ao cliente OAuth um token de acesso para o próprio cliente OAuth, conhecido como SP BASED AUTH.
3. Para o cliente Oauth, adicione um URI de Redirecionamento (baseado na Web) para base AUTHdelegada.
   URI de redirecionamento – https://global.consent.azure-apim.net/redirect/snowflakev2
4. Uma integração de segurança com audiências deve ser criada.
5. Para autenticação com base delegada, external_oauth_token_user_mapping_claim = 'upn'
6. Para autenticação baseada em sp, external_oauth_token_user_mapping_claim = 'sub'
7. No momento da criação da integração de segurança, descreva a integração criada e verifique se a função fornecida ao usuário do Snowflake está na lista bloqueada ou não. Se estiver na lista bloqueada, altere ou remova a função do usuário na lista bloqueada.
   
8. Verifique se as funções e as login_name funções estão definidas corretamente na conta snowflake. Isso pode ser verificado por meio da guia Usuários e Funções > do Administrador > Selecione um usuário e edite os detalhes do usuário.
   

Etapas de configuração

A. Configurar o recurso OAuth na ID do Microsoft Entra

1. Navegue até o Portal do Microsoft Azure e autentique-se.
2. Navegue até a ID do Microsoft Entra.
3. Clique em Registros de Aplicativo.
4. Clique em Novo Registro.
5. Insira 'Snowflake OAuth Resource' ou valor semelhante ao Nome.
6. Verifique se os tipos de conta com suporte estão definidos como Locatário Único.
7. Clique em Registrar.
8. Clique em Expor uma API.
9. Clique no link ao lado do URI da ID do Aplicativo para adicionar o URI da ID do Aplicativo. O URI da ID do aplicativo será do formato Application ID URI <api://9xxxxxxxxxxxxxxxxxx>
10. Para Autenticação Delegada (capturas de tela aqui):
    1. Clique em Adicionar um Escopo para adicionar um escopo que represente a função Snowflake.
    2. Selecione quem pode consentir.
    3. Adicione uma descrição.
    4. Clique em Adicionar Escopo para salvar.
       Exemplo: session:scope:analyst
       
       OR
       
       
11. Para autenticação da entidade de serviço (capturas de tela aqui):
    Para adicionar uma função Snowflake como uma função para o OAuth, o cliente programático solicita um token de acesso para si mesmo:

    1. Clique em Manifesto.

    2. Localize o appRoles elemento.

    3. Insira uma Função de Aplicativo com as seguintes configurações, a função Snowflake deve ser aquela que tem acesso a um warehouse e privilégios de uso no esquema (verifique aqui se há detalhes sobre vales de manifesto).

    4. Veja a definição de exemplo abaixo:
       
       A Função de Aplicativo se manifesta da seguinte maneira. Evite usar funções de alto privilégio, como ACCOUNTADMIN, SECURITYADMIN ou ORGADMIN.
       

        "appRoles":[
            {
                "allowedMemberTypes": [ "Application" ],
                "description": "Analyst.",
                "displayName": "Analyst",
                "id": "3ea51f40-2ad7-4e79-aa18-12c45156dc6a",
                "isEnabled": true,
                "lang": null,
                "origin": "Application",
                "value": "session:role:analyst"
            }
        ]
       

    5. Clique em Salvar

12. Opcionalmente, se uma integração de segurança já estiver sendo usada no Snowflake com outro produto da Microsoft, como o PowerBI e com um mapeamento de declaração diferente, o manifesto precisará ser modificado. O manifesto precisará emitir tokens usando um emissor diferente, para que uma integração de segurança separada no Snowflake com o mapeamento de declaração exclusivo possa ser criada.
    a. Clique em Manifesto.
    b. Localize o atributo requestedAccessTokenVersion e defina o valor como "2".
    • Quando requestedAccessTokenVersion for definido como "2", o Token de Acesso terá um emissor de formato: https://login.microsoftonline.com/<Tenant-ID>/v2.0
    • Quando requestedAccessTokenVersion for definido como "1", o Token de Acesso terá um emissor de formato: https://sts.windows.net/<tenant-ID>/
      c. Clique em Salvar.

