Snowflake

Este conector está disponível nos seguintes produtos e regiões:

Serviço	Class	Regiões
Estúdio Copiloto	Premium	Todas as regiões do Power Automatic , exceto as seguintes:      - Governo dos EUA (CCG)      - Governo dos EUA (GCC High)      - China Cloud operado pela 21Vianet      - Departamento de Defesa dos EUA (DoD)
Aplicações Lógicas	Standard	Todas as regiões do Logic Apps , exceto as seguintes:      - Regiões do Azure Government      - Regiões do Azure China      - Departamento de Defesa dos EUA (DoD)
Aplicações Power	Premium	Todas as regiões do Power Apps , exceto as seguintes:      - Governo dos EUA (CCG)      - Governo dos EUA (GCC High)      - China Cloud operado pela 21Vianet      - Departamento de Defesa dos EUA (DoD)
Automatize o poder	Premium	Todas as regiões do Power Automatic , exceto as seguintes:      - Governo dos EUA (CCG)      - Governo dos EUA (GCC High)      - China Cloud operado pela 21Vianet      - Departamento de Defesa dos EUA (DoD)

Contato
Nome	Suporte Snowflake
URL	https://www.snowflake.com/support
Email	support@snowflake.com

Metadados do conector
Editora	Snowflake
Sítio Web	https://www.snowflake.com
Política de privacidade	https://www.snowflake.com/privacy-policy
Categorias	Dados; Comercialização

Conector em profundidade

Este artigo descreve os recursos e ações do conector Snowflake.

Recursos suportados para Power Automate

• Os usuários podem criar fluxos e adicionar ações para executar e recuperar resultados de instruções SQL personalizadas com a conexão Snowflake.

Capacidades suportadas para Power Apps

• Os usuários devem primeiro criar tabelas virtuais e, em seguida, carregá-las em aplicativos com a conexão Snowflake (uma conexão criada usando apenas a 'autenticação da entidade de serviço'). Saiba como criar tabelas virtuais: Criar e editar tabelas virtuais com o Microsoft Dataverse - Power Apps | Microsoft Learn.

Recursos suportados para aplicativos lógicos

• Os usuários podem criar fluxos e adicionar ações para executar e recuperar resultados de instruções SQL personalizadas com a conexão Snowflake.

Suporte de Rede Virtual

Com o suporte da Rede Virtual do Azure para a Power Platform, os utilizadores podem integrar a Power Platform com recursos dentro da sua rede virtual sem os expor através da Internet pública. Para se conectar à Rede Virtual, siga as duas etapas mencionadas abaixo.

1. Saiba como configurar o Azure Private Link e o Snowflake
2. Saiba como configurar o suporte de Rede Virtual para Power Platform

Para saber mais sobre a Rede Virtual, consulte a Visão Geral do Suporte da Rede Virtual.

Pré-requisitos

• Os usuários devem ter o ID do Microsoft Entra para a autorização externa. O fluxo de autorização para o PowerApps aproveita o Service-Principal, e o Power Automate suportará fluxos Service-Principal e em nome do usuário.
• Os usuários devem ter uma licença premium do Power Apps.
• Os usuários devem ter uma conta Snowflake.

Algumas coisas que devem ser mantidas em mente em relação à configuração para usar o conector Snowflake

1. O servidor de autorização pode conceder ao cliente OAuth um token de acesso em nome do usuário, referido como DELEGATED BASED AUTH.
2. O servidor de autorização pode conceder ao cliente OAuth um token de acesso para o próprio cliente OAuth, conhecido como SP BASED AUTH.
3. Para o cliente Oauth, certifique-se de adicionar um URI de redirecionamento (baseado na Web) para baseado em delegado AUTH.
   URI de redirecionamento - https://global.consent.azure-apim.net/redirect/snowflakev2
4. Deve ser criada uma integração de segurança com audiências.
5. Para autenticação baseada em delegação, external_oauth_token_user_mapping_claim = 'upn'
6. Para autenticação baseada em sp, external_oauth_token_user_mapping_claim = 'sub'
7. No momento da criação da integração de segurança, descreva a integração criada e verifique se a função dada ao usuário do Snowflake está na lista de bloqueios ou não. Se estiver na lista de bloqueados, altere ou remova a função do usuário na lista de bloqueados.
   
8. Verifique se as login_name funções e estão definidas corretamente na conta do Snowflake. Isso pode ser verificado através da guia > Admin Usuários e Funções > Selecione um usuário e Edite os detalhes do usuário.
   

