​

はじめに

Cloud Amplifierを使用すると、Snowflake内のエンタープライズデータアセットを使用するためのアクセス権をDomoに付与できます。SnowflakeとCloud Amplifierの統合により、データは組織のガバナンス構造とデータ構造内でSnowflakeに残り、Snowflakeはデータアクセスとクエリ処理を制御します。Cloud Amplifierでは、Domoのデータエクスペリエンス機能の包括的なポートフォリオにアクセスして、データからより多くの価値を引き出すことができます。 このガイドでは、Snowflakeに精通しているユーザー向けに、読み取り/書き込み機能の設定や OAuthの設定方法 など、SnowflakeをCloud Amplifierに登録する方法を説明します。

---

SnowflakeをCloud Amplifierに登録する方法については、以下のトピックを参照してください。

• 構造的な概要
• 必要条件
  • 推奨されるアカウントの作成 — すべて
  • アカウントの作成 — 書き込み
• 読み取り専用設定
• 書き込み設定
• Snowflakeから供給されたDataSetを使用する
• Snowflake接続のセキュリティ
  • Snowflakeキーペア認証
  • OAuthの設定
    • SnowflakeのOAuthを設定する
    • DomoのOAuthを設定する
    • Oktaを設定してSSOでアクセスする
• よくある質問
• トラブルシューティング

---

​

構造的な概要

この画像は、Cloud Amplifier-Snowflakeの統合を表しています。

​

必要条件

Cloud Amplifierの設定は、読み取り専用または読み取り/書き込みの2つの部分で構成されています。 読み取り専用設定が完了したら、Snowflakeから読み込まれた仮想テーブルの使用を開始できます。この仮想テーブルは、カードの作成、アラートの設定、Magic ETLフローでの入力に使用できます。読み取り専用設定を行い、その後、書き込み設定に戻ることができます。

​

推奨されるアカウントの作成 - すべて

Snowflake接続を設定する前に、以下の手順を完了することを強く推奨します。

• （推奨）Snowflakeサービスアカウントを作成する — この統合専用の新しいSnowflakeアカウントを作成することを推奨します。Snowflakeで読み取りアクセス権を持つ任意のアカウントを使用できますが、サービスアカウントがベストプラクティスです。DomoでSnowflakeの仮想テーブルを作成するには、このアカウントにデフォルトのSnowflake環境への読み取りアクセス権が必要です。
• （推奨）Domoサービスアカウントを作成する — この統合専用の新しいDomoアカウントを作成することを推奨します。アカウント権限では、「クラウドアカウントを管理」および「DataSetを管理」の許可が有効になっている必要があります。

権限と許可の詳細については、「 カスタマイズされた権限を管理する 」を参照してください。

​

アカウントの作成 - 書き込み

書き込み設定のためにCloud Amplifierに登録する前に、以下の手順を完了する必要があります。

• （必須）デフォルトのSnowflakeデータベースを作成する — Domoで管理されるテーブルに書き込むには、Domo専用のSnowflakeデータベースが必要です。設定時は、このデータベースがデフォルトになります。
  注記： このデータベース内のDomoが管理していないテーブルは、Cloud Amplifierには表示されません。
• （条件付き）IPアドレスを許可リストに追加する — Snowflake環境でIPアドレスにもとづいてアクセスが制限されている場合は、DomoのIPを許可リストに追加する必要がある場合があります。 ネットワーク接続のDomo IPアドレスの許可の詳細については、 こちら を参照してください。
  重要： 書き込み設定プロセス中に、統合を作成するためのSQLステートメントが提供されます。これらのステートメントをSnowflake環境に対して実行するには、ACCOUNTADMIN権限を持つSnowflake管理者である必要があります。これはSnowflakeの要件であり、これによってDomo内でSnowflake管理者の認証情報を管理する必要がなくなります。これは、Snowflake管理者がDomoにアクセスできない可能性のある大規模な組織では特に重要です。統合が確立された後、Snowflake管理者アカウントは不要になります。

