Snowflake

이 커넥터는 다음 제품 및 지역에서 사용할 수 있습니다.

서비스	클래스	Regions
Copilot Studio	Premium	다음을 제외한 모든 Power Automate 지역 :      - 미국 정부(GCC)      - 미국 정부(GCC High)      - 21Vianet에서 운영하는 중국 클라우드      - 미국 국방부(DoD)
논리 앱	스탠다드	다음을 제외한 모든 Logic Apps 지역 :      - Azure Government 지역      - Azure 중국 지역      - 미국 국방부(DoD)
Power Apps	Premium	다음을 제외한 모든 Power Apps 지역 :      - 미국 정부(GCC)      - 미국 정부(GCC High)      - 21Vianet에서 운영하는 중국 클라우드      - 미국 국방부(DoD)
Power Automate	Premium	다음을 제외한 모든 Power Automate 지역 :      - 미국 정부(GCC)      - 미국 정부(GCC High)      - 21Vianet에서 운영하는 중국 클라우드      - 미국 국방부(DoD)

연락처
이름	Snowflake 지원
URL	https://www.snowflake.com/support
전자 메일	support@snowflake.com

커넥터 메타데이터
게시자	Snowflake
웹 사이트	https://www.snowflake.com
개인 정보 보호 정책	https://www.snowflake.com/privacy-policy
카테고리	데이터; 마케팅

커넥터 심층 분석

이 문서에서는 Snowflake 커넥터의 기능 및 동작에 대해 설명합니다.

Power Automate에 지원되는 기능

• 사용자는 흐름을 만들고 작업을 추가하여 Snowflake 연결을 사용하여 사용자 지정 SQL 문의 결과를 실행하고 다시 가져올 수 있습니다.

Power Apps에 지원되는 기능

• 사용자는 먼저 가상 테이블을 만든 다음 Snowflake 연결('서비스 주체 인증'만 사용하여 만든 연결)을 사용하여 앱에 로드해야 합니다. 가상 테이블을 만드는 방법 알아보기: Microsoft Dataverse를 사용하여 가상 테이블 만들기 및 편집 - Power Apps | Microsoft Learn.

Logic Apps에 지원되는 기능

• 사용자는 흐름을 만들고 작업을 추가하여 Snowflake 연결을 사용하여 사용자 지정 SQL 문의 결과를 실행하고 다시 가져올 수 있습니다.

Virtual Network 지원

Power Platform에 대한 Azure Virtual Network 지원을 통해 사용자는 퍼블릭 인터넷을 통해 노출하지 않고도 Power Platform을 가상 네트워크 내의 리소스와 통합할 수 있습니다. Virtual Network에 연결하려면 아래에 언급된 두 단계를 모두 수행해야 합니다.

1. Azure Private Link 및 Snowflake를 설정하는 방법 알아보기
2. Power Platform에 대한 Virtual Network 지원을 설정하는 방법 알아보기

가상 네트워크에 대한 자세한 내용은 Virtual Network 지원 개요를 확인하세요.

필수 조건

• 사용자에게 외부 권한 부여를 위한 Microsoft Entra ID가 있어야 합니다. PowerApps에 대한 권한 부여 흐름은 서비스 주체를 활용하며, Power Automate는 Service-Principal 및 사용자 대신 흐름을 모두 지원합니다.
• 사용자에게 프리미엄 Power Apps 라이선스가 있어야 합니다.
• 사용자에게 Snowflake 계정이 있어야 합니다.

Snowflake 커넥터를 사용하기 위한 구성과 관련하여 유의해야 하는 몇 가지 사항

1. 권한 부여 서버는 사용자를 대신하여 OAuth 클라이언트에 액세스 토큰을 부여할 DELEGATED BASED AUTH수 있습니다.
2. 권한 부여 서버는 OAuth 클라이언트에 OAuth 클라이언트 자체에 대한 액세스 토큰을 SP BASED AUTH부여할 수 있습니다.
3. Oauth 클라이언트의 경우 위임된 기반 AUTH에 대한 리디렉션 URI(웹 기반)를 추가해야 합니다.
   리디렉션 URI - https://global.consent.azure-apim.net/redirect/snowflakev2
4. 대상 그룹과 보안 통합을 만들어야 합니다.
5. 위임된 기반 인증의 경우 external_oauth_token_user_mapping_claim = 'upn'
6. Sp 기반 인증의 경우 external_oauth_token_user_mapping_claim = 'sub'
7. 보안 통합을 만들 때 생성된 통합을 설명하고 Snowflake 사용자에게 주어진 역할이 차단된 목록에 있는지 확인합니다. 차단된 목록에 있는 경우 차단된 목록에서 사용자의 역할을 변경하거나 제거합니다.
   