B. Criar um cliente OAuth no Microsoft Entra ID

1. Navegue até o Portal do Microsoft Azure e autentique-se.
2. Navegue até o Azure Active Directory.
3. Clique em Registros de Aplicativo.
4. Clique em Novo Registro.
5. Insira um nome para o cliente, como 'Snowflake OAuth Client'.
6. Verifique se os tipos de conta com suporte estão definidos como Locatário Único.
7. Clique em Registrar.
8. Na seção Visão geral , copie o ClientID campo ID do aplicativo (cliente ). Isso será conhecido como as <OAUTH_CLIENT_ID> etapas a seguir.
9. Clique em Certificados & segredos e, em seguida , novo segredo do cliente.
10. Adicione uma descrição do segredo.
11. Para fins de teste, selecione segredos de vida longa, mas para Produção siga as políticas de segurança necessárias.
12. Clique em Adicionar. Copie o segredo. Isso será conhecido como as <OAUTH_CLIENT_SECRET> etapas a seguir.
13. Para autenticação delegada:
    a. Clique em Gerenciar ->Permissões de API.
    b. Clique em Adicionar Permissão.
    c. Clique em Minhas APIs.
    d. Clique no recurso OAuth snowflake que foi criado em Configurar o recurso Oauth na ID do Microsoft Entra
    e. Clique na caixa Permissões Delegadas .
    f. Verifique a permissão relacionada aos Escopos definidos manualmente no aplicativo que deseja ser concedido a esse cliente.
    g. Clique em Adicionar Permissões.
    h. Clique no botão Conceder Consentimento do Administrador para conceder as permissões ao cliente. Observe que, para fins de teste, as permissões são configuradas dessa forma. No entanto, em um ambiente de produção, a concessão de permissões dessa maneira não é aconselhável.
    i. Clique em Sim.
    j. Clique em Gerenciar –> Autenticação, adicione uma plataforma – > Web e insira URI de Redirecionamento
    https://global.consent.azure-apim.net/redirect/snowflakev2
    
    OR
    
    
14. Para autenticação da entidade de serviço:
    a. Clique em Gerenciar ->Permissões de API.
    b. Clique em Adicionar Permissão.
    c. Clique em Minhas APIs.
    d. Clique no Recurso OAuth do Floco de Neve que foi criado para configurar o recurso Oauth na ID do Microsoft Entra .
    e. Clique na caixa Permissões do Aplicativo .
    f. Verifique a permissão relacionada às funções definidas manualmente no manifesto do aplicativo que deseja ser concedido a esse cliente.
    g. Clique em Adicionar Permissões.
    h. Clique no botão Conceder Consentimento do Administrador para conceder as permissões ao cliente. Observe que, para fins de teste, as permissões são configuradas dessa forma. No entanto, em um ambiente de produção, a concessão de permissões dessa maneira não é aconselhável.
    i. Clique em Sim.

C. Coletar informações do Azure AD para Snowflake

1. Navegue até o Portal do Microsoft Azure e autentique-se.
2. Navegue até o Azure Active Directory.
3. Clique em Registros de Aplicativo.
4. Clique no Recurso OAuth do Floco de Neve que foi criado para configurar o recurso Oauth na ID do Microsoft Entra .
5. Clique em Pontos de Extremidade na interface visão geral.
6. No lado direito, copie o ponto de extremidade do token OAuth 2.0 (v2) e anote as URLs para metadados do OpenID Connect e metadados do Federation Connect.

