Snowflake (Microsoft Entra ID) でフェデレーションクエリを実行する

このページでは、 によって管理されていない データに対して横串検索を実行するためのレイクハウスフェデレーションの設定方法について説明します。SnowflakeDatabricksレイクハウスフェデレーションの詳細については、「 レイクハウスフェデレーションとは」を参照してください。

レイクハウスフェデレーションを使用して Snowflake データベースに接続するには、 Databricks Unity Catalog メタストアに次のものを作成する必要があります。

• Snowflake データベースへの接続。
• Unity Catalog 内のSnowflakeデータベースをミラーリングする フォーリンカタログ で、 Unity Catalog クエリー構文およびデータガバナンスツールを使用して、データベースへのDatabricksユーザーアクセスを管理できます。

このページでは、Microsoft Entra ID を使用したSnowflakeへの接続について説明します。その他の認証方法については、次のページを参照してください。

• Snowflake OAuth
• OAuth アクセストークン
• PEM秘密鍵
• 基本認証 (ユーザー名/パスワード)

始める前に

ワークスペースの要件：

• Unity Catalogのワークスペースが有効になっています。

コンピュートの要件：

• コンピュート・リソースからターゲット・データベース・システムへのネットワーク接続。 レイクハウスフェデレーションのネットワーキングに関する推奨事項を参照してください。
• Databricks コンピュートは、 Databricks Runtime 13.3 LTS 以上、 および標準 または 専用 アクセスモードを使用する必要があります。
• SQLウェアハウスはProまたはServerlessで、2023.40以上を使用している必要があります。

必要な権限：

• 接続を作成するには、メタストア管理者か、ワークスペースに接続されているUnity Catalogメタストアの CREATE CONNECTION 権限を持つユーザーである必要があります。
• フォーリンカタログを作成するには、メタストアに対する CREATE CATALOG 権限を持ち、接続の所有者であるか、接続に対する CREATE FOREIGN CATALOG 権限を持っている必要があります。

追加の権限要件は、以下の各タスクベースのセクションに記載しています。

Microsoft Entra ID を構成する

Microsoft Entra ID では、OAuth クライアントがアクセス トークンを取得できる 2 つの OAuth フローがサポートされています。

1. 認可サーバーは、ユーザーに代わって OAuth クライアントにアクセス トークンを付与します。
2. 認可サーバーは、OAuth クライアントに OAuth クライアント自体のアクセストークンを付与します。

Snowflake フェデレーションの場合、Databricks はユーザーに代わって OAuth のみをサポートします。

OAuth リソース・アプリケーションの構成

リソース アプリケーションは、Microsoft Entra ID で Snowflake を表し、クライアントが要求できるアクセス許可 (スコープ) を定義します。

Snowflake ドキュメントの「 Microsoft Entra ID で OAuth リソースを構成する」 を参照してください。プログラム クライアントが自身のアクセス トークンを要求する OAuth フローの手順をスキップします。

OAuth クライアントアプリケーションを作成する

クライアント アプリケーションは、Snowflake に接続するクライアント (この場合は Databricks) を表します。

1. Snowflake ドキュメントの Microsoft Entra ID で OAuth クライアントを作成する に従ってください。プログラム クライアントが自身のアクセス トークンを要求する OAuth フローの手順をスキップします。
2. Databricks ワークスペースのリダイレクト URL を設定します。 ある。Microsoft Azure ポータルで、作成したクライアント アプリケーションに移動します。
   1. [ 管理] ドロップダウン メニューを展開し、[ 認証] をクリックします。
   2. [ リダイレクト URI 設定] で、[ リダイレクト URI の追加] をクリックします。
   3. [ Web ] を選択し、次のように入力します。 https://<YOUR_DATABRICKS_WORKSPACE>/login/oauth/snowflake.html
   4. [ 構成] をクリックします。

Snowflakeでセキュリティ統合を作成する

このステップでは、 Snowflake でセキュリティ統合を設定して、Entra ID と安全に通信し、Entra ID トークンを検証し、 OAuth アクセストークンに関連付けられたユーザーロールに基づいてユーザーに適切なデータアクセスを提供できるようにします。

