Planung für die Abschaffung der Anmeldung mit Ein-Faktor-Kennwort¶
Um die Sicherheit aller Kunden zu verbessern, führt Snowflake Änderungen ein, die eine mehrstufige Authentifizierung (MFA) für alle Benutzer mit Kennwörtern vorschreiben und Kennwörter für alle Service-Benutzer verbieten. Diese Änderungen werden über mehrere Freigaben von Verhaltensänderungen (BCRs) hinweg eingeführt. In diesem Thema wird beschrieben, wie die Anmeldung mit Ein-Faktor-Kennwort abgeschafft wird, damit Sie entsprechend planen können.
Bemerkung
Der in diesem Thema beschriebene Abschaffungsprozess gilt nicht für Lesekonten, Open Catalog-Konten und Testkonten. Sie können sich bei diesen Arten von Konten weiterhin mit einem Ein-Faktor-Kennwort anmelden.
Verstehen des Einführungsprozesses¶
Die Einführung der Abschaffung der Anmeldung mit Ein-Faktor-Kennwort ist in mehrere Meilensteine unterteilt.
Jeder Meilenstein wird mit Hilfe des von Snowflake etablierten Prozesses zur Freigabe von Verhaltensänderungen umgesetzt. In diesem Prozess veröffentlicht Snowflake jeden Monat ein Verhaltensänderungs-Bundle. Da die Änderungen in einem Verhaltensänderungs-Bundle enthalten sind, wird die Durchsetzung der neuen Einschränkungen mit dem Lebenszyklus des Bundles zusammenfallen.
Weitere Informationen über den Lebenszyklus von Verhaltensänderungs-Bundles, damit Sie die Durchsetzung der einzelnen Meilensteine planen können, finden Sie unter Richtlinie für Verhaltensänderungen.
Menschliche Benutzer vs. Service-Benutzer¶
Die Benutzerobjekte in Snowflake entsprechen nicht immer den menschlichen Benutzern. Es gibt Benutzer, die sich ohne menschliche Interaktion bei Snowflake anmelden — zum Beispiel eine Anwendung oder ein Dienst. Diese Benutzer werden als Service-Benutzer betrachtet.
Administratoren verwenden den Parameter TYPE
eines Benutzerobjekts, um festzulegen, ob ein Benutzer ein menschlicher Benutzer oder ein Service-Benutzer ist.
Für menschliche Benutzer:
TYPE=PERSON
. Wenn Sie den ParameterTYPE
nicht setzen oder ihn auf NULL setzen, wird der Benutzer wie ein menschlicher Benutzer behandelt.Für Service-Benutzer,
TYPE=SERVICE
.Bemerkung
Der Benutzertyp
LEGACY_SERVICE
hilft Kunden bei der Umstellung von Service-Benutzern auf eine sichere Form der Authentifizierung. Wenn Sie den Typ eines Benutzers vorübergehend aufLEGACY_SERVICE
setzen, kann sich der Benutzer mit einem Kennwort authentifizieren, obwohl es sich um eine Anwendung oder einen Dienst handelt. Der in diesem Thema beschriebene Rollout beinhaltet die schrittweise Abschaffung dieses Benutzertyps.
Die Unterscheidung zwischen einem menschlichen Benutzer und einem Service-Benutzer ist wichtig, da diese beiden Arten von Benutzern von der Einführung unterschiedlich betroffen sind. Um die Sicherheitslage für beide Arten von Benutzern zu verbessern, wird die Anmeldung mit Ein-Faktor-Kennwort wie folgt abgeschafft:
Alle menschlichen Benutzer, die die Authentifizierung mit Kennwörtern verwenden, müssen einen zweiten Authentifizierungsfaktor verwenden. Einen Zeitplan, der beschreibt, wie Snowflake dieses Ziel erreichen wird, finden Sie unter Meilensteine für menschliche Benutzer.
Alle Service-Benutzer, die derzeit die Authentifizierung mit Kennwörtern verwenden, müssen auf eine sicherere Authentifizierungsmethode umsteigen. Einen Zeitplan, der beschreibt, wie Snowflake dieses Ziel erreichen wird, finden Sie unter Meilensteine für Service-Benutzer.
Zeitplan für die Abschaffung¶
In der folgenden Tabelle finden Sie den Zeitplan für die Abschaffung der Anmeldung mit Ein-Faktor-Kennwort.