• O ponto de extremidade do token OAuth 2.0 (v2) será conhecido como as <AZURE_AD_OAUTH_TOKEN_ENDPOINT> etapas de configuração a seguir. O ponto de extremidade deve ser semelhante a https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token.
• Para os metadados do OpenID Connect, abra em uma nova janela do navegador.
  • Localize o jwks_uri parâmetro e copie seu valor.
  • Esse valor de parâmetro será conhecido como as <AZURE_AD_JWS_KEY_ENDPOINT> etapas de configuração a seguir. O ponto de extremidade deve ser semelhante a https://login.microsoftonline.com/<tenant-id>/discovery/v2.0/keys.
• Para o documento de metadados de Federação, abra a URL em uma nova janela do navegador.
  • Localize o "entityID" parâmetro e XML Root Element copie seu valor.
  • Esse valor de parâmetro será conhecido como as <AZURE_AD_ISSUER> etapas de configuração a seguir. O valor entityID deve ser semelhante a https://sts.windows.net/<tenant-id>/.

D. Validar a configuração da Autorização do Entra

É recomendável que a configuração seja testada no momento, use o curl abaixo e verifique se a Entra está emitindo um token usando qualquer ferramenta de teste de API, como a Insônia ou outras.

• Autenticação Delegada: (Opcional)

  • Uma etapa anterior deve ser executada para obter o código, este documento pode ser seguido
    

    curl --request POST --url https://login.microsoftonline.com/<TENANT_ID>/oauth2/token --header 'Content-Type: multipart/form-data' --form client_id=<AAD_CLIENT_ID> --form client_secret=< AAD_CLIENT_SECRET> --form resource=< AAD_RESOURCE_ID> --formgrant_type=authorization_code --form code=<CODE_GENERATED_ABOVE> --form redirect_uri=https://localhost
    

  • Observação: adicione o URI de redirecionamento no aplicativo cliente do AAD.
    

OR

• Autenticação da Entidade de Serviço:
  

  curl -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" \ --data-urlencode "client_id=client_id from above B.8" \ --data-urlencode "client_secret=<Secret from above B.12>" \ --data-urlencode "grant_type=client_credentials" \ --data-urlencode "scope=api://<Appl_URI_ID>/.default" \'https://login.microsoftonline.com/<tenant_id>/oauth2/v2.0/token'
  

Para validar o token, execute o comando abaixo no Snowflake:

select system$verify_external_oauth_token(‘<token>’);

E. Criar uma integração de segurança com audiências

O external_oauth_audience_list parâmetro da integração de segurança deve corresponder ao URI da ID do Aplicativo especificado ao configurar a ID do Microsoft Entra.

• Autenticação Delegada:
  

  create security integration external_oauth_azure_1    
      type = external_oauth
      enabled = true
      external_oauth_type = azure
      external_oauth_issuer = '<AZURE_AD_ISSUER>'
      external_oauth_jws_keys_url = '<AZURE_AD_JWS_KEY_ENDPOINT>'
      external_oauth_audience_list = ('<SNOWFLAKE_APPLICATION_ID_URI>')
      external_oauth_token_user_mapping_claim = ‘upn’ 
      external_oauth_snowflake_user_mapping_attribute = 'login_name or email address';
  

Se a integração de segurança para o Azure AD já estiver configurada, use:

alter security integration external_oauth_azure_1 set external_oauth_token_user_mapping_claim = ('sub','upn');  

No caso da Autenticação Delegada, o usuário do login_name Snowflake ou email_address deve corresponder ao email do Entra do usuário que executará o fluxo do Power Automate.