8. login_name Snowflake 계정에서 역할 및 역할이 올바르게 설정되었는지 확인합니다. 관리자 탭 > 사용자 및 역할 > 사용자를 선택하고 사용자 세부 정보를 편집하여 확인할 수 있습니다.
   

구성 단계

A. Microsoft Entra ID에서 OAuth 리소스 구성

1. Microsoft Azure Portal로 이동하여 인증합니다.
2. Microsoft Entra ID로 이동합니다.
3. 앱 등록을 클릭합니다.
4. 새 등록을 클릭합니다.
5. 'Snowflake OAuth 리소스'를 입력하거나 이름과 유사한 값을 입력합니다.
6. 지원되는 계정 유형이 단일 테넌트로 설정되어 있는지 확인합니다.
7. 등록을 클릭합니다.
8. API 노출을 클릭합니다.
9. 애플리케이션 ID URI 옆의 링크를 클릭하여 애플리케이션 ID URI를 추가합니다. 애플리케이션 ID URI는 형식입니다. Application ID URI <api://9xxxxxxxxxxxxxxxxxx>
10. 위임된 인증의 경우(여기 스크린샷):
    1. 범위 추가를 클릭하여 Snowflake 역할을 나타내는 범위를 추가합니다.
    2. 동의할 수 있는 사용자를 선택합니다.
    3. 설명을 추가합니다.
    4. 범위 추가를 클릭하여 저장합니다.
       예: session:scope:analyst
       
       OR
       
       
11. 서비스 주체 인증의 경우(여기 스크린샷):
    프로그래매틱 클라이언트가 자체 액세스 토큰을 요청하는 OAuth에 대한 역할로 Snowflake 역할을 추가하려면 다음을 수행합니다.

    1. 매니페스트를 클릭합니다.

    2. 요소를 찾습니다 appRoles .

    3. 다음 설정을 사용하여 앱 역할을 입력합니다. Snowflake 역할은 웨어하우스에 대한 액세스 권한이 있는 역할이어야 하며 스키마에 대한 사용 권한(매니페스트 vales에 대한 자세한 내용은 여기 를 참조하세요).

    4. 아래 샘플 정의를 참조하세요.
       
       앱 역할 매니페스트는 다음과 같습니다. 또는 .와 같은 ACCOUNTADMINSECURITYADMINORGADMIN높은 권한 역할을 사용하지 않도록 합니다.
       

        "appRoles":[
            {
                "allowedMemberTypes": [ "Application" ],
                "description": "Analyst.",
                "displayName": "Analyst",
                "id": "3ea51f40-2ad7-4e79-aa18-12c45156dc6a",
                "isEnabled": true,
                "lang": null,
                "origin": "Application",
                "value": "session:role:analyst"
            }
        ]
       

    5. 저장 클릭

12. 필요에 따라 Snowflake에서 PowerBI와 같은 다른 Microsoft 제품 및 다른 클레임 매핑을 사용하여 보안 통합을 이미 사용하고 있는 경우 매니페스트를 수정해야 합니다. 매니페스트는 고유한 클레임 매핑과 Snowflake에서 별도의 보안 통합을 만들 수 있도록 다른 발급자를 사용하여 토큰을 내보내야 합니다.
    a. 매니페스트를 클릭합니다.
    b. 특성을 requestedAccessTokenVersion 찾아 값을 "2"로 설정합니다.
    • "2"로 설정되면 requestedAccessTokenVersion 액세스 토큰에 다음과 같은 형식의 발급자를 갖게 됩니다. https://login.microsoftonline.com/<Tenant-ID>/v2.0
    • "1"로 설정되면 requestedAccessTokenVersion 액세스 토큰에 다음과 같은 형식의 발급자를 갖게 됩니다. https://sts.windows.net/<tenant-ID>/
      c. '저장'을 클릭합니다.