1. ACCOUNTADMINロールを持つユーザーとしてSnowflakeアカウントに接続します。

2. CREATE SECURITY INTEGRATION コマンドを実行します。例えば：

   SQL

   CREATE SECURITY INTEGRATION <your_security_intergration_name>
   TYPE = EXTERNAL_OAUTH
   ENABLED = TRUE
   EXTERNAL_OAUTH_TYPE = AZURE
   EXTERNAL_OAUTH_ISSUER = 'https://sts.windows.net/<YOUR_TENANT_ID>/'
   EXTERNAL_OAUTH_JWS_KEYS_URL = 'https://login.microsoftonline.com/<YOUR_TENANT_ID>/discovery/v2.0/keys'
   EXTERNAL_OAUTH_AUDIENCE_LIST = ('<SNOWFLAKE_APPLICATION_ID_URI>') -- Use the Application ID URI value from the resource application setup
   EXTERNAL_OAUTH_TOKEN_USER_MAPPING_CLAIM = 'email'
   EXTERNAL_OAUTH_SNOWFLAKE_USER_MAPPING_ATTRIBUTE = 'EMAIL_ADDRESS'
   EXTERNAL_OAUTH_ANY_ROLE_MODE = 'ENABLE'; -- Include this if you used 'session:role-any' scope

   この例では、 Eメール マッピングの要求と属性を使用します。 これには、 Snowflake ユーザーの Eメール が Azure テナントの Eメール と一致する必要があります。

   SQL

   ALTER USER <SNOWFLAKE_USER> SET EMAIL = '<YOUR_EMAIL>';

   ニーズに応じて、さまざまなクレームを使用することが可能です。

接続を作成する

接続では、外部データベースシステムにアクセスするためのパスと認証情報を指定します。接続を作成するには、カタログエクスプローラーを使用するか、Databricksノートブックまたは Databricks SQLクエリーエディタで CREATE CONNECTION SQLコマンドを使用できます。

注記

Databricks REST API または Databricks CLI を使用して接続を作成することもできます。 POST /api/2.1/unity-catalog/connections および Unity Catalog コマンドを参照してください。

必要な権限： メタストア管理者またはCREATE CONNECTION権限を持つユーザー。

1. Databricks ワークスペースで、 カタログ をクリックします。

2. [カタログ]ウィンドウの上部にある [ 追加] アイコンをクリックし、メニューから [ 接続の追加] を選択します。

   または、 クイックアクセス ページから 外部データ > ボタンをクリックし、 接続 タブに移動して 接続を作成 をクリックします。

3. 接続のセットアップ ウィザードの 接続の基本 ページで、わかりやすい 接続名 を入力します。

4. [ 接続タイプ ] で [Snowflake ] を選択します。

5. [Auth type ] で、ドロップダウンメニューから [OAuth] を選択します。

6. （オプション）コメントを追加します。

7. 次へ をクリックします。

8. Snowflake ウェアハウスの次の認証と接続の詳細を入力します。

   • ホスト : たとえば、 snowflake-demo.east-us-2.azure.snowflakecomputing.com

   • ポート : たとえば、 443

   • ユーザー : たとえば、 snowflake-user

   • 認証エンドポイント : https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize

   • クライアントシークレット : セキュリティ統合の作成時に保存したクライアントシークレット。

   • クライアント ID : セキュリティ統合の作成時に保存したクライアント ID。

   • OAuth スコープ : api://<RESOURCE_APP_ID>/.default offline_access

   • OAuth プロバイダー : Azure Entra ID

   • Azure Entra IDでサインイン する: クリックし、OAuth資格情報を使用してSnowflakeにサインインします。

     サインインに成功すると、 接続のセットアップ ウィザードに戻ります。

9. 接続の作成 をクリックします。

10. カタログの基本 ページで、フォーリンカタログの名前を入力します。 フォーリンカタログは、外部データシステム内のデータベースをミラーリングするため、DatabricksとUnity Catalogを使用して、そのデータベース内のデータへのアクセスを管理できます。

11. （オプション）[ 接続をテスト ]をクリックして、動作することを確認します。

12. [ カタログを作成 ] をクリックします。

13. アクセス ページで、作成したカタログにユーザーがアクセスできるワークスペースを選択します。 すべてのワークスペースにアクセス権がある を選択するか、 ワークスペースに割り当て をクリックし、ワークスペースを選択して 割り当て をクリックします。