このページのトップへ

​

読み取り専用設定

以下の手順に従って、読み取り専用アクセス権を設定し、Cloud Amplifierを使用してDomo内からSnowflakeテーブルの参照を開始します。

1. ［Data Warehouse］ に移動します。
2. キャンバス上の ［新しいクラウド統合を追加］ を選択します。
   
3. モーダルで ［Snowflake］ を選択します。 クラウドの統合モーダルが表示されます。
   
4. ［+新しい統合を追加］ を選択します。
   
5. Snowflakeの設定情報を入力します。
   • ［統合名］ — Domoの統合を識別するのに役立つ固有の名前です。OAuthを設定する場合、この名前はDomoユーザーにSnowflakeネイティブ接続への参照を示す名前として表示されます。これは統合名とは異なり、Snowflakeには影響しません。
   • （オプション）［統合の説明］ — 統合の説明です。
   • ［Snowflake接続URL］ — SnowflakeのURLです。 これは Snowflakeログインページに表示されています。URLのフォーマットは次の通りです。< 組織名 >-< アカウント名 >. snowflakecomputing.com SnowflakeのURLを確認する方法については、 Snowflakeのドキュメント を参照してください。
   • ［Snowflakeユーザー名］/［Snowflakeパスワード］ — 作成したSnowflakeサービスアカウントの認証情報です。
     
6. ［Snowflakeの権限設定］ までスクロールして、権限オプションを選択します。
   • ［デフォルトの権限を使用］ — デフォルトでは、ユーザーがSnowflakeに接続すると、初期の権限が割り当てられます。デフォルトの権限が指定されていない場合、システムはデフォルトでパブリック権限になり、何にもアクセスできません。
   • ［権限を指定］ — 新規ユーザーに、パブリック権限ではなくデフォルトの権限を選択できます。
   • ［二次的な権限を使用］ — これはSnowflakeがサポートする機能です。設定すると、Snowflakeは、自身に付与されている権限でテーブルにアクセスできるユーザーがいるかどうかを自動的に判断します。SnowflakeユーザーがSnowflakeで複数の権限を持ち、各権限が複数のテーブルにアクセスできる場合、そのユーザーは頻繁に権限を切り替える必要があります。二次的な権限機能は、複数の権限を切り替えることなくテーブルにアクセスできるようにすることでこれを防止します。このオプションでは、クエリ時にユーザーがSnowflakeの権限を選択することはできません。DomoがSnowflakeにクエリを実行する必要がある場合は、代わりにすべてのユーザーに特定の権限を定義できます。
7. ［OAuthを設定］ で、OAuthでユーザーを個別に認証できるようにスイッチを切り替えます。後述の「 DomoのOAuthを設定する 」を参照してください。
8. データの読み込みとクエリに使用するSnowflakeウェアハウスを選択します。
   
9. これで、読み取り専用設定が完了しました。以下のステップに進み、DomoにSnowflakeデータを追加します。
   
10. （オプション）［データ表を選択］ を選択して、DomoでDataSetを作成します。 モーダルに、Domoに追加するSnowflakeのデータベース、スキーマ、テーブルのナビゲーションが表示されます。追加するデータを見つけて選択し、 ［DataSetを作成］ を選択します。
    

このページのトップへ

​

書き込み設定

このセクションの手順を完了する前に、上記の 必要条件 を満たしてください。 書き込み機能のためのCloud Amplifierへの登録は、Snowflake管理者に必要な複数のステップからなるプロセスです。 以下の図は、SnowflakeインスタンスをCloud Amplifierに登録するプロセスを示しています。 書き込み機能を設定するには、以下のステップに従います。

1. Snowflakeサービスアカウントに割り当てられている ［デフォルトの権限］ の名前と ［Snowflakeの書き込みデータベース名］ を入力します。 ［Snowflakeの書き込みデータベース名］ は、Domoからの新しいデータがすべて追加されるデフォルトのSnowflakeデータベースです。名前では 大文字と小文字が区別され、各文字は大文字にする必要があります。
2. ［SQLを生成］ を選択し、この統合に固有のSQLを生成します。
   
   重要： このSQLはほかの統合やアカウントには使用できません。認証情報を変更した場合は、再生成する必要があります。
3. ダイアログからSQLをコピーし、Snowflakeウェアハウスに対してSQLを実行します。このSQLは、ACCOUNTADMIN権限を持つSnowflakeアカウント管理者のみが実行できます。 このSQLの出力は統合のCSVファイル記述で、Domoで設定を続けるために必要なIDが含まれています。
   