B. Microsoft Entra ID에서 OAuth 클라이언트 만들기

1. Microsoft Azure Portal로 이동하여 인증합니다.
2. Azure Active Directory로 이동합니다.
3. 앱 등록을 클릭합니다.
4. 새 등록을 클릭합니다.
5. 클라이언트의 이름(예: 'Snowflake OAuth 클라이언트')을 입력합니다.
6. 지원되는 계정 유형이 단일 테넌트로 설정되어 있는지 확인합니다.
7. 등록을 클릭합니다.
8. 개요 섹션에서 애플리케이션(클라이언트) ID 필드에서 복사 ClientID 합니다. 이를 다음 단계에서 알려 <OAUTH_CLIENT_ID> 겠습니다.
9. 인증서 및 비밀을 클릭한 다음 새 클라이언트 암호를 클릭합니다.
10. 비밀에 대한 설명을 추가합니다.
11. 테스트를 위해 오래 지속되는 비밀을 선택하지만 프로덕션의 경우 필요한 보안 정책을 따릅니다.
12. 추가를 클릭합니다. 비밀을 복사합니다. 이를 다음 단계에서 알려 <OAUTH_CLIENT_SECRET> 겠습니다.
13. 위임된 인증의 경우:
    a. ->API 권한관리를 클릭합니다.
    b. 사용 권한 추가를 클릭합니다.
    c. 내 API를 클릭합니다.
    d. Microsoft Entra ID에서 Oauth 리소스 구성 에서 만든 Snowflake OAuth 리소스를 클릭합니다.
    e. 위임된 사용 권한 상자를 클릭합니다.
    f. 이 클라이언트에 부여하려는 애플리케이션에 수동으로 정의된 범위와 관련된 사용 권한을 확인합니다.
    그램 (g) 사용 권한 추가를 클릭합니다.
    ㅎ. 관리자 동의 부여 단추를 클릭하여 클라이언트에 권한을 부여합니다. 테스트를 위해 사용 권한은 이러한 방식으로 구성됩니다. 그러나 프로덕션 환경에서는 이러한 방식으로 사용 권한을 부여하는 것이 바람직하지 않습니다.
    (i) 예를 클릭합니다.
    j. 관리 -> 인증, 플랫폼 추가 - > 웹을 클릭하고 리디렉션 URI를 입력합니다.
    https://global.consent.azure-apim.net/redirect/snowflakev2
    
    OR
    
    
14. 서비스 주체 인증의 경우:
    a. ->API 권한관리를 클릭합니다.
    b. 사용 권한 추가를 클릭합니다.
    c. 내 API를 클릭합니다.
    d. Microsoft Entra ID에서 Oauth 리소스 구성에서 만든 Snowflake OAuth 리소스를 클릭합니다.
    e. 애플리케이션 사용 권한 상자를 클릭합니다.
    f. 이 클라이언트에 부여하려는 애플리케이션 매니페스트에 수동으로 정의된 역할과 관련된 사용 권한을 확인합니다.
    그램 (g) 사용 권한 추가를 클릭합니다.
    ㅎ. 관리자 동의 부여 단추를 클릭하여 클라이언트에 권한을 부여합니다. 테스트를 위해 사용 권한은 이러한 방식으로 구성됩니다. 그러나 프로덕션 환경에서는 이러한 방식으로 사용 권한을 부여하는 것이 바람직하지 않습니다.
    (i) 예를 클릭합니다.

C. Snowflake에 대한 Azure AD 정보 수집

1. Microsoft Azure Portal로 이동하여 인증합니다.
2. Azure Active Directory로 이동합니다.
3. 앱 등록을 클릭합니다.
4. Microsoft Entra ID에서 Oauth 리소스 구성에서 만든 Snowflake OAuth 리소스를 클릭합니다.
5. 개요 인터페이스에서 엔드포인트를 클릭합니다.
6. 오른쪽에서 OAuth 2.0 토큰 엔드포인트(v2) 를 복사하고 OpenID Connect 메타데이터 및 페더레이션 연결 메타데이터에 대한 URL을 기록해 둡니다.

