Snowflake cloud data platform 是否可以在没有用户帐户或默认角色的情况下使用SSO登录到Snowflake？

我正在努力改进我们组织登录雪花网站时的用户体验。我们启用了adfs sso，并正在使用azure ad设置用户到角色的映射。我有一位同事尝试使用sso登录，但他没有在snowflake中创建用户帐户，他们收到了

“未将登录用户分配给应用程序的角色（雪花）”

我的问题是，是否可以让用户登录到snowflake而不映射到默认角色，或者只分配公共角色，并且不与azure ad同步

---

如果是的话，我会很感激任何我可以参考的文档。我们的目标是让所有可以进行SSO的用户在默认情况下都能够登录Microsoft中每40分钟进行一次广告组同步，我认为不可能强制同步或更改此时间范围。此外，像上面提到的OP一样，Snowflake无法连接到on-prem ADFS服务器，因此所有用户都必须在Azure AD中

广告组同步在某种程度上可以通过“范围”进行配置（参见的步骤15）

如果范围设置为“仅同步已分配的用户和组”，则可以

将范围更改为“同步所有用户和组”（如果不想将所有这些数据导入Snowflake，可能会导致问题）

或

确认所需用户的广告组是指定要同步到Snowflake的广告组之一（需要手动分配这些用户，或者所有这些用户都是您选择同步到Snowflake的同一广告组的一部分）

---

如果看到错误，则表示不允许没有适当角色的用户访问应用程序

---

在这些示例中，我们为什么不能创建泛型存储过程来根据新用户所属的组将默认角色和实例分配给新用户呢。！每次如果我们添加任何新用户，那么在他登录到snowflake之前，我们必须运行存储过程来分配默认角色和对象。

这是一个好问题。我做了一些研究，这可能有助于帮助您尝试做什么：本教程没有指定您需要角色：您是否为public设置了默认角色？在第一个链接中有一个注释，用于向测试用户添加角色-是否必须使用SAML在Azure AD中设置默认角色？感谢您的回复。更新上述问题——目前，snowflake不支持将SCIM集成到on-prem ADFS服务器，因此目前不可能实现。