Cette page a été traduite par l'API Cloud Translation.

Snowflake

Pour connecter Looker à Snowflake, procédez comme suit :

Créez un utilisateur Looker sur Snowflake et provisionnez l'accès.
Configurez une connexion de base de données dans Looker.

Chiffrement du trafic réseau

Il est recommandé de chiffrer le trafic réseau entre l'application Looker et votre base de données. Pour ce faire, consultez les options détaillées sur la page de documentation Sécurisation de l'accès à la base de données.

Créer un utilisateur Looker sur Snowflake

Nous vous recommandons d'utiliser les commandes suivantes pour créer l'utilisateur Looker. Veillez à exécuter chaque ligne individuellement ou sélectionnez l'option Toutes les requêtes dans le panneau de connexion Snowflake pour vous assurer que toutes les lignes sont exécutées (par défaut, Snowflake n'exécute que les lignes sélectionnées) :

Console Snowflake avec la case "Toutes les requêtes" cochée.

Nous vous recommandons d'ajouter le mot clé ON FUTURE à chaque instruction GRANT afin que les objets nouvellement créés disposent des mêmes autorisations sans qu'aucune autre action ne soit requise.

-- change role to ACCOUNTADMIN
use role ACCOUNTADMIN;

-- create role for looker
create role if not exists looker_role;
grant role looker_role to role SYSADMIN;
    -- Note that we are not making the looker_role a SYSADMIN,
    -- but rather granting users with the SYSADMIN role to modify the looker_role

-- create a user for looker
create user if not exists looker_user
password = <enter password here>;
grant role looker_role to user looker_user;
alter user looker_user
set default_role = looker_role
default_warehouse = looker_wh;

-- change role
use role SYSADMIN;

-- create a warehouse for looker (optional)
create warehouse if not exists looker_wh

-- set the size based on your dataset
warehouse_size = medium
warehouse_type = standard
auto_suspend = 1800
auto_resume = true
initially_suspended = true;
grant all privileges
on warehouse looker_wh
to role looker_role;

-- grant read only database access (repeat for all database/schemas)
grant usage on database <database> to role looker_role;
grant usage on schema <database>.<schema> to role looker_role;

-- rerun the following any time a table is added to the schema
grant select on all tables in schema <database>.<schema> to role looker_role;
-- or
grant select on future tables in schema <database>.<schema> to role looker_role;

-- create schema for looker to write back to
use database <database>;
create schema if not exists looker_scratch;
use role ACCOUNTADMIN;
grant ownership on schema looker_scratch to role SYSADMIN revoke current grants;
grant all on schema looker_scratch to role looker_role;

Créer la connexion Looker à votre base de données

Dans la section Admin de Looker, sélectionnez Connexions, puis cliquez sur Ajouter une connexion.

Saisissez les informations de connexion. La majorité des paramètres sont communs à la plupart des dialectes de base de données. Pour en savoir plus, consultez la page de documentation Connecter Looker à votre base de données. Les descriptions de paramètres suivantes contiennent des notes spécifiques à Snowflake :

Paramètres de base de données > Hôte : saisissez le nom d'hôte Snowflake. Elle se présente comme suit : <account_name>.snowflakecomputing.com. Consultez les exemples de noms de compte Snowflake par région pour vous assurer d'utiliser la bonne valeur pour votre déploiement.

Paramètres de la base de données > Méthode d'authentification : sélectionnez l'une des méthodes d'authentification suivantes :

Le compte de base de données ne doit être utilisé que par les clients existants qui ont besoin de temps pour passer à une méthode d'authentification multifacteur avant la date limite de Snowflake en novembre 2025. Spécifiez le nom d'utilisateur et le mot de passe du compte utilisateur Snowflake qui sera utilisé pour se connecter à Looker.
Les clients qui souhaitent implémenter l'authentification par paire de clés de Snowflake pour se connecter à leur base de données doivent utiliser Paire de clés. Dans le champ Nom d'utilisateur, spécifiez le compte utilisateur qui sera utilisé pour se connecter à Snowflake. Importez un fichier de clé au format p8 non chiffré dans le champ Fichier de paire de clés. Les fichiers de clé chiffrés ne sont pas acceptés. La documentation de Snowflake explique comment créer un fichier de clé privée.
Les clients qui n'ont pas besoin de tables dérivées persistantes (PDT) et qui souhaitent configurer OAuth pour la connexion doivent utiliser OAuth.

Paramètres facultatifs : activer les PDT : les PDT ne sont pas compatibles avec les connexions Snowflake qui utilisent l'authentification OAuth. Si des PDT sont nécessaires, utilisez plutôt l'option d'authentification Paire de clés.

Paramètres facultatifs : paramètres JDBC supplémentaires : ajoutez des paramètres JDBC supplémentaires à partir du pilote JDBC Snowflake.