Geschätztes Datum |
Betroffene Benutzer |
Meilenstein |
---|---|---|
Jun. 2025 - Aug. 2025 |
Menschliche Benutzer |
|
Aug. 2025 - Okt. 2025 |
Menschliche Benutzer |
|
Nov. 2025 - Jan. 2026 |
Service-Benutzer |
|
Mär. 2026 - Mai 2026 |
Menschliche Benutzer |
|
Jun. 2026 - Aug. 2026 |
Service-Benutzer |
Meilensteine für menschliche Benutzer¶
Ziel: Alle menschlichen Benutzer, die sich mit Kennwörtern authentifizieren, müssen einen zweiten Authentifizierungsfaktor verwenden.
Der Rollout zur Erreichung dieses Ziels besteht aus den folgenden Meilensteinen. Jeder Meilenstein beginnt mit der Veröffentlichung eines Verhaltensänderungs-Bundles (d. h. die Testphase beginnt) und endet, wenn das Paket allgemein aktiviert wird. Die mit dem Meilenstein verbundenen Beschränkungen werden durchgesetzt, sobald das Bundle aktiviert ist.
- 2025_04 Bundle (Juni 2025 - August 2025) [1]: Obligatorische MFA für alle Snowsight-Benutzer (neue und bestehende)
Menschliche Benutzer müssen sich mit einem zweiten Faktor authentifizieren, wenn sie ein Kennwort für den Zugriff auf Snowsight verwenden, wobei es keine Ausnahmen gibt.
Beachten Sie Folgendes:
Dieser Meilenstein betrifft nur Snowsight. Menschliche Benutzer können weiterhin ein Ein-Faktor-Kennwort verwenden, um von Business Intelligence (BI) und ähnlichen Tools aus auf den Snowflake Service zuzugreifen, auch nachdem sie sich über Snowsight bei MFA angemeldet haben. Sie können sich dafür entscheiden, MFA für diese anderen Tools zu erzwingen; Benutzer, die bereits bei MFA angemeldet sind und MFA außerhalb von Snowsight verwenden, werden weiterhin MFA verwenden.
Authentifizierungsrichtlinien, die eine optionale MFA-Registrierung für Snowsight implementiert haben, werden außer Kraft gesetzt.
Da Benutzer, die sich mit Snowflake OAuth authentifizieren, die Anmeldeschnittstelle Snowsight verwenden, müssen sie bei MFA angemeldet sein.
Single Sign-On-Benutzer sind von dieser Änderung nicht betroffen und können weiterhin ohne Änderungen auf Snowsight zugreifen.
Benutzer von Legacy-Diensten (
TYPE=LEGACY_SERVICE
) sind von dieser Änderung nicht betroffen und können weiterhin mit einem Ein-Faktor-Kennwort auf Snowsight zugreifen.
- 2025_07 Bundle (August 2025 - Oktober 2025) [1]: Obligatorische MFA für alle neuen menschlichen Benutzer
Alle menschlichen Benutzer, die erstellt werden, nachdem das Verhaltensänderungs-Bundle aktiviert wurde, müssen sich mit einem zweiten Faktor authentifizieren, einschließlich derjenigen, die BI oder ähnliche Tools verwenden.
Menschliche Benutzer, die bereits vor der Aktivierung des Bundles existierten, sind nicht betroffen. Diese Benutzer von Kennwörtern können bis März 2026 weiterhin BI oder ähnliche Tools (alles außer Snowsight) ohne einen zweiten Authentifizierungsfaktor verwenden.
Nehmen wir zum Beispiel an, Ihr Administrator entscheidet sich am 10. September 2025 für das mit diesem Meilenstein verbundene Verhaltensänderungs-Bundle. Alle menschlichen Benutzer, die an oder nach diesem Datum erstellt werden, müssen unabhängig von der Oberfläche einen zweiten Authentifizierungsfaktor verwenden. Menschliche Benutzer, die vor diesem Datum existierten, können weiterhin die reine Kennwort-Authentifizierung für BI-Tools verwenden, nicht aber Snowsight.
- Bundle wird noch bekannt gegeben (März 2026 - Mai 2026) [1]: Obligatorische MFA für alle menschlichen Benutzer (keine Ausnahmen)
Wenn das mit diesem Meilenstein verknüpfte Verhaltensänderungs-Bundle aktiviert ist, müssen alle neuen und bestehenden Benutzer einen zweiten Faktor verwenden, wenn sie sich mit einem Kennwort authentifizieren, ohne Ausnahme.
Meilensteine für Service-Benutzer¶
Ziel: Alle Benutzer des Dienstes müssen eine sichere Form der Authentifizierung verwenden.
Der Rollout zur Erreichung dieses Ziels besteht aus den folgenden Meilensteinen. Jeder Meilenstein beginnt mit der Veröffentlichung eines Verhaltensänderungs-Bundles und endet, wenn das Bundle allgemein aktiviert wird. Die mit dem Meilenstein verbundenen Beschränkungen werden durchgesetzt, sobald das Bundle aktiviert ist.