Etapas de configuração

A. Configurar o recurso OAuth no Microsoft Entra ID

1. Navegue até o Portal do Microsoft Azure e autentique-se.
2. Navegue até Microsoft Entra ID.
3. Clique em Registos de Aplicações.
4. Clique em Novo Registo.
5. Digite 'Snowflake OAuth Resource', ou valor semelhante ao Name.
6. Verifique se os tipos de conta suportados estão definidos como Locatário único.
7. Clique em Registar.
8. Clique em Expor uma API.
9. Clique no link ao lado de URI de ID de Aplicativo para adicionar o URI de ID de Aplicativo. O URI do ID do aplicativo será do formato Application ID URI <api://9xxxxxxxxxxxxxxxxxx>
10. Para autenticação delegada (capturas de tela aqui):
    1. Clique em Adicionar um escopo para adicionar um escopo que represente a função Floco de neve.
    2. Selecione quem pode consentir.
    3. Adicione uma descrição.
    4. Clique em Adicionar escopo para salvar.
       Exemplo: session:scope:analyst
       
       OR
       
       
11. Para Service Principal Auth (capturas de tela aqui):
    Para adicionar uma função Snowflake como uma função para fluxos OAuth onde o cliente programático solicita um token de acesso para si mesmo:

    1. Clique em Manifesto.

    2. Localize o appRoles elemento .

    3. Insira uma Função de Aplicativo com as seguintes configurações, a função Snowflake deve ser aquela que tem acesso a um depósito e privilégios de uso no esquema (verifique aqui os detalhes sobre vales de manifesto).

    4. Veja a definição de exemplo abaixo:
       
       A Função de Aplicativo se manifesta da seguinte maneira. Evite usar funções de alto privilégio como ACCOUNTADMIN, SECURITYADMIN ou ORGADMIN.
       

        "appRoles":[
            {
                "allowedMemberTypes": [ "Application" ],
                "description": "Analyst.",
                "displayName": "Analyst",
                "id": "3ea51f40-2ad7-4e79-aa18-12c45156dc6a",
                "isEnabled": true,
                "lang": null,
                "origin": "Application",
                "value": "session:role:analyst"
            }
        ]
       

    5. Clique em Salvar

12. Opcionalmente, se uma integração de segurança já estiver sendo usada no Snowflake com outro produto da Microsoft, como o PowerBI, e com um mapeamento de declaração diferente, o manifesto precisará ser modificado. O manifesto precisará emitir tokens usando um emissor diferente, para que uma integração de segurança separada no Snowflake com o mapeamento de declaração exclusivo possa ser criada.
    a. Clique em Manifesto.
    b) Encontre o atributo requestedAccessTokenVersion e defina o valor como "2".
    • Quando requestedAccessTokenVersion estiver definido como "2", o Token de Acesso terá um emissor de formato: https://login.microsoftonline.com/<Tenant-ID>/v2.0
    • Quando requestedAccessTokenVersion estiver definido como "1", o Access Token terá um emissor de formato: https://sts.windows.net/<tenant-ID>/
      c. Clique em Guardar.

B. Criar um cliente OAuth no Microsoft Entra ID

1. Navegue até o Portal do Microsoft Azure e autentique-se.
2. Navegue até Azure Ative Directory.
3. Clique em Registos de Aplicações.
4. Clique em Novo Registo.
5. Insira um nome para o cliente, como 'Snowflake OAuth Client'.
6. Verifique se os tipos de conta suportados estão definidos como Locatário único.
7. Clique em Registrar.
8. Na seção Visão geral , copie o ClientID do campo ID do aplicativo (cliente ). Isso será conhecido como o <OAUTH_CLIENT_ID> nas etapas a seguir.
9. Clique em Certificados & segredos e, em seguida, em Novo segredo do cliente.
10. Adicione uma descrição do segredo.
11. Para fins de teste, selecione segredos de longa duração, mas para Produção siga as políticas de segurança necessárias.
12. Clique em Adicionar. Copie o segredo. Isso será conhecido como o <OAUTH_CLIENT_SECRET> nas etapas a seguir.
13. Para autenticação delegada:
    a. Clique em Gerenciar ->API Permissions.
    b) Clique em Adicionar permissão.
    c. Clique em Minhas APIs.
    d. Clique no recurso OAuth Snowflake que foi criado em Configurar o recurso Oauth no Microsoft Entra ID
    e. Clique na caixa Permissões delegadas .
    f. Verifique a Permissão relacionada aos Escopos definidos manualmente no Aplicativo que se deseja conceder a este cliente.
    g. Clique em Adicionar permissões.
    h. Clique no botão Conceder Consentimento do Administrador para conceder as permissões ao cliente. Observe que, para fins de teste, as permissões são configuradas dessa maneira. No entanto, em um ambiente de produção, conceder permissões dessa maneira não é aconselhável.
    i) Clique em Sim.
    j. Clique em Gerenciar -> Autenticação, adicione uma plataforma - > Web e insira URIs de redirecionamento
    https://global.consent.azure-apim.net/redirect/snowflakev2
    
