Snowflake (Microsoft Entra ID) でフェデレーションクエリを実行する

このページでは、 によって管理されていない データに対して横串検索を実行するためのレイクハウスフェデレーションの設定方法について説明します。SnowflakeDatabricksレイクハウスフェデレーションの詳細については、「 レイクハウスフェデレーションとは」を参照してください。

レイクハウスフェデレーションを使用して Snowflake データベースに接続するには、 Databricks Unity Catalog メタストアに次のものを作成する必要があります。

• Snowflake データベースへの接続。
• Unity Catalog 内のSnowflakeデータベースをミラーリングする フォーリンカタログ で、 Unity Catalog クエリー構文およびデータガバナンスツールを使用して、データベースへのDatabricksユーザーアクセスを管理できます。

このページでは、Microsoft Entra ID を外部 OAuth プロバイダーとして使用して、Snowflake データに対してフェデレーション クエリを実行する方法について説明します。U2M (認証コード) フローと M2M (クライアント資格情報) フローの両方をカバーします。

その他の認証方法については、次のページを参照してください。

• Snowflake組み込みOAuth
• Okta による OAuth
• OAuth アクセストークン
• PEM秘密鍵
• 基本認証 (ユーザー名/パスワード)

クエリ フェデレーションまたはカタログ フェデレーションを使用して、Snowflake でフェデレーション クエリを実行できます。

クエリ フェデレーションでは、 JDBC Unity Catalogクエリを外部データベースにプッシュします。 これは、ETL パイプラインでのオンデマンド レポートや概念実証作業に最適です。

カタログ フェデレーションでは、 Unity Catalogクエリがファイル ストレージに対して直接実行されます。 このアプローチは、コードを調整せずに段階的に移行する場合や、Unity Catalog に登録されたデータと並行して Snowflake の一部のデータを維持する必要がある組織向けの長期的なハイブリッド モデルとして役立ちます。「Snowflake カタログ フェデレーションの有効化」を参照してください。

始める前に

ワークスペースの要件：

• Unity Catalogのワークスペースが有効になっています。

コンピュートの要件：

• コンピュート・リソースからターゲット・データベース・システムへのネットワーク接続。 レイクハウスフェデレーションのネットワーキングに関する推奨事項を参照してください。
• Databricks コンピュートは、 Databricks Runtime 13.3 LTS 以上、 および標準 または 専用 アクセスモードを使用する必要があります。
• SQLウェアハウスはProまたはServerlessで、2023.40以上を使用している必要があります。

必要な権限：

• 接続を作成するには、メタストア管理者か、ワークスペースに接続されているUnity Catalogメタストアの CREATE CONNECTION 権限を持つユーザーである必要があります。
• フォーリンカタログを作成するには、メタストアに対する CREATE CATALOG 権限を持ち、接続の所有者であるか、接続に対する CREATE FOREIGN CATALOG 権限を持っている必要があります。

追加の権限要件は、以下の各タスクベースのセクションに記載しています。

Snowflake の外部 OAuth とは何ですか?

外部 OAuth は、Snowflake にアクセスするために OAuth 2.0 を使用する外部サーバーを使用できる認証方法です。ユーザーまたはアプリケーションがSnowflakeに直接ログインする代わりに、OAuthプロバイダー（例：Okta、Microsoft Entra ID、または PingFederate など)。

次に、 OAuthプロバイダーがアクセス VPN を発行し、 Databricks Snowflakeにそれを提示します。 次に、Snowflake は構成されたセキュリティ統合を使用してトークンの署名とクレームを検証し、アクセスを許可します。

OAuthフローを決定する

Snowflake コネクタに適切な OAuth フローを選択するには、U2M (ユーザー対マシン) と M2M (マシン対マシン) という 2 つの主要なタイプを理解する必要があります。

U2M は、アプリケーション (Databricks) がユーザーに代わって操作する許可を受け取る承認フローです。このフローは対話型です。つまり、ユーザーは外部接続を作成するときにサインインを求められ、アプリケーションは ユーザーの権限にスコープ設定されたアクセストークンを 受け取ります。