Benutzer mit TYPE=SERVICE
können die Authentifizierung mit Kennwörtern nicht verwenden, es gibt keine Ausnahmen. Damit sich Dienste und Anwendungen vorübergehend mit einem Kennwort authentifizieren können, hat Snowflake den Benutzertyp LEGACY_SERVICE
bereitgestellt. Die Migration weg von der Anmeldung mit Ein-Faktor-Kennwort konzentriert sich auf die schrittweise Abschaffung dieses LEGACY_SERVICE
Benutzertyps, sodass alle nicht-menschlichen Benutzer vom Typ SERVICE
sein müssen.
- Bundle wird noch bekannt gegeben (November 2025 - Januar 2026) [2]: Keine neuen Benutzer von Legacy-Diensten
Alle nicht-menschlichen Benutzer, die nach der Aktivierung des Verhaltensänderungs-Bundles erstellt werden, müssen vom Typ
SERVICE
sein, was sie daran hindert, ein Kennwort zu verwenden. Der TypLEGACY_SERVICE
ist bei der Erstellung eines neuen Benutzerobjekts nicht mehr verfügbar. Darüber hinaus können Administratoren den Typ eines bestehenden Benutzers nicht inLEGACY_SERVICE
ändern.Nehmen wir zum Beispiel an, Ihr Administrator entscheidet sich am 10. Dezember 2025 für das mit diesem Meilenstein verbundene Verhaltensänderungs-Bundle. Nach diesem Datum ist
TYPE=LEGACY_SERVICE
eine ungültige Option, wenn ein CREATE USER- oder ALTER USER-Befehl ausgeführt wird.
- Bundle wird noch bekannt gegeben (Juni 2026 - August 2026) [2]: Keine Benutzer von Legacy-Diensten
Wenn das mit diesem Meilenstein verbundene Verhaltensänderungs-Bundle aktiviert ist, wird allen nicht-menschlichen Benutzern die Verwendung eines Kennworts zur Authentifizierung verwehrt.
Der Benutzertyp
LEGACY_SERVICE
wird vollständig aufgelassen. Alle bestehenden Benutzer-Objekte mitTYPE=LEGACY_SERVICE
werden aufTYPE=SERVICE
migriert. Dadurch können sie kein Kennwort mehr verwenden.
Alle Termine sind geschätzt und hängen von der Veröffentlichung und dem Lebenszyklus des Bundles ab. Um diesen Lebenszyklus zu verstehen, siehe Monatliche Verhaltensänderungs-Bundles.
Fordern Sie MFA früher als geplant an¶
In Anbetracht der verbesserten Sicherheit, die mit der Verhinderung der Anmeldung mit Ein-Faktor-Kennwort verbunden ist, könnten Sie sich dazu entschließen, dies vor den in diesem Thema angegebenen Fristen zu implementieren. In diesem Abschnitt wird beschrieben, wie Sie Einschränkungen durchsetzen können, ohne auf den Abschluss des Rollouts zu warten.
Bei der Einführung der obligatorischen MFA wird zwischen Snowsight und anderen Oberflächen sowie zwischen neuen und bestehenden Benutzern unterschieden. Sie können eine benutzerdefinierte Authentifizierungsrichtlinie verwenden, um MFA sofort für alle menschlichen Benutzer über alle Client-Typen hinweg durchzusetzen, ohne auf den Abschluss des Einführungsprozesses zu warten.
Sie müssen alle Parameter der neuen Authentifizierungsrichtlinie sorgfältig definieren, aber sie sollte mindestens die folgenden Parameter enthalten, um das Ziel zu erreichen, Anmeldung mit Ein-Faktor-Kennwort zu verhindern:
CREATE AUTHENTICATION POLICY require_mfa_policy
MFA_AUTHENTICATION_METHODS = ('PASSWORD')
MFA_ENROLLMENT = REQUIRED;
Weitere Informationen zu diesen Parametern finden Sie unter CREATE AUTHENTICATION POLICY.
Um die Authentifizierungsrichtlinie für das Konto so festzulegen, dass sie die Authentifizierung aller menschlichen Benutzer regelt, führen Sie die folgenden Anweisungen aus:
USE ROLE ACCOUNTADMIN; ALTER ACCOUNT SET AUTHENTICATION POLICY require_mfa_policy;
Anmelden bei der mehrstufigen Authentifizierung¶
Informationen darüber, wie sich Benutzer freiwillig bei MFA anmelden, finden Sie unter Bei mehrstufiger Authentifizierung (MFA) anmelden.