Pular para o conteúdo principal

Execução de consultas federadas em Snowflake (Microsoft Entra ID)

Esta página descreve como configurar o Lakehouse Federation para executar consultas federadas em dados Snowflake que não são gerenciados por Databricks. Para saber mais sobre a lakehouse Federation, consulte O que é a lakehouse Federation?

Para se conectar ao banco de dados Snowflake usando a Lakehouse Federation, o senhor deve criar o seguinte no metastore Databricks Unity Catalog :

  • Uma conexão com o banco de dados do Snowflake.
  • Um catálogo externo que espelha o banco de dados do Snowflake no Unity Catalog para que o senhor possa usar a sintaxe de consulta do Unity Catalog e as ferramentas de governança de dados para gerenciar o acesso do usuário do Databricks ao banco de dados.

Esta página aborda como executar consultas federadas no uso de dados Snowflake Microsoft Entra ID como provedor OAuth externo. Ele abrangerá os fluxos U2M (código de autorização) e M2M (credenciais do cliente).

Para outros métodos de autenticação, consulte as seguintes páginas:

Você pode executar consultas federadas no Snowflake usando federação de consultas ou federação de catálogos.

Na federação de consultas, o JDBC envia a consulta do Unity Catalog para o banco de dados externo. Isso é ideal para relatórios sob demanda ou trabalho de prova de conceito em seu pipeline ETL .

Na federação de catálogos, a execução de consulta Unity Catalog é feita diretamente no armazenamento de arquivos. Essa abordagem é útil para migração incremental sem adaptação de código ou como um modelo híbrido de longo prazo para organizações que precisam manter alguns dados no Snowflake junto com seus dados registrados no Unity Catalog. Consulte Habilitar federação de catálogo do Snowflake.

Antes de começar

Requisitos do workspace:

  • Espaço de trabalho preparado para o Catálogo do Unity.

Requisitos de computação:

  • Conectividade de rede do seu recurso compute para os sistemas de banco de dados de destino. Veja as recomendações do Networking para a Lakehouse Federation.
  • Databricks compute O senhor deve usar Databricks Runtime 13.3 LTS ou acima e o modo de acesso Standard ou Dedicated .
  • Os SQL warehouse devem ser Pro ou Serverless e devem utilizar a versão 2023.40 ou superior.

Permissões necessárias:

  • Para criar uma conexão, é preciso ser administrador de metastore ou usuário com o privilégio CREATE CONNECTION no metastore do Unity Catalog anexado ao espaço de trabalho.
  • Para criar um catálogo externo é preciso ter a permissão CREATE CATALOG no metastore e ser proprietário da conexão ou ter o privilégio CREATE FOREIGN CATALOG na conexão.

Outros requisitos de permissão são definidos em cada seção baseada em tarefa a seguir.

O que é OAuth externo no Snowflake?

O OAuth externo é um método de autenticação que permite usar servidores externos que utilizam OAuth 2.0 para acessar o Snowflake. Em vez de um usuário ou aplicativo fazer login diretamente no Snowflake, eles se autenticam com o provedor OAuth (por exemplo, Okta, Microsoft Entra ID ou PingFederate).

O provedor OAuth então emite um access token, que Databricks apresenta ao Snowflake. Snowflake então verifica a assinatura dos tokens e as reivindicações com a integração de segurança configurada, concedendo acesso.

Determinar um fluxo OAuth

Para escolher o fluxo OAuth correto para seu conector Snowflake, você precisa entender os dois tipos principais: U2M (usuário para máquina) e M2M (máquina para máquina).

U2M é um fluxo de autorização onde o aplicativo (Databricks) recebe permissão para agir em nome do usuário. Este fluxo é interativo, o que significa que o usuário é solicitado a fazer login ao criar uma conexão externa, e o aplicativo recebe um access token com escopo definido para as permissões do usuário .

M2M é um fluxo não interativo usado quando um aplicativo precisa acessar um recurso diretamente, sem a intervenção do usuário. Nesse fluxo, o aplicativo deve ser registrado no provedor OAuth com um conjunto de permissões, independentemente de qualquer usuário específico.

Em um workspace Databricks , OAuth se refere à autenticação U2M, e OAuth Machine to Machine se refere à autenticação M2M.

Configurar o Microsoft Entra ID

A configuração exata do Entra depende das necessidades e políticas da sua empresa. Os passos descritos nesta e nas seções seguintes servem como um guia para que você obtenha uma configuração OAuth funcional e representam um exemplo simples e prático, não um guia completo da Entra Recurso. Consulte a documentação Azure para obter uma cobertura detalhada da plataforma e dos recursos.