• OAuth 2.0 토큰 엔드포인트(v2)는 다음 구성 단계에서 알 <AZURE_AD_OAUTH_TOKEN_ENDPOINT> 수 있습니다. 엔드포인트는 다음과 유사 https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token해야 합니다.
• OpenID Connect 메타데이터의 경우 새 브라우저 창에서 엽니다.
  • 매개 변수를 jwks_uri 찾아 해당 값을 복사합니다.
  • 이 매개 변수 값은 다음 구성 단계에서 알 <AZURE_AD_JWS_KEY_ENDPOINT> 수 있습니다. 엔드포인트는 다음과 유사 https://login.microsoftonline.com/<tenant-id>/discovery/v2.0/keys해야 합니다.
• 페더레이션 메타데이터 문서의 경우 새 브라우저 창에서 URL을 엽니다.
  • 해당 "entityID" 값에서 매개 변수를 XML Root Element 찾아 복사합니다.
  • 이 매개 변수 값은 다음 구성 단계에서 알 <AZURE_AD_ISSUER> 수 있습니다. entityID 값 https://sts.windows.net/<tenant-id>/은 .

D. Entra 권한 부여 설정 유효성 검사

이때 구성을 테스트하는 것이 좋습니다. 아래의 curl을 사용하고 Entra가 불면증 등의 API 테스트 도구를 사용하여 토큰을 발급하는지 확인하세요.

• 위임된 인증: (선택 사항)

  • 코드를 가져오기 위해 이전 단계를 실행해야 합니다. 이 문서를 따를 수 있습니다.
    

    curl --request POST --url https://login.microsoftonline.com/<TENANT_ID>/oauth2/token --header 'Content-Type: multipart/form-data' --form client_id=<AAD_CLIENT_ID> --form client_secret=< AAD_CLIENT_SECRET> --form resource=< AAD_RESOURCE_ID> --formgrant_type=authorization_code --form code=<CODE_GENERATED_ABOVE> --form redirect_uri=https://localhost
    

  • 참고: AAD 클라이언트 앱에 리디렉션 URI를 추가하세요.
    

OR

• 서비스 주체 인증:
  

  curl -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" \ --data-urlencode "client_id=client_id from above B.8" \ --data-urlencode "client_secret=<Secret from above B.12>" \ --data-urlencode "grant_type=client_credentials" \ --data-urlencode "scope=api://<Appl_URI_ID>/.default" \'https://login.microsoftonline.com/<tenant_id>/oauth2/v2.0/token'
  

토큰의 유효성을 검사하려면 Snowflake에서 아래 명령을 실행합니다.

select system$verify_external_oauth_token(‘<token>’);

E. 대상 그룹과 보안 통합 만들기

보안 통합의 매개 변수는 external_oauth_audience_list Microsoft Entra ID를 구성하는 동안 지정된 애플리케이션 ID URI와 일치해야 합니다.

• 위임된 인증:
  

  create security integration external_oauth_azure_1    
      type = external_oauth
      enabled = true
      external_oauth_type = azure
      external_oauth_issuer = '<AZURE_AD_ISSUER>'
      external_oauth_jws_keys_url = '<AZURE_AD_JWS_KEY_ENDPOINT>'
      external_oauth_audience_list = ('<SNOWFLAKE_APPLICATION_ID_URI>')
      external_oauth_token_user_mapping_claim = ‘upn’ 
      external_oauth_snowflake_user_mapping_attribute = 'login_name or email address';
  

Azure AD에 대한 보안 통합이 이미 설정된 경우 다음을 사용합니다.

alter security integration external_oauth_azure_1 set external_oauth_token_user_mapping_claim = ('sub','upn');  

위임된 인증의 경우 Snowflake 사용자는 login_nameemail_address Power Automate 흐름을 실행할 사용자의 Entra 전자 메일과 일치해야 합니다.