M2M は、アプリケーションがユーザーの介入なしに直接リソースにアクセスする必要がある場合に使用される非対話型フローです。このフローでは、特定のユーザーとは無関係に、一連の権限を使用してアプリケーションを OAuth プロバイダーに登録する必要があります。

Databricks ワークスペースでは、 OAuth は U2M 認証を指し、 OAuth Machine to Machine は M2M 認証を指します。

Microsoft Entra ID を構成する

Entra の正確な構成は、会社のニーズとポリシーによって異なります。このセクションと次のセクションのステップは、機能的なOAuthセットアップに到達するためのガイドとして機能し、包括的な Entra リソースではなく、単純な実際の例を示しています。 プラットフォームと機能の詳細については、Azure のドキュメントを参照してください。

OAuth リソース・アプリケーションの構成

リソース アプリケーションは、Microsoft Entra ID で Snowflake を表し、クライアントが要求できるアクセス許可 (スコープ) を定義します。

1. Microsoft Azure Portal にサインインします。

2. Microsoft Entra ID に移動し、概要セクションの テナント ID を メモします。今後この値は<TENANT_ID>と呼ばれます。

3. [管理] ドロップダウンを展開し、 [アプリの登録] に移動して、 [新規登録] をクリックします。

   1. わかりやすい名前を入力します (例: 「Snowflake OAuth リソース」)。
   2. サポートされているアカウントの種類として 、この組織ディレクトリ内のアカウントのみ (安全ディレクトリのみ - 単一テナント) を選択します。
   3. 登録 をクリックします。

4. 新しく作成されたアプリ登録の概要セクションで、 アプリケーション (クライアント) ID 値を書き留めます。今後はこれを<RESOURCE_APP_ID>と呼びます。

5. 左側のドロワーで 「API の公開」 に移動し、上部の「アプリケーション ID URI」の近くにある 「追加」 をクリックします。デフォルト値はapi://<RESOURCE_APP_ID>の形式であり、OAuth オーディエンス クレームとして機能します。代わりに、 https://yourorg.onmicrosoft.com/<RESOURCE_APP_ID>のような組織のドメインを含む値を設定することができます ( 「Microsoft Entra アプリケーションの識別子 URI の制限」を参照)。最終値を保存します。セキュリティ統合のセットアップ時に、この値を<SNOWFLAKE_APPLICATION_ID_URI>として参照します。

6. (U2M のみ) [API の公開] セクションで、 [スコープの追加] をクリックします。

   1. スコープ名としてsession:role:プレフィックスが付いた Snowflake ロールの名前を入力します。たとえば、 session:role:analyst 。
   2. 同意できるユーザーを選択します。
   3. 管理者の同意の表示名を入力します。例：アカウント管理者。
   4. 管理者の同意の説明を入力します。例：Snowflake アカウントを管理できます。
   5. 最後に、 「スコープの追加」 をクリックします。

7. (M2M のみ) [アプリ ロール] に移動し、 [アプリ ロールの作成] をクリックします。

   1. 表示名: 名前を入力します。これはロール値と一致できます。この例では PUBLIC です。
   2. 許可されるメンバーの種類: アプリケーションを選択します。
   3. 値: スコープを選択します。 session:role:PUBLICを使用します。
   4. 説明: 説明を入力します。理想的には、ロールが提供するアクセス レベルを説明する必要があります。
   5. このアプリの役割を有効にしますか?チェックマークを選択して、ロールが有効になっていることを確認します。
   6. [適用] をクリックします。

OAuth クライアントアプリケーションを作成する

クライアント アプリケーションは、トークンを取得するために Snowflake に接続するクライアント (Databricks) を表します。

1. もう一度 「アプリ登録」 に移動し、 「新規登録」を クリックします。

   1. わかりやすい名前を入力します (例:「Snowflake OAuth クライアント」)。
   2. サポートされているアカウントの種類については、 この組織ディレクトリ内のアカウントのみ (安全ディレクトリのみ - シングル テナント) を選択します。
   3. 登録 をクリックします。

2. 概要セクションで、 アプリケーション (クライアント) ID フィールドをコピーして保存します。この値は、将来 Databricks で接続を設定するときに<CLIENT_ID>と呼ばれます。