Configure o aplicativo de recurso OAuth

A aplicação de recurso representa Snowflake em Microsoft Entra ID e define as permissões (escopos) que os clientes podem solicitar.

  1. Entre no Portal do Microsoft Azure .

  2. Navegue até Microsoft Entra ID e anote o ID do locatário na seção Visão geral. No futuro, nos referiremos a esse valor como <TENANT_ID> .

  3. Expanda o dropdown gerenciar , navegue até Registros de aplicativos e clique em Novo registro .

    1. Insira um nome descritivo, por exemplo, "Snowflake OAuth recurso".
    2. Selecione a conta somente neste diretório organizacional (padrão Somente diretório - tenant único) para os tipos account suportados.
    3. Clique em Registrar .

  4. Na seção Visão geral do registro do aplicativo recém-criado, observe o valor do ID do aplicativo (cliente) , que chamaremos de <RESOURCE_APP_ID> no futuro.

  5. Navegue até Expor uma API na gaveta à esquerda e clique em Adicionar, próximo ao URI do ID do aplicativo, na parte superior. O valor default deve ter o formato api://<RESOURCE_APP_ID> e funcionará como a reivindicação de público OAuth . Em vez disso, você pode definir um valor contendo o domínio da sua organização, como https://yourorg.onmicrosoft.com/<RESOURCE_APP_ID> (consulte Restrições em URIs de identificadores de aplicativos Microsoft Enterprise). Salve o valor final, que chamaremos de <SNOWFLAKE_APPLICATION_ID_URI> durante a configuração da integração de segurança.

  6. (Somente U2M) Na seção Expor uma API , clique em Adicionar um escopo .

    1. Insira o nome da sua função Snowflake com o prefixo session:role: como nome do escopo. Por exemplo, session:role:analyst.
    2. Selecione quem pode consentir.
    3. Digite o nome de exibição do consentimento do administrador, por exemplo administrador da conta.
    4. Insira a descrição do consentimento do administrador, por exemplo Pode administrar a account Snowflake .
    5. Por fim, clique em Adicionar escopo .

  7. (Somente M2M) Navegue até Funções do aplicativo e clique em Criar função do aplicativo .

    1. Nome de exibição: insira um nome, que pode corresponder ao valor da função, no nosso caso, PÚBLICO.
    2. Tipos de membros permitidos: escolha Aplicativos.
    3. Valor: selecione o escopo, usaremos session:role:PUBLIC.
    4. Descrição: insira uma descrição - o ideal é que você descreva o nível de acesso que a função fornece.
    5. Deseja habilitar esta função do aplicativo? Certifique-se de que sua função esteja habilitada selecionando a marca de seleção.
    6. Clique em Aplicar .

Crie um aplicativo cliente OAuth

O aplicativo cliente representa o cliente (Databricks) que se conectará ao Snowflake para obter tokens.

  1. Navegue até Registros de aplicativos novamente e clique em Novo registro .

    1. Insira um nome descritivo, por exemplo, "Cliente Snowflake OAuth".
    2. Para tipos account suportados, selecione a conta somente neste diretório organizacional (padrão Somente diretório - tenant único) .
    3. Clique em Registrar .

  2. Na seção Visão geral, copie e salve o campo ID do aplicativo (cliente) . Este valor será chamado de <CLIENT_ID> no futuro ao configurar a conexão no Databricks.

  3. (Somente M2M) Clique no link ao lado do aplicativo gerenciar no diretório local . Lá, copie e salve o valor no campo ID do objeto . Nos próximos passos, nos referiremos a isso como <CLIENT_OBJECT_ID> - será necessário criar um mapeamento entre o cliente e a integração de segurança no Snowflake.

  4. Navegue para trás e expanda o dropdown gerenciar . Lá, navegue até Certificados e segredos e clique em Novo segredo do cliente .

    1. Escolha uma descrição, por exemplo Segredo do cliente Databricks
    2. Escolha a expiração secreta de acordo com suas necessidades. Quando o segredo expirar, você precisará criar um novo no Entra e atualizar a conexão no Databricks.
    3. Clique em Adicionar abaixo.
    4. Depois de adicionado, copie e armazene com segurança o valor na coluna Valor. Você não poderá vê-lo novamente depois de sair da página. Iremos nos referir a esse valor como <CLIENT_SECRET> ao criar uma conexão no Databricks.

  5. Navegue até Permissões de API e clique em Adicionar uma permissão .

    1. Acesse a tab APIs que minha organização usa .
    2. Procure o aplicativo de recurso que você criou na seção anterior e clique nele.
    3. (Somente U2M) Clique no botão grande Permissões delegadas e selecione a função que você criou na etapa anterior em Permissões.
    4. (Somente M2M) Clique no botão grande Permissões do aplicativo e selecione a função que você criou na etapa anterior em Permissões.
    5. Clique em Adicionar permissões .

