Okta雪花角色塑造

Question

我对这片奥克塔雪花很陌生。我在用scim。在集成之后，我尝试在okta中创建角色，或者至少将角色从okta分配给用户。在文档中，它是通过push组提到的。不知道如何在okta创造角色。当我在okta指定用户时，它将在雪花中扮演默认角色。我在“雪花”中创建了一个手动角色，由okta供给者作为所有者。当我在okta中为用户分配自定义角色时，默认情况下它将再次扮演公共角色。我对这里的角色有什么遗漏吗？谢谢。

Answer 1

我们建议，在雪花内部，您有一个访问角色，并且在雪花外部(比如使用Okta和SCIM)定义组，它们成为雪花中的函数角色--不要担心我使用的前缀--自定义角色是自定义角色，前缀(Access / Functional)只是逻辑上的角色分组。

一旦在Okta中定义并被推到雪花中，这些组就应该显示为雪花中的自定义角色，但是它们将不能访问任何东西。在雪花中，你必须授予他们访问角色的权限。

雪花中的访问角色(同样是一个自定义角色)是包含对雪花对象的特权的角色，在雪花中，您必须链接函数角色来访问角色。一旦您这样做了，所有分配给同一个组(功能角色)的新用户都不会在雪花平台上进行进一步的管理。

您也可以创建用户并为他们分配默认角色，这在doc：https://docs.snowflake.com/en/user-guide/scim-intro.html#custom-attributes中突出显示。

Answer 2

您希望从Okta创建角色/组，以便Okta能够管理它。不要在雪花中手动创建角色。即使您将所有者更改为okta_provisioner，它也可能仍然存在问题，因为更新是从Okta到雪花的单向更新。

下面是一些您可以测试的一般步骤：

Snowflake

• Create中不存在的

1. 在Okta创建了一个全新的组--在
2. 中不存在该用户--将该用户添加到
3. 应用程序的
4. 中，转到“分配”选项卡>单击“分配按钮”>“分配到组”
5. ，将您的组分配给应用程序，可以选择给它一个默认角色/仓库，并确认它在“推组”选项卡下的列表

H 111中显示，然后将组推送到雪花。您只需要执行这个一次，作为它的初始组创建。再次将其推到雪花将导致错误，因为它已经存在。

此时，Okta将发送请求，以创建该组中的用户，并在雪花端创建角色。组中的所有用户都被授予该角色，您可以在UI中看到这个角色，或者使用类似于“向用户user_name显示授权”这样的命令。您的用户也应该拥有您给组的任何默认角色/仓库。

然后，您可以根据需要稍后将用户添加到组中，Okta将在角色下面的雪花端自动创建这些用户。

我建议在测试时始终从Okta创建组和用户。再说一遍，这些请求是从Okta到雪花的单程。理想情况下，您首先使用Okta来完成大多数用户/角色管理，因此这是有意义的。