如何使用带有 MFA 的 Okta 将 Snowflake 连接到 IDE？答案

【问题标题】：How can you connect Snowflake to an IDE using Okta with MFA?如何使用带有 MFA 的 Okta 将 Snowflake 连接到 IDE？
【发布时间】：2020-05-27 09:33:39
【问题描述】：

我们目前使用 Okta（需要 MFA）来管理我们的 Snowflake 用户，因此我们的大多数 Snowflake 用户没有密码。我们有开发人员想要使用 DataGrip 或 DBeaver 等 IDE，但我们无法使用 Okta 方法进行连接。

当我们尝试使用authenticator='https://<your_okta_account_name>.okta.com' 的连接参数进行连接时，我们会收到[08001][390400] Bad request; operation not supported. 的错误消息

当我们尝试使用authenticator= externalbrowser 的连接参数进行连接时，我们会收到[08001][390400] !390400! 的错误消息

我们找不到比这些更好的错误消息了。我们使用 DBeaver 和 DataGrip 都会收到这些错误消息。

有什么建议可以让它发挥作用吗？我们无法确定这是雪花还是 Okta 问题。

我们参考了这些文档： https://docs.snowflake.net/manuals/user-guide/jdbc-configure.html#connection-parameters https://support.snowflake.net/s/article/How-to-Configure-Snowflake-connections-for-Datagrip

【问题讨论】：

标签： snowflake-cloud-data-platform okta datagrip dbeaver intellij-datagrip

【解决方案1】：

不确定 Okta 的具体情况，但是当您在更新 SAML_IDENTITY_PROVIDER 帐户参数时向 Snowflake 提供 SSO URL 时，您需要提供 SP-initiated SSO URL，因此您需要确保为 SP 设置 Okta - 启动单点登录。

SP-initiated 是服务提供商发起的认证，IdP-initiated 是身份提供商发起的认证。

我不是身份验证专家，但我学到了足够多的知识（我不会在这里详细介绍）尝试与我的公司进行设置以了解 如果您想使用非基于浏览器的工具，同时将贵公司的身份提供商与 Snowflake 一起使用，则需要使用 SP 发起的 SSO URL 设置身份验证。

Snowflake 文档没有提及任何这些，因此导航可能会很棘手。

如果您有兴趣，这里有一些与身份验证相关的详细信息： http://jamsheert.blogspot.com/2015/08/difference-between-idp-initiated-sso.html

Differences between SP initiated SSO and IDP initiated SSO

【讨论】：

太好了，感谢您提供的信息！看起来是我们开始的好地方。我们会检查出来

【解决方案2】：

我们的问题实际上是不同的，与我们的 Okta/Snowflake 集成没有任何关系。我们可以按照 Snowflake 文档了解如何连接到 Tableau 或 DataGrip。

使用 externalbrowser 身份验证器方法将 Okta 与 MFA for Snowflake 一起使用时会出现问题。我们的主机名上有一个别名，我们试图将其用于身份验证。

例如，我们的真实主机名可能是aaa111.snowflakecomputing.com，而我们有一个别名companyname.snowflakecomputing.com，您需要在设置连接时使用aaa111.snowflakecomputing.com 主机名。

如果您在使用 MFA 的 Okta，您确实需要指定 externalbrowser 身份验证器方法。

【讨论】：