  6. Por fim, clique em Conceder consentimento do administrador para o diretório padrão .

  7. (Somente U2M) O último passo é configurar um URI de redirecionamento. Quando você inicia o processo de login do Entra no Databricks, a URL de redirecionamento informa ao Entra para qual página do Databricks ele deve retornar se o login for bem-sucedido.

    1. No dropdown gerenciar , navegue até a seção Autenticação .
    2. Clique em Adicionar uma plataforma e escolha Aplicativo Web .
    3. Insira um URI de redirecionamento no formato https://<YOUR_DATABRICKS_WORKSPACE>/login/oauth/snowflake.html .
    4. Clique em Configurar .

Criar uma integração de segurança no Snowflake

Este passo configura uma integração de segurança no Snowflake para que ele possa se comunicar com segurança com o Entra ID, validar tokens do Entra ID e fornecer o acesso de dados apropriado com base na função associada ao access token OAuth .

  1. Conecte-se ao seu Snowflake account como um usuário com a função ACCOUNTADMIN.

  2. Executar o comando CREATE SECURITY INTEGRATION. Por exemplo:

    SQL
    CREATE SECURITY INTEGRATION <ENTRA_U2M_SECURITY_INTEGRATION_NAME>
    TYPE = EXTERNAL_OAUTH
    ENABLED = TRUE
    EXTERNAL_OAUTH_TYPE = AZURE
    EXTERNAL_OAUTH_ISSUER = 'https://sts.windows.net/<TENANT_ID>/'
    EXTERNAL_OAUTH_JWS_KEYS_URL = 'https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys'
    EXTERNAL_OAUTH_AUDIENCE_LIST = ('<SNOWFLAKE_APPLICATION_ID_URI>')
    EXTERNAL_OAUTH_TOKEN_USER_MAPPING_CLAIM = 'email'
    EXTERNAL_OAUTH_SNOWFLAKE_USER_MAPPING_ATTRIBUTE = 'EMAIL_ADDRESS';

    O exemplo usa a reivindicação e o atributo de mapeamento email . Isso requer que o email do usuário Snowflake corresponda ao email no tenant Azure .

    SQL
    ALTER USER <SNOWFLAKE_USER> SET EMAIL = '<YOUR_EMAIL>';

    É possível usar reivindicações diferentes, dependendo de suas necessidades.

Crie uma conexão

A conexão especifica um caminho e as credenciais para acessar um sistema de banco de dados externo. Para criar uma conexão, você pode usar o Catalog Explorer ou o comando CREATE CONNECTION do SQL em um Notebook do Databricks ou no editor de consultas SQL do Databricks.

nota

O senhor também pode usar a API REST da Databricks ou a CLI da Databricks para criar uma conexão. Veja POST /api/2.1/unity-catalog/connections e Unity Catalog comando.

Permissões necessárias: Administrador do Metastore ou usuário com o privilégio CREATE CONNECTION.

  1. Em seu site Databricks workspace, clique em Ícone de dados. Catalog .

  2. Na parte superior do painel Catálogo , clique no ícone Ícone de adicionar ou ícone de mais Adicionar e selecione Adicionar uma conexão no menu.

    Como alternativa, na página de acesso rápido , clique no botão Dados externos >, acesse a tab Conexões e clique em Criar conexão .

  3. Na página Noções básicas de conexão do assistente de configuração de conexão , insira um nome de conexão fácil de usar.

  4. Selecione um tipo de conexão do Snowflake .

  5. Em Tipo de autenticação , selecione OAuth no menu suspenso.

  6. (Opcional) Adicione um comentário.

  7. Clique em Avançar .

  8. Insira os seguintes detalhes de autenticação e conexão para o seu depósito do Snowflake.

    • Anfitrião : Por exemplo, snowflake-demo.east-us-2.azure.snowflakecomputing.com

    • Porto : Por exemplo, 443

    • Usuário : Por exemplo, snowflake-user

    • Autorização endpoint : https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize

    • Segredo do cliente: o segredo do cliente que você salvou ao criar a integração de segurança.

    • ID do cliente : a ID do cliente que você salvou ao criar a integração de segurança.

    • Escopo do OAuth : api://<RESOURCE_APP_ID>/.default offline_access

    • Provedor OAuth : Azure Entra ID

    • Faça login com o ID Microsoft Entra : Clique e faça login no Snowflake usando suas credenciais da Microsoft.