Ajoutez warehouse=<YOUR WAREHOUSE NAME>.
De plus, par défaut, Looker définit les paramètres Snowflake suivants pour chaque session :
- TIMESTAMP_TYPE_MAPPING=TIMESTAMP_LTZ
- JDBC_TREAT_DECIMAL_AS_INT=FALSE
- TIMESTAMP_INPUT_FORMAT=AUTO
- AUTOCOMMIT=TRUE
  
  Vous pouvez remplacer chacun de ces paramètres en définissant une autre valeur dans le champ Paramètres JDBC supplémentaires, par exemple : &AUTOCOMMIT=FALSE.

Pour vérifier que la connexion a réussi, cliquez sur Tester. Pour obtenir des informations sur le dépannage, consultez la page de documentation Tester la connectivité à la base de données.

Pour enregistrer ces paramètres, cliquez sur Connecter.

Désigner des entrepôts Snowflake par groupe ou par utilisateur

Vous pouvez utiliser les attributs utilisateur Looker pour attribuer des entrepôts Snowflake distincts à des utilisateurs ou des groupes Looker individuels. Cela peut être utile, par exemple, si certains de vos utilisateurs ont besoin de plus de puissance de calcul que d'autres. Vous pouvez attribuer un entrepôt avec des ressources de calcul plus importantes uniquement aux utilisateurs qui en ont besoin, tout en attribuant un entrepôt avec des ressources moindres aux utilisateurs ayant des besoins moins importants.

Pour désigner des entrepôts par groupe ou par utilisateur, procédez comme suit :

Ajoutez les groupes ou les utilisateurs dans Looker.
Définissez un attribut utilisateur dans Looker où les noms des entrepôts Snowflake seront stockés. Vous pouvez donner à cet attribut le nom de votre choix, par exemple snowflake_wh.
Dans l'attribut utilisateur que vous venez de définir, attribuez les valeurs de nom d'entrepôt aux groupes ou utilisateurs qui auront besoin d'un accès différent aux entrepôts.
Dans le champ Paramètres JDBC supplémentaires de la page Paramètres de connexion, ajoutez les éléments suivants en remplaçant snowflake_warehouse par le nom de l'attribut utilisateur que vous avez défini :
```
  warehouse={{ _user_attributes['snowflake_warehouse'] }}
```
Pour tester les paramètres de connexion individuels, vous pouvez utiliser sudo en tant qu'utilisateur auquel vous avez attribué une valeur de nom d'entrepôt.

Gérer la fonctionnalité de suspension automatique de Snowflake

Les entrepôts Snowflake sont dotés d'une fonctionnalité de suspension automatique activée par défaut. Après une période spécifiée, l'entrepôt sera automatiquement suspendu. Si l'entrepôt est suspendu, toutes les requêtes génèrent une erreur. Cette erreur n'est pas visible dans les tableaux de bord (normalement, ces erreurs n'entraînent l'affichage d'aucune donnée), mais elle l'est pour tout utilisateur qui interroge la page "Explorer".

Deux méthodes sont généralement utilisées pour gérer cela :

Snowflake dispose d'une fonctionnalité de reprise automatique qui relance l'entrepôt lorsqu'il est interrogé. Toutefois, la reprise de l'entrepôt peut prendre jusqu'à cinq minutes, ce qui entraîne l'arrêt de la réponse aux requêtes pendant cinq minutes avant leur renvoi. La reprise automatique ne peut pas être configurée dans Looker. Activez ces fonctionnalités dans l'onglet Entrepôts de données de l'interface utilisateur Snowflake :
Si les tables dérivées persistantes (PDT) ont été activées, le paramètre par défaut de Looker consiste à vérifier la régénération des tables dérivées toutes les cinq minutes. Cette vérification permet de maintenir les entrepôts Snowflake actifs. Toutefois, vous pouvez demander à Snowflake de suspendre les entrepôts en dehors des heures de travail afin de réduire les coûts. Pour ce faire, modifiez le calendrier de régénération des PDT, comme décrit dans la documentation sur le calendrier de maintenance.

Compatibilité avec les PDT

Les PDT ne sont pas compatibles avec les connexions Snowflake utilisant OAuth.

Pour la prise en charge des tables dérivées persistantes, créez un compte utilisateur Snowflake pour les PDT, qui dispose d'un accès en écriture à votre base de données et au schéma temporaire que Looker utilisera pour créer les PDT. Sur la page Paramètres de connexion de Looker, dans l'onglet Paramètres facultatifs, sous la section Paramètres des tables dérivées persistantes (PDT), activez l'option Activer les PDT. Ensuite, dans le champ Base de données temporaire, saisissez le nom du schéma temporaire que Looker utilisera pour créer des PDT.