    OR
    
    
14. Para a autenticação da entidade de serviço:
    a. Clique em Gerenciar ->API Permissions.
    b) Clique em Adicionar permissão.
    c. Clique em Minhas APIs.
    d. Clique no recurso OAuth Snowflake que foi criado em Configurar o recurso Oauth no Microsoft Entra ID .
    e. Clique na caixa Permissões do aplicativo .
    f. Verifique a Permissão relacionada às Funções definidas manualmente no Manifesto do Aplicativo que se deseja conceder a este cliente.
    g. Clique em Adicionar permissões.
    h. Clique no botão Conceder Consentimento do Administrador para conceder as permissões ao cliente. Observe que, para fins de teste, as permissões são configuradas dessa maneira. No entanto, em um ambiente de produção, conceder permissões dessa maneira não é aconselhável.
    i) Clique em Sim.

C. Coletar informações do Azure AD para o Snowflake

1. Navegue até o Portal do Microsoft Azure e autentique-se.
2. Navegue até Azure Ative Directory.
3. Clique em Registos de Aplicações.
4. Clique no recurso OAuth Snowflake que foi criado em Configurar o recurso Oauth no Microsoft Entra ID .
5. Clique em Pontos de extremidade na interface Visão geral.
6. No lado direito, copie o ponto de extremidade do token OAuth 2.0 (v2) e observe as URLs para metadados do OpenID Connect e metadados do Federation Connect.

• O ponto de extremidade do token OAuth 2.0 (v2) será conhecido como o <AZURE_AD_OAUTH_TOKEN_ENDPOINT> nas etapas de configuração a seguir. O parâmetro de avaliação final deve ser semelhante ao https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token.
• Para os metadados do OpenID Connect, abra em uma nova janela do navegador.
  • Localize o jwks_uri parâmetro e copie seu valor.
  • Esse valor de parâmetro será conhecido como o <AZURE_AD_JWS_KEY_ENDPOINT> nas etapas de configuração a seguir. O parâmetro de avaliação final deve ser semelhante ao https://login.microsoftonline.com/<tenant-id>/discovery/v2.0/keys.
• Para o documento de metadados de federação, abra a URL em uma nova janela do navegador.
  • Localize o "entityID" parâmetro no e copie XML Root Element seu valor.
  • Esse valor de parâmetro será conhecido como o <AZURE_AD_ISSUER> nas etapas de configuração a seguir. O valor entityID deve ser semelhante a https://sts.windows.net/<tenant-id>/.

D. Validar a configuração da Autorização do Entra

Recomenda-se que a configuração seja testada neste momento, use a curva abaixo e verifique se o Entra está emitindo um token usando alguma ferramenta de teste de API, como Insomnia ou outras.

• Autenticação delegada: (Opcional)

  • Uma etapa anterior deve ser executada para obter o código, este documento pode ser seguido
    

    curl --request POST --url https://login.microsoftonline.com/<TENANT_ID>/oauth2/token --header 'Content-Type: multipart/form-data' --form client_id=<AAD_CLIENT_ID> --form client_secret=< AAD_CLIENT_SECRET> --form resource=< AAD_RESOURCE_ID> --formgrant_type=authorization_code --form code=<CODE_GENERATED_ABOVE> --form redirect_uri=https://localhost
    

  • Nota: Adicione o URI de redirecionamento no aplicativo cliente do AAD.
    

OR

• Autenticação Principal do Serviço:
  

  curl -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" \ --data-urlencode "client_id=client_id from above B.8" \ --data-urlencode "client_secret=<Secret from above B.12>" \ --data-urlencode "grant_type=client_credentials" \ --data-urlencode "scope=api://<Appl_URI_ID>/.default" \'https://login.microsoftonline.com/<tenant_id>/oauth2/v2.0/token'
  

Para validar o token, execute o comando abaixo no Snowflake:

select system$verify_external_oauth_token(‘<token>’);

E. Crie uma integração de segurança com audiências

O external_oauth_audience_list parâmetro da integração de segurança deve corresponder ao URI da ID do Aplicativo especificado durante a configuração da ID do Microsoft Entra.