4. SQLの出力から以下の値をコピーします。
   • ユーザーARN： STORAGE_AWS_IAM_USER_ARN
   • 外部ID：STORAGE_AWS_EXTERNAL_ID
     
     DomoにARNと外部IDを登録するための追加のSQLが生成されます。ACCOUNTADMIN権限を持つSnowflake管理者は、このプロセスの前のステップでデータを保存するために選択したウェアハウスに対してこのSQLを実行する必要があります。
     
     
5. Domoで、スクリプトが正常に実行されたことを確認します。 DomoはSnowflakeの統合を初期化し、Snowflakeで必要なアセット（テーブルやスキーマなど）を作成して、このアカウントでCloud Amplifierを有効にします。
6. DomoがSnowflake環境に変更を加えることができることを理解していることを確認するボックスにチェックを入れて、書き込み統合を確定します。
   
7. ［適用］ を選択します。 Snowflakeのテーブルを選択する 画面が表示された場合は、接続が確立しています。
8. （オプション）モーダルに、Domoに追加するSnowflakeのデータベース、スキーマ、テーブルのナビゲーションが表示されます。追加するデータを見つけて選択し、［DataSetを作成］を選択します。
   

これでSnowflakeの書き込み設定が完了しました。 このページのトップへ

​

Snowflakeから供給されたDataSetを使用する

Snowflakeから供給されたDataSetをDataFlowで使用すると、フローの実行時にSnowflakeがそのデータをライブでクエリします。また、Snowflakeから供給されたDataSetは、テーブルの LAST_ALTERED の日時にもとづいて15分ごとに更新がチェックされます。最後にチェックした後にテーブルが更新された場合、このテーブルをトリガーとして使用するDataFlowが実行されます。 このページのトップへ

​

Snowflake接続のセキュリティ

Snowflake接続を保護するには、キーペア認証とユーザー名とパスワードによる基本認証の2つのオプションがあります。OAuthの設定を選択することもできます。 基本認証を使用して、Snowflake接続のURL、ユーザー名、パスワードを入力します。 キーペアの実装については、以下で説明します。

​

Snowflakeキーペア認証

Snowflakeは、セキュリティ強化のためにキーペア認証をサポートしています。 以下の手順に従って設定します。

1. Snowflakeの前提条件についての こちらの記事 のすべての手順を完了して、ここに戻ります。
2. ［Data Warehouse］ に移動します。
3. 左側のパネルで ［クラウド接続を管理］ を選択します。
   
4. モーダルで ［Snowflake］ を選択します。
   
5. 既存の統合にマウスポインターを合わせ、 ［オプション］ > ［アカウントを編集］ を選択するか、 新しい統合を作成します 。
6. 統合モーダルの ［Snowflakeアカウントを編集］ で ［キーペア］ のラジオボタンを選択します。モーダルには、キーペア認証に関するSnowflakeのドキュメントを確認するオプションが用意されています。
   
7. ［ファイルを選択］ を選択して、秘密鍵ファイルをアップロードします。
   
8. Snowflakeの秘密鍵パスフレーズを入力します。
9. モーダルの残りの部分を移動し、その他の変更を行ってから、統合を保存します。

このページのトップへ

​

OAuthの設定

SnowflakeのOAuthを有効にすることができます。これには、SnowflakeとCloud Amplifierの統合のすべてのユーザーがSnowflakeで認証を受け、許可されたSnowflakeデータのみにアクセスできるようにする必要があります。 SnowflakeのOAuthを設定するには、まずSnowflakeで設定を完了し、次にDomoで設定を完了する必要があります。その後、 Okta SSOと統合 することを選択できます。

​

SnowflakeのOAuthを設定する

Snowflake OAuthセキュリティ統合の設定から始めます。

1. ACCOUNTADMINのSnowflakeコンソール内で、以下のクエリを実行します。
   • 統合名[Domo_platform]は、任意の値に置き換えることができます。
   • Domoのインスタンスにもとづいて、リダイレクトURI（oauth_redirect_uri）が正しいことを確認します。 create or replace security integration [domo_platform] type = oauth enabled = true oauth_client = custom oauth_client_type = 'CONFIDENTIAL' oauth_redirect_uri = 'https: //oauth. domo. com/api/data/v1/oauth/providers/snowflake-oauth/exchange' oauth_issue_refresh_tokens = true oauth_refresh_token_validity = 86400; -- Update as appropriate, currently 1 day
2. 以下のように、統合名を使用して新しいセキュリティ統合の詳細が正しいことを確認します。
   コピー