3. (M2M のみ) ローカル ディレクトリ内の管理対象アプリケーション の横にあるリンクをクリックします。そこで、 オブジェクト ID フィールドの値をコピーして保存します。今後はこれを<CLIENT_OBJECT_ID>と呼びます。Snowflake Snowflakeクライアントとセキュリティ統合間のマッピングを作成するために必要になります。

4. 戻って 「管理」 ドロップダウンを展開します。そこで、 「証明書とシークレット」 に移動し、 「新しいクライアント シークレット」 をクリックします。

   1. 説明を選択してください。例：Databricks クライアントシークレット
   2. ニーズに応じてシークレットの有効期限を選択します。シークレットの有効期限が切れたら、Entra で新しいシークレットを作成し、Databricks で接続を更新する必要があります。
   3. 下の 「追加」を クリックします。
   4. 追加したら、値をコピーして「値」列に安全に保存します。ページを離れた後は、その値を再度表示できなくなります。Databricks で接続を作成するときに、この値を<CLIENT_SECRET>として参照します。

5. 「API 権限」 に移動し、 「権限の追加」 をクリックします。

   1. 「組織が使用しているAPIs タブに移動します。
   2. 前のセクションで作成したリソース アプリを検索してクリックします。
   3. (U2M のみ) 大きな [委任された権限] ボタンをクリックし、[権限] の下で前のステップで作成したロールを選択します。
   4. (M2M のみ) 大きな [アプリケーションのアクセス許可] ボタンをクリックし、[アクセス許可] の下で前のステップで作成したロールを選択します。
   5. [権限の追加] をクリックします。

6. 最後に、 「デフォルト ディレクトリに対する管理者の同意を与える」を クリックします。

7. (U2M のみ) 最後のステップはリダイレクト URI を設定することです。Databricks から Entra ログイン プロセスを開始すると、リダイレクト URL によって、ログインが成功した場合にどの Databricks ページに戻るべきかが Entra に通知されます。

   1. [管理] ドロップダウンで、 [認証] セクションに移動します。
   2. 「プラットフォームの追加」 をクリックし、 「Web アプリケーション」 を選択します。
   3. リダイレクト URI をhttps://<YOUR_DATABRICKS_WORKSPACE>/login/oauth/snowflake.html形式で入力します。
   4. [ 構成] をクリックします。

Snowflakeでセキュリティ統合を作成する

このステップでは、 Snowflakeのセキュリティ統合を構成して、Entra ID と安全に通信し、Entra ID を検証し、 OAuthアクセス ノートに関連付けられたロールに基づいて適切なデータ アクセスを提供できるようにします。

User-to-Machine flow

1. ACCOUNTADMINロールを持つユーザーとしてSnowflakeアカウントに接続します。

2. CREATE SECURITY INTEGRATION コマンドを実行します。例えば：

   SQL

   CREATE SECURITY INTEGRATION <ENTRA_U2M_SECURITY_INTEGRATION_NAME>
   TYPE = EXTERNAL_OAUTH
   ENABLED = TRUE
   EXTERNAL_OAUTH_TYPE = AZURE
   EXTERNAL_OAUTH_ISSUER = 'https://sts.windows.net/<TENANT_ID>/'
   EXTERNAL_OAUTH_JWS_KEYS_URL = 'https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys'
   EXTERNAL_OAUTH_AUDIENCE_LIST = ('<SNOWFLAKE_APPLICATION_ID_URI>')
   EXTERNAL_OAUTH_TOKEN_USER_MAPPING_CLAIM = 'email'
   EXTERNAL_OAUTH_SNOWFLAKE_USER_MAPPING_ATTRIBUTE = 'EMAIL_ADDRESS';

   この例では、 Emailmapping クレームと属性を使用します。 これには、 Snowflakeユーザーの電子メールがAzureテナントの電子メールと一致する必要があります。

   SQL

   ALTER USER <SNOWFLAKE_USER> SET EMAIL = '<YOUR_EMAIL>';