• Autenticação delegada:
  

  create security integration external_oauth_azure_1    
      type = external_oauth
      enabled = true
      external_oauth_type = azure
      external_oauth_issuer = '<AZURE_AD_ISSUER>'
      external_oauth_jws_keys_url = '<AZURE_AD_JWS_KEY_ENDPOINT>'
      external_oauth_audience_list = ('<SNOWFLAKE_APPLICATION_ID_URI>')
      external_oauth_token_user_mapping_claim = ‘upn’ 
      external_oauth_snowflake_user_mapping_attribute = 'login_name or email address';
  

Se a Integração de Segurança para o Azure AD já estiver configurada, use:

alter security integration external_oauth_azure_1 set external_oauth_token_user_mapping_claim = ('sub','upn');  

No caso da Autenticação Delegada, o e-mail do usuário login_name do Snowflake ou email_address deve corresponder ao e-mail Entra do usuário que executará o fluxo do Power Automatic.

Exemplo:

ALTER USER SNOWSQL_DELEGATE_USER  
LOGIN_NAME = '<ENTRA-USERID>' or EMAIL_ADDRESS = ‘ENTRA-USERID’ 
DISPLAY_NAME = 'SnowSQL Delegated User'  
COMMENT = 'A delegate user for SnowSQL client to be used for OAuth based connectivity'; 

OR

• Autenticação Principal do Serviço:
  

  create security integration external_oauth_azure_2 
      type = external_oauth 
      enabled = true 
      external_oauth_type = azure 
      external_oauth_issuer = '<AZURE_AD_ISSUER>' 
      external_oauth_jws_keys_url = '<AZURE_AD_JWS_KEY_ENDPOINT>' 
      external_oauth_audience_list = ('<SNOWFLAKE_APPLICATION_ID_URI>') 
      external_oauth_token_user_mapping_claim = ‘sub’     
      external_oauth_snowflake_user_mapping_attribute = 'login_name';
  

Continue abaixo para apenas a configuração da Autenticação da Entidade de Serviço.

Crie um usuário para a conexão baseada na Entidade de Serviço:

• O subvalor deve ser mapeado para um usuário no Snowflake, evite usar contas de alto privilégio Accountadmin, Orgadmin, Securityadmin.

  CREATE OR REPLACE USER SNOWSQL_OAUTH_USER  
  LOGIN_NAME = '<subvalue from decoded token>'  
  DISPLAY_NAME = 'SnowSQL OAuth User'  
  COMMENT = 'A system user for SnowSQL client to be used for OAuth based connectivity'; 
  
  CREATE ROLE ANALYST; 
  
  GRANT ROLE ANALYST TO USER SNOWSQL_OAUTH_USER;
  

F. Validar acesso ao Snowflake [Opcional]

• Autenticação delegada

  snowsql -a organization-locator -u 'user@sandbox.onmicrosoft.com' --rolename <rolename> --authenticator oauth --token "<token-value>"
  

OR

• Autenticação Principal de Serviço

  snowsql -a <snowflake-accountname> -u ‘sub-value’ -r <snowflake-role from A.11.h above> –authenticator oauth –token <output from curl at step D> 
  

Clientes que usam o Snowflake Connector [DEPRECATED]

Aplicável: Todas as regiões

Para migrar de um conector Snowflake mais antigo para o novo, siga as etapas abaixo.

Esta opção é apenas para conexões mais antigas sem um tipo de autenticação explícita e é fornecida apenas para compatibilidade com versões anteriores.

Se um fluxo Power Automate usando um conector anterior tiver sido criado (agora marcado como preterido), uma nova conexão precisará ser configurada seguindo as etapas documentadas em Etapas de configuração acima e atualizar os fluxos existentes para usar a nova conexão.

A ação "Converter linhas do conjunto de resultados de matriz para objetos" também precisaria ser descartada, pois essa funcionalidade agora está envolvida em "Verificar o status e obter resultados".

Problemas conhecidos e limitações

1. Atualmente, não suportamos colunas duplicadas quando o comando join é executado. Uma solução alternativa seria adicionar aliases às colunas duplicadas.

2. Outras limitações com Tabelas Virtuais estão listadas aqui.

3. As tabelas virtuais só são suportadas com ligações criadas com autenticação 'Service Principal'.

4. Ao usar a autenticação de Princípio de Serviço, o usuário precisa ter acesso de Leitura à tabela information_schema.columns .