   AIに質問

   desc security integration [domo_platform]
   
3. 以下のコマンドを実行して、新しいクライアントIDとシークレットを取得します。
   コピー

   AIに質問

   select system$show_oauth_client_secrets('domo_platform') -- for obtaining the client id and secret for use inside of Domo
   
4. Domo設定プロセスで使用するためにクライアントIDとシークレットをコピーします。

このページのトップへ

​

DomoのOAuthを設定する

1. 上記の 読み取り専用設定 の手順1～8を実行してから、ここに戻ります。
2. スイッチを切り替えてOAuthを有効にすると、以下のフィールドが表示されます。
   • ［Snowflakeのアカウント識別子］ — このフィールドが既に入力されている場合は、変更しないでください。
   • ［SnowflakeクライアントID］ — Snowflakeから取得したクライアントIDを貼り付けます。
   • ［Snowflakeクライアントシークレット］ — Snowflakeから取得したクライアントシークレットを貼り付けます。
     
3. 使用するSnowflakeの権限を選択し、［認証］ を選択します。
   
   Snowflakeのモーダルが表示されます。
   重要： 括弧内に入力された[Domo_platform]名がすべて大文字であることを確認してください。そうでないと、SnowflakeはクライアントIDをシークレットで取得するときにエラーを返します。
4. Snowflakeの認証情報を入力し、［サインイン］ を選択します。
   
5. アプリケーションの権限を確認し、［許可］ を選択します。
   
6. 行の追加や削除など、テーブルに対する変更がデータベースのメタデータで確認される頻度と、更新が必要になるまでのDomoのキャッシュの有効期間を選択します。Domoでキャッシュを無効にし、Snowflakeに対して各クエリをライブで実行する場合は、 ［キャッシュTTL］ フィールドの値を0に設定します。Snowflakeインスタンスを監視して、キャッシュTTLを無効にした場合の影響を理解することを推奨します。
   
7. ［次へ］ を選択し、モーダルの ［ウェアハウスを選択］ 画面に移動します。
8. 接続するウェアハウスを選択し、［次へ］ を選択して接続を終了します。

SnowflakeとCloud Amplifierの接続がData Warehouse内に表示されるようになります。 接続をOkta SSOと統合する場合は、以下の手順に従います。 このページのトップへ

​

Oktaを設定してSSOでアクセスする

以下のOkta SSOの手順に従う前に、 OAuthの設定 を完了する必要があります。

1. Oktaの管理者ダッシュボードに移動します。
   
2. 左側のナビゲーションで ［Applications］ > ［Applications］に移動します。
   
3. ［Browse App Catalog］ を選択します。
   
4. 検索バーを使用し、新しい Snowflake の統合を検索して選択します。
   
5. ［Application label］ フィールドで、新しい統合にラベルを付けます。 例： Snowflake <アカウント>
6. ［Subdomain］ フィールドでは、 以下の手順に従います。
   • SnowflakeアカウントのURLが新しいURLフォーマット（ https://<; 組織名 >-< アカウント名 >. snowflakecomputing.com ）である場合、サブドメインの値は< 組織名 >-< アカウント名 >です。
   • SnowflakeアカウントのURLが、組織名を含まず、クラウドリージョンを含む古いフォーマット（ https://<; アカウントロケーター >.< リージョン >. snowflakecomputing.com ）になっている場合、サブドメインはそのリージョンを含むSnowflakeアカウント名です。 *例：<アカウントロケーター>.<リージョン> *
7. ユーザーにアプリケーションアイコンを表示するかどうかを選択します。デフォルトでは表示されます。
8. ［Automatically log in when user lands on login page］ ボックスにチェックを入れて、 ［Next］ を選択します。
9. ［Sign-On Options］ セクションで、 ［SAML 2.0］ のラジオボタンを選択します。
   
10. 下にスクロールして ［View Setup Instructions］ を選択し、指示の別のページを開きます。
    
11. 新しいページに移動する前に、［Done］ を選択して設定を完了します。
    
12. 設定手順の新しいページに移動し、手順を完了します。

このページのトップへ

​

よくある質問