我在 Snowflake 中啟用了 SSO，但無法連接到 Power BI

Question

我有點奇怪。 因此，我們的 Snowflake 帳戶位於 AWS 中，我們最近不得不將 Okta SSO 集成到 Snowflake 中，並且我們正在使用 Power BI 來可視化數據。 我已經集成了 SSO，並且在 Snowflake Web UI 上運行良好。 但是，在 Power BI 中，登錄不再起作用。

這些是我到目前為止所做的步驟：

1. 我從負責 Okta 的工作人員那里獲得了證書字符串和ssoUrl ，並運行了以下腳本

alter account set saml_identity_provider = 
 '{ "certificate": "<CERT STRING>",
 "ssoUrl": "<SSO URL>",
 "type" : "OKTA", 
 "label" : "<LABEL>"
  }';    
    
alter account set sso_login_page = true;

2. 我已將一個用戶添加到添加到 Okta 的安全組中，並在 Snowflake 中創建了該用戶。 測試用戶能夠使用 SSO 集成成功登錄到 Snowflake 的 Web UI
3. 我遵循了雪花的文檔並將我的查詢編譯如下：

create or replace security integration powerbi
    type = external_oauth
    enabled = true
    external_oauth_type = azure
    external_oauth_issuer = 'https://sts.windows.net/<TENANT_ID>/'
    external_oauth_jws_keys_url = 'https://login.windows.net/common/discovery/keys'
    external_oauth_audience_list = ('https://analysis.windows.net/powerbi/connector/Snowflake')
    external_oauth_token_user_mapping_claim = 'upn'
    external_oauth_snowflake_user_mapping_attribute = 'login_name'
    external_oauth_any_role_mode = 'ENABLE';

但是，我仍然收到上述錯誤（我們無法使用提供的憑據進行身份驗證。請重試。 ），盡管它成功地將我重定向到 Okta 頁面。

我沒有使用網絡策略或網關，因此它應該能夠直接登錄。

任何人都可以幫忙嗎？

Answer 1

我發現了這個問題。 我使用的external_oauth_issuer似乎來自我們發布報告的租戶，該租戶與我們擁有 Azure 帳戶的租戶不同。 我已經改變了它，現在它似乎工作了。

Answer 2

此問題最可能的原因是以下任一原因：

1. 從 PBI 使用的用戶沒有設置“default_role”值。

2. 如果它設置了一個值，那么該角色對從 PBI 設置的 WH 沒有 USAGE 特權。

運行以下命令來檢查：

顯示倉庫贈款；

Answer 3

對於 PowerBI SSO-Snowflake 驗證令牌，從令牌中提取用戶名，將其映射到 Snowflake 用戶，並使用用戶的默認角色為 Power BI 服務創建 Snowflake session。 因此，如上所述，請確保用於 SSO 登錄的 Power BI 用戶必須在 Snowflake 中設置默認角色。 有關更多詳細信息，請參閱下面的文章。 https://community.snowflake.com/s/article/PowerBI-Service-displays-credentials-related-error-when-logging-in-or-publishing-report-from-PowerBI-Desktop