5. As conexões Snowflake não podem ser criadas diretamente em aplicativos Canvas, as informações de erro e as etapas necessárias para resolver o problema são as seguintes:

   1. Um erro será exibido se a conexão Snowflake for criada diretamente em um aplicativo Canvas, conforme mostrado na captura de tela abaixo:
   2. Em vez de adicionar o conector diretamente no aplicativo Canvas, crie uma conexão principal de serviço (não delegada) de fora do aplicativo Canvas
   3. Use a conexão Snowflake criada acima e crie uma tabela virtual
   4. Depois, a tabela virtual pode ser carregada no aplicativo Canvas e a compilação do aplicativo Canvas pode prosseguir
   5. A tabela ANIMALS acima é uma tabela virtual, criada usando o Snowflake Connection, como mencionado acima

Limites Gerais

Nome	Valor
Número máximo de solicitações sendo processadas pelo conector simultaneamente	50

A criar uma ligação

O conector suporta os seguintes tipos de autenticação:

Entidade de serviço (aplicativo Microsoft Entra ID)	Use o aplicativo Microsoft Entra ID para acessar seu banco de dados Snowflake.	Todas as regiões	Compartilhável
Autenticação delegada da entidade de serviço (aplicativo Microsoft Entra ID)	Use o aplicativo Microsoft Entra ID para acessar seu banco de dados Snowflake.	Todas as regiões	Compartilhável
Padrão [DEPRECATED]	Esta opção é apenas para conexões mais antigas sem um tipo de autenticação explícita e é fornecida apenas para compatibilidade com versões anteriores.	Todas as regiões	Não compartilhável

Entidade de serviço (aplicativo Microsoft Entra ID)

Auth ID: oauthSP

Aplicável: Todas as regiões

Use o aplicativo Microsoft Entra ID para acessar seu banco de dados Snowflake.

Esta é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, a conexão também será compartilhada. Para obter mais informações, consulte a Visão geral de conectores para aplicativos de tela - Power Apps | Documentos Microsoft

Nome	Tipo	Description	Obrigatório
Tenant	cadeia (de caracteres)		Verdade
ID do Cliente	cadeia (de caracteres)		Verdade
Segredo do Cliente	securestring		Verdade
URL do Recurso	cadeia (de caracteres)	URL de audiência do Snowflake OAuth (URL do recurso)	Verdade
URL SaaS do floco de neve	cadeia (de caracteres)	URL do floco de neve que não inclui o prefixo HTTPS (por exemplo, fnpuupu-in12345.snowflakecomputing.com)	Verdade
Base de dados Snowflake	cadeia (de caracteres)	Especifique o banco de dados ao qual se conectar	Verdade
Nome do armazém	cadeia (de caracteres)	Armazém de flocos de neve para se conectar	Verdade
Funções	cadeia (de caracteres)	Função de floco de neve para se conectar como	Verdade
Schema	cadeia (de caracteres)	Esquema de floco de neve ao qual se conectar	Verdade

Autenticação delegada da entidade de serviço (aplicativo Microsoft Entra ID)

ID de autenticação: oauthSPUserDelegated

Aplicável: Todas as regiões

Use o aplicativo Microsoft Entra ID para acessar seu banco de dados Snowflake.

Esta é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, a conexão também será compartilhada. Para obter mais informações, consulte a Visão geral de conectores para aplicativos de tela - Power Apps | Documentos Microsoft

Nome	Tipo	Description	Obrigatório
ID do Cliente	cadeia (de caracteres)	ID do Cliente OAuth do Snowflake	Verdade
Segredo do Cliente	securestring	Snowflake OAuth Segredo do Cliente	Verdade
URL do Recurso	cadeia (de caracteres)	URL de audiência do Snowflake OAuth (URL do recurso)	Verdade

Padrão [DEPRECATED]

Aplicável: Todas as regiões

Esta opção é apenas para conexões mais antigas sem um tipo de autenticação explícita e é fornecida apenas para compatibilidade com versões anteriores.

Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.

Nome	Tipo	Description	Obrigatório
Este é um espaço reservado fictício necessário por tempo devido ao bug do widget de conexão da interface do usuário do MCS. Quaisquer alterações de autenticação devem ser feitas em connectionParameterSets	cadeia (de caracteres)	Este é um espaço reservado fictício necessário por tempo devido ao bug do widget de conexão da interface do usuário do MCS. Quaisquer alterações de autenticação devem ser feitas em connectionParameterSets

Limites de Limitação

Name	Chamadas	Período de Renovação
Chamadas de API por conexão	900	60 segundos

Ações

Cancelar a execução de uma declaração	Cancelar a execução de uma declaração
Enviar instrução SQL para execução	Enviar uma instrução SQL para execução
Verifique o status e obtenha resultados	Verifique o status da execução de uma declaração e obtenha os resultados

Cancelar a execução de uma declaração

Enviar instrução SQL para execução

Verifique o status e obtenha resultados