我正在努力改善登录雪花时我们组织的用户体验。我们已启用adfs sso,并正在使用Azure广告将用户映射到角色。我有一位同事尝试与SSO登录,但该用户没有在雪花中创建用户帐户,因此受到了
的欢迎。 "The signed in user <user@email.com> is not assigned to a role for the application (Snowflake)"。
我的问题是,是否可以让用户登录雪花而不被映射到默认角色,或者仅分配公共角色,而又不与天蓝色广告同步。
如果是这样,我将感谢您可以参考的所有指向文档的指针。目标是让所有可以使用SSO的用户默认情况下都可以登录
答案 0 :(得分:2)
在Microsoft中,AD组同步每40分钟发生一次,我认为无法强制进行同步或更改此时间范围。此外,就像提到的OP一样,Snowflake无法连接到本地ADFS服务器,因此所有用户都必须位于Azure AD中。
AD组同步可以通过“范围”进行一些配置(请参见this tutorial的步骤15)
如果您的范围设置为“仅同步分配的用户和组”,则可以
或
答案 1 :(得分:1)
看到该错误,将不允许没有适当角色的用户使用该应用程序。
在这些中,为什么我们不能创建通用存储过程来根据新用户所属的组将默认角色和实例分配给新用户!每次添加任何新用户时,都必须运行存储过程以在其登录到雪花之前分配默认角色和对象。