Notez que les remplacements de PDT ne sont pas disponibles pour les connexions Snowflake qui utilisent l'authentification par paire de clés.

Pour les connexions Snowflake, Looker définit la valeur du paramètre AUTOCOMMIT de Snowflake sur TRUE, qui est la valeur par défaut de Snowflake. AUTOCOMMIT est nécessaire pour les commandes SQL exécutées par Looker afin de gérer son système d'enregistrement des PDT.

Configurer OAuth pour les connexions Snowflake

Looker prend en charge OAuth pour les connexions Snowflake. Ainsi, chaque utilisateur Looker peut s'authentifier dans la base de données avec son propre compte utilisateur OAuth.

OAuth permet aux administrateurs de bases de données d'effectuer les tâches suivantes :

faire un audit des utilisateurs Looker qui exécutent des requêtes par rapport à la base de données ;
mettre en place des contrôles d'accès basés sur les rôles en utilisant les autorisations au niveau de la base de données ;
utiliser des jetons OAuth pour tous les processus et actions qui accèdent à la base de données, au lieu d'intégrer des identifiants et des mots de passe de base de données à plusieurs endroits.
Révoquer l'autorisation d'un utilisateur donné directement dans la base de données

Avec les connexions Snowflake qui utilisent OAuth, les utilisateurs doivent se reconnecter régulièrement lorsque leurs jetons OAuth expirent. L'âge maximal des jetons OAuth Snowflake est défini dans Snowflake lui-même.

Notez les points suivants concernant les connexions OAuth au niveau de la base de données :

Les tables dérivées persistantes (PDT) ne sont pas compatibles avec les connexions Snowflake utilisant OAuth.
Si un utilisateur laisse son jeton OAuth expirer, toutes les planifications ou alertes Looker qu'il possède seront affectées. Pour éviter cela, Looker enverra un e-mail de notification au propriétaire de chaque programmation et de chaque alerte 14 jours, 7 jours et 1 jour avant l'expiration du jeton. L'utilisateur peut accéder à sa page utilisateur Looker pour réautoriser Looker à accéder à la base de données et éviter toute interruption de ses planifications et alertes. Pour en savoir plus, consultez la page de documentation Personnaliser les paramètres du compte utilisateur.
Étant donné que les connexions à la base de données qui utilisent OAuth fonctionnent "par utilisateur", les règles de mise en cache fonctionnent de la même manière, et pas seulement par requête. Cela signifie que Looker n'utilisera les résultats mis en cache que si le même utilisateur a exécuté la même requête au cours de la période de mise en cache. Pour en savoir plus sur la mise en cache, consultez la page de documentation Mise en cache des requêtes.
Lorsque vous utilisez OAuth, vous ne pouvez pas passer à d'autres rôles dans le compte utilisateur Snowflake. Comme décrit dans la documentation Snowflake, Snowflake utilise le rôle par défaut du compte utilisateur Snowflake, sauf si le rôle par défaut est ACCOUNTADMIN ou SECURITYADMIN. Étant donné que ces rôles sont bloqués pour OAuth, Snowflake utilisera à la place le rôle PUBLIC. Pour en savoir plus, consultez la documentation Snowflake.
Lorsqu'un administrateur Looker exécute une commande Sudo en tant qu'utilisateur, il utilise le jeton d'accès OAuth de cet utilisateur. Si le jeton d'accès de l'utilisateur a expiré, l'administrateur ne peut pas créer de nouveau jeton pour le compte de l'utilisateur faisant l'objet de la commande Sudo. Consultez la page de documentation Utilisateurs pour en savoir plus sur l'utilisation de la commande sudo.

Configurer une base de données Snowflake pour OAuth avec Looker

Pour créer une connexion Snowflake à Looker à l'aide d'OAuth, vous devez configurer l'intégration OAuth dans Snowflake. Cela nécessite un compte utilisateur Snowflake disposant de l'autorisation ACCOUNTADMIN.

Exécutez la commande suivante dans Snowflake, où <looker_hostname> est le nom d'hôte de votre instance Looker :

CREATE SECURITY INTEGRATION LOOKER
  TYPE = OAUTH
  ENABLED = TRUE
  OAUTH_CLIENT = LOOKER
  OAUTH_REDIRECT_URI = 'https://<looker_hostname>/external_oauth/redirect';

Obtenez l'ID client et le code secret OAuth en exécutant la commande suivante :
```
SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('LOOKER');
```
La réponse inclura un OAUTH_CLIENT_ID et un OAUTH_CLIENT_SECRET dont vous aurez besoin plus tard dans cette procédure.
Dans Looker, créez une connexion à votre entrepôt de données Snowflake, comme décrit dans la section Créer la connexion Looker à votre base de données de cette page. Lorsque vous créez la connexion, sélectionnez l'option OAuth dans le champ Authentification. Lorsque vous sélectionnez l'option OAuth, Looker affiche les champs ID client OAuth et Secret client OAuth.
Collez les valeurs OAUTH_CLIENT_ID et OAUTH_CLIENT_SECRET que vous avez obtenues de votre base de données plus tôt dans cette procédure.
Poursuivez le reste de la procédure pour la connexion de Looker à votre base de données.