Exemplo:

ALTER USER SNOWSQL_DELEGATE_USER  
LOGIN_NAME = '<ENTRA-USERID>' or EMAIL_ADDRESS = ‘ENTRA-USERID’ 
DISPLAY_NAME = 'SnowSQL Delegated User'  
COMMENT = 'A delegate user for SnowSQL client to be used for OAuth based connectivity'; 

OR

• Autenticação da Entidade de Serviço:
  

  create security integration external_oauth_azure_2 
      type = external_oauth 
      enabled = true 
      external_oauth_type = azure 
      external_oauth_issuer = '<AZURE_AD_ISSUER>' 
      external_oauth_jws_keys_url = '<AZURE_AD_JWS_KEY_ENDPOINT>' 
      external_oauth_audience_list = ('<SNOWFLAKE_APPLICATION_ID_URI>') 
      external_oauth_token_user_mapping_claim = ‘sub’     
      external_oauth_snowflake_user_mapping_attribute = 'login_name';
  

Continue abaixo apenas para a configuração da Autenticação da Entidade de Serviço.

Criar um usuário para conexão baseada na Entidade de Serviço:

• O subvalor deve ser mapeado para um usuário no Snowflake, evite usar contas de alto privilégio Accountadmin, Orgadmin, Securityadmin.

  CREATE OR REPLACE USER SNOWSQL_OAUTH_USER  
  LOGIN_NAME = '<subvalue from decoded token>'  
  DISPLAY_NAME = 'SnowSQL OAuth User'  
  COMMENT = 'A system user for SnowSQL client to be used for OAuth based connectivity'; 
  
  CREATE ROLE ANALYST; 
  
  GRANT ROLE ANALYST TO USER SNOWSQL_OAUTH_USER;
  

F. Validar o acesso snowflake [opcional]

• Autenticação Delegada

  snowsql -a organization-locator -u 'user@sandbox.onmicrosoft.com' --rolename <rolename> --authenticator oauth --token "<token-value>"
  

OR

• Autenticação da Entidade de Serviço

  snowsql -a <snowflake-accountname> -u ‘sub-value’ -r <snowflake-role from A.11.h above> –authenticator oauth –token <output from curl at step D> 
  

Clientes que usam o Snowflake Connector [PRETERIDO]

Aplicável: todas as regiões

Para migrar de um conector snowflake mais antigo para o novo, siga as etapas abaixo.

Essa opção é apenas para conexões mais antigas sem um tipo de autenticação explícita e é fornecida apenas para compatibilidade com versões anteriores.

Se um fluxo do Power Automate usando um conector anterior tiver sido criado (agora marcado como preterido), uma nova conexão precisará ser configurada seguindo as etapas documentadas nas Etapas de Configuração acima e atualizar os fluxos existentes para usar a nova conexão.

A ação "Converter linhas do conjunto de resultados de matriz em objetos" também precisaria ser descartada, pois essa funcionalidade agora está encapsulada em "Verificar o Status e Obter Resultados".

Problemas e limitações conhecidos

1. Atualmente, não há suporte para colunas duplicadas quando o comando join é executado. Uma solução alternativa seria adicionar aliases às colunas duplicadas.

2. Outras limitações com tabelas virtuais estão listadas aqui.

3. As tabelas virtuais só têm suporte com conexões criadas com a autenticação "Entidade de Serviço".

4. Ao usar a autenticação do Princípio de Serviço, o usuário precisa ter acesso de leitura à tabela information_schema.columns .

5. As conexões snowflake não podem ser criadas diretamente em aplicativos canvas, informações de erro e etapas necessárias para resolver o problema são as seguintes:

   1. Um erro mostrará se a conexão Snowflake é criada diretamente em um aplicativo Canvas, conforme mostrado na captura de tela abaixo
   2. Em vez de adicionar o conector diretamente no aplicativo Canvas, crie uma conexão de entidade de serviço (não delegada) de fora do aplicativo Canvas
   3. Use a conexão Snowflake criada acima e crie um erro de de tabela virtual
   4. Posteriormente, a tabela virtual pode ser carregada no aplicativo Canvas e a compilação do aplicativo Canvas pode prosseguir
   5. A tabela ANIMALS acima é uma tabela virtual, criada usando a Conexão Snowflake, conforme mencionado acima

Limites Gerais

Nome	Value
Número máximo de solicitações sendo processadas pelo conector simultaneamente	50