   ニーズに応じて、さまざまなクレームを使用することが可能です。

Machine-to-Machine flow

1. ACCOUNTADMINロールを持つユーザーとしてSnowflakeアカウントに接続します。

2. CREATE SECURITY INTEGRATION コマンドを実行します。例えば：

   SQL

   CREATE OR REPLACE SECURITY INTEGRATION <ENTRA_M2M_SECURITY_INTEGRATION_NAME>
   TYPE = EXTERNAL_OAUTH
   ENABLED = TRUE
   EXTERNAL_OAUTH_TYPE = AZURE
   EXTERNAL_OAUTH_ISSUER = 'https://sts.windows.net/<TENANT_ID>/'
   EXTERNAL_OAUTH_JWS_KEYS_URL = 'https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys'
   EXTERNAL_OAUTH_AUDIENCE_LIST = ('<SNOWFLAKE_APPLICATION_ID_URI>')
   EXTERNAL_OAUTH_TOKEN_USER_MAPPING_CLAIM = 'sub'
   EXTERNAL_OAUTH_SNOWFLAKE_USER_MAPPING_ATTRIBUTE = 'login_name';

   データベースに接続するクライアントを表すには、Snowflake で新しい非人間ユーザーを作成する必要があります。このステップは、 Snowflakeユーザーを検証し、 Azure Entra ID でDatabricks表すクライアント アプリにマップできるようにするために必要です。

   SQL

   CREATE OR REPLACE USER <ENTRA_M2M_CLIENT_USER>
   LOGIN_NAME = '<CLIENT_OBJECT_ID>'
   DEFAULT_ROLE = 'PUBLIC';

接続を作成する

接続では、外部データベースシステムにアクセスするためのパスと認証情報を指定します。接続を作成するには、カタログエクスプローラーを使用するか、Databricksノートブックまたは Databricks SQLクエリーエディタで CREATE CONNECTION SQLコマンドを使用できます。

注記

Databricks REST API または Databricks CLI を使用して接続を作成することもできます。 POST /api/2.1/unity-catalog/connections および Unity Catalog コマンドを参照してください。

必要な権限： メタストア管理者またはCREATE CONNECTION権限を持つユーザー。

User-to-Machine flow

1. Databricks ワークスペースで、 カタログ をクリックします。

2. [カタログ]ウィンドウの上部にある [ 追加] アイコンをクリックし、メニューから [ 接続の追加] を選択します。

   または、 クイックアクセス ページから 外部データ > ボタンをクリックし、 接続 タブに移動して 接続を作成 をクリックします。

3. 接続のセットアップ ウィザードの 接続の基本 ページで、わかりやすい 接続名 を入力します。

4. [ 接続タイプ ] で [Snowflake ] を選択します。

5. [Auth type ] で、ドロップダウンメニューから [OAuth] を選択します。

6. （オプション）コメントを追加します。

7. 次へ をクリックします。

8. Snowflake ウェアハウスの次の認証と接続の詳細を入力します。

   • ホスト : たとえば、 snowflake-demo.east-us-2.azure.snowflakecomputing.com

   • ポート : たとえば、 443

   • ユーザー : たとえば、 snowflake-user

   • 認証エンドポイント : https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize

   • クライアントシークレット : セキュリティ統合の作成時に保存したクライアントシークレット。

   • クライアント ID : セキュリティ統合の作成時に保存したクライアント ID。

   • OAuth スコープ : api://<RESOURCE_APP_ID>/.default offline_access

   • OAuth プロバイダー : Azure Entra ID

   • Microsoft Entra ID でサインイン : クリックして、Microsoft 資格情報を使用して Snowflake にサインインします。

     サインインに成功すると、 接続のセットアップ ウィザードに戻ります。

9. 接続の作成 をクリックします。

10. カタログの基本 ページで、フォーリンカタログの名前を入力します。 フォーリンカタログは、外部データシステム内のデータベースをミラーリングするため、DatabricksとUnity Catalogを使用して、そのデータベース内のデータへのアクセスを管理できます。

11. （オプション）[ 接続をテスト ]をクリックして、動作することを確認します。

12. [ カタログを作成 ] をクリックします。

13. アクセス ページで、作成したカタログにユーザーがアクセスできるワークスペースを選択します。 すべてのワークスペースにアクセス権がある を選択するか、 ワークスペースに割り当て をクリックし、ワークスペースを選択して 割り当て をクリックします。