Tester la connexion OAuth

Une fois la connexion Looker à votre base de données configurée, vous pouvez tester la connexion elle-même en procédant de l'une des manières suivantes :

Sélectionnez le bouton Tester en bas de la page Paramètres de connexion, comme décrit sur la page de documentation Connecter Looker à votre base de données.
Sélectionnez le bouton Tester à côté de la connexion sur la page d'administration Connexions, comme décrit sur la page de documentation Connexions.

Vous pouvez également tester la connexion et la déployer sur un modèle en procédant comme suit :

Dans Looker, passez en mode Développement.
Accédez aux fichiers du projet pour un projet Looker qui utilise votre connexion Snowflake.
Ouvrez un fichier de modèle et remplacez la valeur connection du modèle par le nom de la nouvelle connexion Snowflake, puis enregistrez le fichier de modèle.
Ouvrez l'un des tableaux de bord ou l'une des explorations du modèle, puis exécutez une requête. Lorsque vous essayez d'exécuter une requête, Looker vous invite à vous connecter à Snowflake.
Suivez les instructions de connexion à Snowflake et saisissez vos identifiants Snowflake.

Une fois que vous vous êtes connecté à Snowflake, Looker vous redirige vers votre requête. Si votre requête s'exécute correctement, vous pouvez valider la nouvelle valeur de connexion et déployer vos modifications en production.

Une fois la connexion Snowflake configurée pour OAuth, les utilisateurs sont invités à se connecter à Snowflake avant d'exécuter des requêtes. Cela inclut les requêtes provenant des explorations, des tableaux de bord, des Looks et de SQL Runner.

Interface utilisateur de Looker affichant l'invite de connexion OAuth.

Les utilisateurs peuvent également se connecter à Snowflake depuis la section Identifiants de connexion OAuth de la page Compte.

Pour vous connecter à votre compte Snowflake à l'aide de Looker :

Page "Compte" dans Looker, avec la section "Identifiants de connexion OAuth".

Cliquez sur le menu utilisateur Looker.
Sélectionnez Compte.
Sur la page Compte, accédez à la section Identifiants de connexion OAuth, puis sélectionnez le bouton Se connecter pour la base de données Snowflake appropriée.

Si vous sélectionnez Log In (Se connecter), une boîte de dialogue de connexion Snowflake s'affiche. Saisissez vos identifiants Snowflake, puis sélectionnez Se connecter. Ensuite, sélectionnez Autoriser pour accorder à Looker l'accès à votre compte Snowflake.

Une fois que vous vous êtes connecté à Snowflake via Looker, vous pouvez vous déconnecter ou réautoriser vos identifiants à tout moment sur la page Compte, comme décrit sur la page de documentation Personnaliser votre compte utilisateur.

Compatibilité avec les fonctionnalités

Pour que Looker prenne en charge certaines fonctionnalités, votre dialecte de base de données doit également les prendre en charge.

Depuis Looker 25.10, Snowflake est compatible avec les fonctionnalités suivantes :

Fonctionnalité	Compatibilité
Niveau d'assistance	Compatible
Looker (Google Cloud Core)	Oui
Agrégations symétriques	Oui
Tables dérivées	Oui
Tables dérivées persistantes basées sur SQL	Oui
Tables dérivées natives persistantes	Oui
Vues stables	Oui
Arrêt des requêtes	Oui
Tableaux croisés dynamiques basés sur SQL	Oui
Fuseaux horaires	Oui
SSL	Oui
Sous-totaux	Oui
Paramètres JDBC supplémentaires	Oui
Sensibilité à la casse	Oui
Type de lieu	Oui
Type de liste	Oui
Centile	Oui
Centile distinct	Non
Afficher les processus SQL Runner	Non
Décrire la table dans SQL Runner	Oui
Afficher les index dans SQL Runner	Non
SQL Runner Select 10	Oui
Nombre d'exécutions SQL Runner	Oui
Explication SQL	Oui
Identifiants OAuth 2.0	Oui
Commentaires contextuels	Oui
Regroupement de connexions	Oui
Résumés HLL	Oui
Reconnaissance d'agrégats	Oui
Augmentation de tables PDT	Oui
Millisecondes	Oui
Microsecondes	Oui
Vues matérialisées	Non
Mesures de variation par période	Oui
Nombre approximatif d'éléments distincts	Non

Étapes suivantes

Après avoir connecté votre base de données à Looker, configurez des options de connexion pour vos utilisateurs.