예:

ALTER USER SNOWSQL_DELEGATE_USER  
LOGIN_NAME = '<ENTRA-USERID>' or EMAIL_ADDRESS = ‘ENTRA-USERID’ 
DISPLAY_NAME = 'SnowSQL Delegated User'  
COMMENT = 'A delegate user for SnowSQL client to be used for OAuth based connectivity'; 

OR

• 서비스 주체 인증:
  

  create security integration external_oauth_azure_2 
      type = external_oauth 
      enabled = true 
      external_oauth_type = azure 
      external_oauth_issuer = '<AZURE_AD_ISSUER>' 
      external_oauth_jws_keys_url = '<AZURE_AD_JWS_KEY_ENDPOINT>' 
      external_oauth_audience_list = ('<SNOWFLAKE_APPLICATION_ID_URI>') 
      external_oauth_token_user_mapping_claim = ‘sub’     
      external_oauth_snowflake_user_mapping_attribute = 'login_name';
  

서비스 주체 인증 설정에 대해서만 아래를 계속합니다.

서비스 주체 기반 연결에 대한 사용자를 만듭니다.

• 하위 값은 Snowflake의 사용자에게 매핑되어야 하며 높은 권한 계정 Accountadmin, Orgadmin, Securityadmin을 사용하지 않아야 합니다.

  CREATE OR REPLACE USER SNOWSQL_OAUTH_USER  
  LOGIN_NAME = '<subvalue from decoded token>'  
  DISPLAY_NAME = 'SnowSQL OAuth User'  
  COMMENT = 'A system user for SnowSQL client to be used for OAuth based connectivity'; 
  
  CREATE ROLE ANALYST; 
  
  GRANT ROLE ANALYST TO USER SNOWSQL_OAUTH_USER;
  

F. Snowflake 액세스 유효성 검사 [선택 사항]

• 위임된 인증

  snowsql -a organization-locator -u 'user@sandbox.onmicrosoft.com' --rolename <rolename> --authenticator oauth --token "<token-value>"
  

OR

• 서비스 주체 인증

  snowsql -a <snowflake-accountname> -u ‘sub-value’ -r <snowflake-role from A.11.h above> –authenticator oauth –token <output from curl at step D> 
  

Snowflake 커넥터를 사용하는 고객 [사용되지 않음]

적용 가능: 모든 지역

이전 Snowflake 커넥터에서 새 커넥터로 마이그레이션하려면 아래 단계를 따르세요.

이 옵션은 명시적 인증 유형이 없는 이전 연결에만 해당되며 이전 버전과의 호환성을 위해서만 제공됩니다.

이전 커넥터를 사용하는 Power Automate 흐름이 빌드된 경우(지금은 사용되지 않는 것으로 표시됨) 위의 구성 단계에 설명된 단계에 따라 새 연결을 설정하고 새 연결을 사용하도록 기존 흐름을 업데이트해야 합니다.

이제 해당 기능이 "상태 확인 및 결과 가져오기"로 래핑되므로 "결과 집합 행을 배열에서 개체로 변환" 작업도 삭제해야 합니다.

알려진 문제 및 제한 사항

1. 현재 조인 명령이 실행될 때 중복 열을 지원하지 않습니다. 해결 방법은 중복된 열에 별칭을 추가하는 것입니다.

2. 가상 테이블의 다른 제한 사항은 여기에 나열되어 있습니다.

3. 가상 테이블은 '서비스 주체' 인증을 사용하여 만든 연결에서만 지원됩니다.

4. 서비스 주체 인증을 사용하는 경우 사용자는 information_schema.columns 테이블에 대한 읽기 권한이 있어야 합니다.

5. Snowflake 연결은 Canvas 앱에서 직접 만들 수 없으며 오류 정보 및 문제를 해결하는 데 필요한 단계는 다음과 같습니다.

   1. 아래 스크린샷에 표시된 것처럼 Canvas 앱에서 Snowflake 연결이 직접 만들어지는 경우 연결 .
   2. Canvas 앱에서 직접 커넥터를 추가하는 대신 Canvas 앱 외부에서 서비스 주체 연결(위임되지 않음)을 만듭니다.
   3. 위에서 만든 Snowflake 연결을 사용하고 가상 테이블 만들기
   4. 그 후 가상 테이블을 Canvas 앱에 로드하고 Canvas 앱에서 빌드하면 발생할 수 있습니다.
   5. 위의 ANIMALS 테이블은 위에서 설명한 대로 Snowflake 연결을 사용하여 만든 가상 테이블입니다.