14. カタログ内のすべてのオブジェクトへのアクセスを管理できる 所有者 を変更します。テキスト ボックスにプリンシパルの入力を開始し、返された結果でプリンシパルをクリックします。

15. カタログに対する 権限を付与 します。[ 許可 ] をクリックします。

    1. カタログ内のオブジェクトにアクセスできる プリンシパル を指定します。テキスト ボックスにプリンシパルの入力を開始し、返された結果でプリンシパルをクリックします。

    2. 各プリンシパルに付与する 権限プリセット を選択します。デフォルトでは、すべてのアカウントユーザーに BROWSE が付与されます。

       • ドロップダウンメニューから「 データ閲覧者 」を選択して、カタログ内のオブジェクトに対する read 権限を付与します。
       • ドロップダウンメニューから「 データエディタ 」を選択して、カタログ内のオブジェクトに対する read 権限と modify 権限を付与します。
       • 付与する権限を手動で選択します。

    3. 付与 をクリックします。

16. 次へ をクリックします。

17. [メタデータ] ページで、タグのキーと値のペアを指定します。詳細については、「Unity Catalog セキュリティ保護可能なオブジェクトにタグを適用する」を参照してください。

18. （オプション）コメントを追加します。

19. 保存 をクリックします。

Machine-to-Machine flow - Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。

2. [カタログ]ウィンドウの上部にある [ 追加] アイコンをクリックし、メニューから [ 接続の追加] を選択します。

   または、 クイックアクセス ページから 外部データ > ボタンをクリックし、 接続 タブに移動して 接続を作成 をクリックします。

3. 接続のセットアップ ウィザードの 接続の基本 ページで、わかりやすい 接続名 を入力します。

4. [ 接続タイプ ] で [Snowflake ] を選択します。

5. [Auth type ] で、ドロップダウンメニューから [OAuth Machine to Machine] を選択します。

6. （オプション）コメントを追加します。

7. 次へ をクリックします。

8. 接続のために次の認証詳細を入力します。

   • ホスト : たとえば、 snowflake-demo.east-us-2.azure.snowflakecomputing.com
   • ポート : たとえば、 443
   • Openidメタデータエンドポイント : https://login.microsoftonline.com/<TENANT_ID>/v2.0/.well-known/openid-configuration
   • クライアントシークレット : セキュリティ統合の作成時に保存したクライアントシークレット。
   • クライアント ID : セキュリティ統合の作成時に保存したクライアント ID。
   • OAuth スコープ : api://<RESOURCE_APP_ID>/.default

9. 次へ をクリックします。

10. 接続について次の接続詳細を入力します。

    • Snowflake ウェアハウス : 使用するウェアハウスの名前。
    • (オプション) プロキシ ホスト : Snowflake への接続に使用されるプロキシのホスト。また、 「プロキシを使用する」 を選択し、 プロキシ ポート を指定する必要があります。
    • (オプション) プロキシの使用 : プロキシ サーバーを使用して Snowflake に接続するかどうか。
    • (オプション) プロキシ ポート : Snowflake への接続に使用されるプロキシのポート。また、 「プロキシを使用する」 を選択し、 プロキシ ホスト を指定する必要があります。
    • (オプション) Snowflake ロール : 接続後にセッションで使用するデフォルトのセキュリティ ロール。

11. 接続の作成 をクリックします。

12. カタログの基本 ページで、フォーリンカタログの名前を入力します。 フォーリンカタログは、外部データシステム内のデータベースをミラーリングするため、DatabricksとUnity Catalogを使用して、そのデータベース内のデータへのアクセスを管理できます。

13. （オプション）[ 接続をテスト ]をクリックして、動作することを確認します。

14. [ カタログを作成 ] をクリックします。

15. アクセス ページで、作成したカタログにユーザーがアクセスできるワークスペースを選択します。 すべてのワークスペースにアクセス権がある を選択するか、 ワークスペースに割り当て をクリックし、ワークスペースを選択して 割り当て をクリックします。

16. カタログ内のすべてのオブジェクトへのアクセスを管理できる 所有者 を変更します。テキスト ボックスにプリンシパルの入力を開始し、返された結果でプリンシパルをクリックします。