Criando uma conexão

O conector dá suporte aos seguintes tipos de autenticação:

Entidade de serviço (aplicativo ID do Microsoft Entra)	Use o aplicativo Microsoft Entra ID para acessar seu banco de dados Snowflake.	Todas as regiões	Compartilhável
Autenticação Delegada da entidade de serviço (aplicativo ID do Microsoft Entra)	Use o aplicativo Microsoft Entra ID para acessar seu banco de dados Snowflake.	Todas as regiões	Compartilhável
Padrão [PRETERIDO]	Essa opção é apenas para conexões mais antigas sem um tipo de autenticação explícita e é fornecida apenas para compatibilidade com versões anteriores.	Todas as regiões	Não compartilhável

Entidade de serviço (aplicativo ID do Microsoft Entra)

ID de autenticação: oauthSP

Aplicável: todas as regiões

Use o aplicativo Microsoft Entra ID para acessar seu banco de dados Snowflake.

Essa é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, a conexão também será compartilhada. Para obter mais informações, consulte a visão geral dos Conectores para aplicativos de tela – Power Apps | Microsoft Docs

Nome	Tipo	Description	Obrigatório
Inquilino	cadeia		Verdade
ID do cliente	cadeia		Verdade
Segredo de Cliente	secureString		Verdade
URL do Recurso	cadeia	URL do público-alvo do Snowflake OAuth (URL do recurso)	Verdade
URL de SaaS do Floco de Neve	cadeia	URL snowflake que não inclui o prefixo HTTPS (por exemplo, fnpuupu-in12345.snowflakecomputing.com)	Verdade
Banco de dados snowflake	cadeia	Especificar o banco de dados ao qual se conectar	Verdade
Nome do armazém	cadeia	Snowflake warehouse para se conectar a	Verdade
Função	cadeia	Função snowflake para se conectar como	Verdade
Schema	cadeia	Esquema floco de neve ao qual se conectar	Verdade

Autenticação Delegada da entidade de serviço (aplicativo ID do Microsoft Entra)

ID de autenticação: oauthSPUserDelegated

Aplicável: todas as regiões

Use o aplicativo Microsoft Entra ID para acessar seu banco de dados Snowflake.

Essa é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, a conexão também será compartilhada. Para obter mais informações, consulte a visão geral dos Conectores para aplicativos de tela – Power Apps | Microsoft Docs

Nome	Tipo	Description	Obrigatório
ID do cliente	cadeia	ID do cliente OAuth snowflake	Verdade
Segredo de Cliente	secureString	Segredo do cliente OAuth snowflake	Verdade
URL do Recurso	cadeia	URL do público-alvo do Snowflake OAuth (URL do recurso)	Verdade

Padrão [PRETERIDO]

Aplicável: todas as regiões

Essa opção é apenas para conexões mais antigas sem um tipo de autenticação explícita e é fornecida apenas para compatibilidade com versões anteriores.

Essa não é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.

Nome	Tipo	Description	Obrigatório
Esse é um espaço reservado fictício necessário para o tempo devido ao bug do widget de conexão da interface do usuário do MCS. Quaisquer alterações de autenticação devem ser feitas em connectionParameterSets	cadeia	Esse é um espaço reservado fictício necessário para o tempo devido ao bug do widget de conexão da interface do usuário do MCS. Quaisquer alterações de autenticação devem ser feitas em connectionParameterSets

Limitações

Nome	Chamadas	Período de renovação
Chamadas à API por conexão	900	60 segundos

Ações

Cancelar a execução de uma instrução	Cancelar a execução de uma instrução
Enviar instrução SQL para execução	Enviar uma instrução SQL para execução
Verificar o status e obter resultados	Verificar o status da execução de uma instrução e obter os resultados

Cancelar a execução de uma instrução

Enviar instrução SQL para execução

Verificar o status e obter resultados