      Após o login bem-sucedido, você será direcionado de volta ao assistente de configuração de conexão .

  9. Clique em Criar conexão .

  10. Na página Noções básicas do catálogo , insira um nome para o catálogo estrangeiro. Um catálogo externo espelha um banco de dados em um sistema de dados externo para que o senhor possa consultar e gerenciar o acesso aos dados desse banco de dados usando o Databricks e o Unity Catalog.

  11. (Opcional) Clique em Testar conexão para confirmar se está funcionando.

  12. Clique em Criar catálogo .

  13. Na página Access (Acesso) , selecione o espaço de trabalho no qual os usuários podem acessar o catálogo que o senhor criou. O senhor pode selecionar All workspace have access (Todos os espaços de trabalho têm acesso ) ou clicar em Assign to workspace (Atribuir ao espaço de trabalho), selecionar o espaço de trabalho e clicar em Assign (Atribuir ).

  14. Altere o proprietário que poderá gerenciar o acesso a todos os objetos no catálogo. comece a digitar um diretor na caixa de texto e, em seguida, clique no diretor nos resultados retornados.

  15. Conceda privilégios no catálogo. Clique em Conceder :

    1. Especifique os diretores que terão acesso aos objetos no catálogo. comece a digitar um diretor na caixa de texto e, em seguida, clique no diretor nos resultados retornados.

    2. Selecione as predefinições de privilégios a serem concedidas a cada diretor. Todos os usuários de account recebem BROWSE por default.

      • Selecione Leitor de dados no menu suspenso para conceder privilégios read em objetos no catálogo.
      • Selecione Editor de dados no menu suspenso para conceder os privilégios read e modify aos objetos no catálogo.
      • Selecione manualmente os privilégios a serem concedidos.

    3. Clique em Conceder .

  16. Clique em Avançar .

  17. Na página Metadata (Metadados ), especifique as tags em key-value. Para obter mais informações, consulte Apply tags to Unity Catalog securable objects.

  18. (Opcional) Adicione um comentário.

  19. Clique em Salvar .

Identificadores de banco de dados que diferenciam maiúsculas

O campo database do catálogo externo é mapeado para um identificador de banco de dados do Snowflake. Se o identificador do banco de dados do Snowflake não diferenciar maiúsculas de minúsculas, a caixa que o senhor usa no catálogo externo <database-name> será preservada. No entanto, se o identificador do banco de dados do Snowflake diferenciar maiúsculas de minúsculas, o senhor deverá colocar o catálogo externo <database-name> entre aspas duplas para preservar as maiúsculas e minúsculas.

Por exemplo:

  • database é convertido em DATABASE

  • "database" é convertido em database

  • "database""" é convertido em database"

    Para escapar de uma aspa dupla, use outra aspa dupla.

  • "database"" resulta em um erro porque as aspas duplas não são escapadas corretamente.

Para obter mais informações, consulte os requisitos do identificador na documentação do site Snowflake.

Pushdowns suportados

Os seguintes pushdowns são suportados:

  • Filtros
  • Projeções
  • Limite
  • unir-se
  • Agregados (média, Corr, população de CoV, amostra de COV, contagem, máximo, mínimo, stdDevPop, stdDevSamp, Sum, VariancePop, VarianceAMP)
  • Funções (funções de cadeias de caracteres, funções matemáticas, funções de dados, tempo e registro de data e hora e outras funções diversas, como Alias, Cast, SortOrder)
  • Funções do Windows (DenseRank, Rank, RowNumber)
  • Classificação

Mapeamentos de tipos de dados

Quando o senhor lê do Snowflake para o Spark, os tipos de dados são mapeados da seguinte forma:

Snowflake tipo

Spark tipo

decimal, número, numérico

Tipo decimal

bigint, byteint, int, inteiro, smallint, tinyint

Tipo de número inteiro

flutuar, flutuar 4, flutuar 8

Tipo de flutuação

dupla, dupla precisão, real

Tipo duplo

char, character, strings, text, time, varchar

Tipo de string

binário

Tipo binário

boolean

Tipo booleano

Data

Tipo de data

data e hora, timestamp, timestamp_ltz, timestamp_ntz, timestamp_tz

timestampType

Limitações

  • O endpoint do Snowflake OAuth deve ser acessível a partir dos IPs do plano de controle do Databricks. Consulte IPs de saída do plano de controle do Databricks. O Snowflake oferece suporte à configuração de políticas de rede no nível de integração de segurança, o que permite uma política de rede separada que possibilita a conectividade direta do plano de controle do Databricks com o endpoint OAuth para autorização.
Última atualização em