일반 제한

이름	가치
커넥터에서 동시에 처리되는 최대 요청 수	50

연결을 만드는 중

커넥터는 다음 인증 유형을 지원합니다.

서비스 주체(Microsoft Entra ID 애플리케이션)	Microsoft Entra ID 애플리케이션을 사용하여 Snowflake 데이터베이스에 액세스합니다.	모든 지역	공유 가능
서비스 주체 위임 인증(Microsoft Entra ID 애플리케이션)	Microsoft Entra ID 애플리케이션을 사용하여 Snowflake 데이터베이스에 액세스합니다.	모든 지역	공유 가능
기본값 [사용되지 않음]	이 옵션은 명시적 인증 유형이 없는 이전 연결에만 해당되며 이전 버전과의 호환성을 위해서만 제공됩니다.	모든 지역	공유할 수 없음

서비스 주체(Microsoft Entra ID 애플리케이션)

인증 ID: oauthSP

적용 가능: 모든 지역

Microsoft Entra ID 애플리케이션을 사용하여 Snowflake 데이터베이스에 액세스합니다.

공유 가능한 연결입니다. 전원 앱이 다른 사용자와 공유되면 연결도 공유됩니다. 자세한 내용은 캔버스 앱에 대한 커넥터 개요를 참조하세요. - Power Apps | Microsoft Docs

이름	유형	Description	필수
임차인	문자열		진실
클라이언트 ID	문자열		진실
클라이언트 암호	시큐어스트링 (보안 문자열)		진실
리소스 URL	문자열	Snowflake OAuth 대상 URL(리소스 URL)	진실
Snowflake SaaS URL	문자열	HTTPS 접두사를 포함하지 않는 Snowflake URL(예: fnpuupu-in12345.snowflakecomputing.com)	진실
Snowflake 데이터베이스	문자열	연결할 데이터베이스 지정	진실
웨어하우스 이름	문자열	연결할 Snowflake 창고	진실
역할	문자열	다음으로 연결하는 Snowflake 역할	진실
Schema	문자열	연결할 Snowflake 스키마	진실

서비스 주체 위임 인증(Microsoft Entra ID 애플리케이션)

인증 ID: oauthSPUserDelegated

적용 가능: 모든 지역

Microsoft Entra ID 애플리케이션을 사용하여 Snowflake 데이터베이스에 액세스합니다.

공유 가능한 연결입니다. 전원 앱이 다른 사용자와 공유되면 연결도 공유됩니다. 자세한 내용은 캔버스 앱에 대한 커넥터 개요를 참조하세요. - Power Apps | Microsoft Docs

이름	유형	Description	필수
클라이언트 ID	문자열	Snowflake OAuth 클라이언트 ID	진실
클라이언트 암호	시큐어스트링 (보안 문자열)	Snowflake OAuth 클라이언트 암호	진실
리소스 URL	문자열	Snowflake OAuth 대상 URL(리소스 URL)	진실

기본값 [사용되지 않음]

적용 가능: 모든 지역

이 옵션은 명시적 인증 유형이 없는 이전 연결에만 해당되며 이전 버전과의 호환성을 위해서만 제공됩니다.

공유 가능한 연결이 아닙니다. 전원 앱이 다른 사용자와 공유되면 다른 사용자에게 새 연결을 명시적으로 만들라는 메시지가 표시됩니다.

이름	유형	Description	필수
MCS UI 연결 위젯 버그로 인해 시간이 필요한 더미 자리 표시자입니다. connectionParameterSets에서 인증을 변경해야 합니다.	문자열	MCS UI 연결 위젯 버그로 인해 시간이 필요한 더미 자리 표시자입니다. connectionParameterSets에서 인증을 변경해야 합니다.

제한 한도

Name	호출	갱신 기간
연결당 API 호출	900	60초

동작

문 실행 취소	문 실행 취소
상태 확인 및 결과 가져오기	문 실행 상태를 확인하고 결과 가져오기
실행을 위한 SQL 문 제출	실행을 위한 SQL 문 제출

문 실행 취소

상태 확인 및 결과 가져오기

실행을 위한 SQL 문 제출