14. カタログ内のすべてのオブジェクトへのアクセスを管理できる 所有者 を変更します。テキスト ボックスにプリンシパルの入力を開始し、返された結果でプリンシパルをクリックします。

15. カタログに対する 権限を付与 します。[ 許可 ] をクリックします。

    1. カタログ内のオブジェクトにアクセスできる プリンシパル を指定します。テキスト ボックスにプリンシパルの入力を開始し、返された結果でプリンシパルをクリックします。

    2. 各プリンシパルに付与する 権限プリセット を選択します。デフォルトでは、すべてのアカウントユーザーに BROWSE が付与されます。

       • ドロップダウンメニューから「 データ閲覧者 」を選択して、カタログ内のオブジェクトに対する read 権限を付与します。
       • ドロップダウンメニューから「 データエディタ 」を選択して、カタログ内のオブジェクトに対する read 権限と modify 権限を付与します。
       • 付与する権限を手動で選択します。

    3. 付与 をクリックします。

16. 次へ をクリックします。

17. [メタデータ] ページで、タグのキーと値のペアを指定します。詳細については、「Unity Catalog セキュリティ保護可能なオブジェクトにタグを適用する」を参照してください。

18. （オプション）コメントを追加します。

19. 保存 をクリックします。

大文字と小文字を区別するデータベース識別子

フォーリンカタログのdatabaseフィールドは、Snowflake データベース識別子にマップされます。 Snowflake データベース識別子が大文字と小文字を区別しない場合は、フォーリンカタログ<database-name>で使用する大文字と小文字が保持されます。 ただし、Snowflake データベース識別子が大文字と小文字を区別する場合は、大文字と小文字を保持するためにフォーリンカタログ<database-name>を二重引用符で囲む必要があります。

例えば：

• database は次のように変換されます。 DATABASE

• "database" は次のように変換されます。 database

• "database""" は次のように変換されます。 database"

  二重引用符をエスケープするには、別の二重引用符を使用します。

• "database"" 二重引用符が正しくエスケープされないため、エラーが発生します。

詳細については、Snowflake ドキュメントの 「識別子の要件 」を参照してください。

サポートされているプッシュダウン

次のプッシュダウンがサポートされています。

• フィルター
• 予測
• 上限
• テーブルのJOIN
• 集計 (Average、Corr、CovPopulation、CovSample、Count、Max、Min、StddevPop、StddevSamp、Sum、VariancePop、VarianceSamp)
• 関数 (文字列関数、数学関数、データ関数、時刻関数、タイムスタンプ関数、およびその他の関数 (Alias、Cast、SortOrder など))
• Windows の機能 (密度ランク、ランク、行番号)
• 分別

データ型マッピング

SnowflakeからSparkに読み取ると、データ型は次のようにマップされます。

Snowflake タイプ	Spark タイプ
decimal, number, numeric	DecimalType
bigint, byteint, int, integer, smallint, tinyint	IntegerType
float, float4, float8	FloatType
double, double precision, real	DoubleType
char, character, string, text, time, varchar	StringType
binary	BinaryType
boolean	BooleanType
日付	DateType
datetime, timestamp, timestamp_ltz, timestamp_ntz, timestamp_tz	TimestampType

制限

• Microsoft Entra ID は、サポートされている唯一の外部 OAuth 統合です。Okta などの他の外部 OAuth 統合はサポートされていません。
• Snowflake OAuth エンドポイントは、Databricks コントロールプレーン IP からアクセスできる必要があります。「Databricks のサービスと資産の IP アドレスとドメイン」を参照してください。Snowflake は、セキュリティ統合レベルでのネットワーク ポリシーの設定をサポートしており、これにより、 Databricks コントロール プレーンから OAuth エンドポイントへの直接接続を可能にする別のネットワーク ポリシーを使用して承認を行うことができます。
• プロキシの使用 、 プロキシホスト 、 プロキシポート 、およびSnowflakeロール構成オプションはサポートされていません。 Snowflake ロール を OAuth スコープの一部として指定します。