17. カタログに対する 権限を付与 します。[ 許可 ] をクリックします。

    1. カタログ内のオブジェクトにアクセスできる プリンシパル を指定します。テキスト ボックスにプリンシパルの入力を開始し、返された結果でプリンシパルをクリックします。

    2. 各プリンシパルに付与する 権限プリセット を選択します。デフォルトでは、すべてのアカウントユーザーに BROWSE が付与されます。

       • ドロップダウンメニューから「 データ閲覧者 」を選択して、カタログ内のオブジェクトに対する read 権限を付与します。
       • ドロップダウンメニューから「 データエディタ 」を選択して、カタログ内のオブジェクトに対する read 権限と modify 権限を付与します。
       • 付与する権限を手動で選択します。

    3. 付与 をクリックします。

18. 次へ をクリックします。

19. [メタデータ] ページで、タグのキーと値のペアを指定します。詳細については、「Unity Catalog セキュリティ保護可能なオブジェクトにタグを適用する」を参照してください。

20. （オプション）コメントを追加します。

21. 保存 をクリックします。

Machine-to-Machine flow - SQL

ノートブックまたはDatabricks SQLクエリーエディタで次のコマンドを実行します。

SQL

CREATE CONNECTION <connection-name>
TYPE SNOWFLAKE
OPTIONS (
  host '<hostname>',
  port '443',
  sfWarehouse '<warehouse-name>',
  client_id '<client-id>',
  client_secret '<client-secret>',
  openid_metadata_endpoint '<oidc-metadata-endpoint>',
  oauth_scope 'session:role:PUBLIC'
);

次に、次のコマンドを実行して、新しい接続を使用してフォーリンカタログを作成できます。

SQL

CREATE FOREIGN CATALOG <catalog-name>
USING CONNECTION <connection-name>
OPTIONS (database = '<database>');

大文字と小文字を区別するデータベース識別子

フォーリンカタログのdatabaseフィールドは、Snowflake データベース識別子にマップされます。 Snowflake データベース識別子が大文字と小文字を区別しない場合は、フォーリンカタログ<database-name>で使用する大文字と小文字が保持されます。 ただし、Snowflake データベース識別子が大文字と小文字を区別する場合は、大文字と小文字を保持するためにフォーリンカタログ<database-name>を二重引用符で囲む必要があります。

例えば：

• database は次のように変換されます。 DATABASE

• "database" は次のように変換されます。 database

• "database""" は次のように変換されます。 database"

  二重引用符をエスケープするには、別の二重引用符を使用します。

• "database"" 二重引用符が正しくエスケープされないため、エラーが発生します。

詳細については、Snowflake ドキュメントの 「識別子の要件 」を参照してください。

サポートされているプッシュダウン

次のプッシュダウンがサポートされています。

• フィルター
• 予測
• 上限
• テーブルのJOIN
• 集計 (Average、Corr、CovPopulation、CovSample、Count、Max、Min、StddevPop、StddevSamp、Sum、VariancePop、VarianceSamp)
• 関数 (文字列関数、数学関数、データ関数、時刻関数、タイムスタンプ関数、およびその他の関数 (Alias、Cast、SortOrder など))
• Windows の機能 (密度ランク、ランク、行番号)
• 分別

データ型マッピング

SnowflakeからSparkに読み取ると、データ型は次のようにマップされます。

Snowflake タイプ	Spark タイプ
decimal, number, numeric	DecimalType
bigint, byteint, int, integer, smallint, tinyint	IntegerType
float, float4, float8	FloatType
double, double precision, real	DoubleType
char, character, string, text, time, varchar	StringType
binary	BinaryType
boolean	BooleanType
日付	DateType
datetime, timestamp, timestamp_ltz, timestamp_ntz, timestamp_tz	TimestampType

制限

• Snowflake OAuth エンドポイントは、Databricks コントロールプレーン IP からアクセスできる必要があります。「Databricks のサービスと資産の IP アドレスとドメイン」を参照してください。Snowflake は、セキュリティ統合レベルでのネットワーク ポリシーの設定をサポートしており、これにより、 Databricks コントロール プレーンから OAuth エンドポイントへの直接接続を可能にする別のネットワーク ポリシーを使用して承認を行うことができます。