ALTER SECURITY INTEGRATION (Snowflake OAuth)

Ändert die Eigenschaften einer bestehenden Sicherheitsintegration, die für einen Snowflake OAuth-Client erstellt wurde. Weitere Informationen zum Ändern anderer Typen von Sicherheitsintegrationen (z. B. External OAuth) finden Sie unter ALTER SECURITY INTEGRATION.

Siehe auch:

CREATE SECURITY INTEGRATION (Snowflake OAuth), DROP INTEGRATION, SHOW INTEGRATIONS, DESCRIBE INTEGRATION

Syntax

ALTER [ SECURITY ] INTEGRATION <name> SET TAG <tag_name> = '<tag_value>' [ , <tag_name> = '<tag_value>' ... ]

ALTER [ SECURITY ] INTEGRATION <name> UNSET TAG <tag_name> [ , <tag_name> ... ]
Copy

Snowflake OAuth für Partneranwendungen

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name> SET
  [ ENABLED = { TRUE | FALSE } ]
  [ OAUTH_ISSUE_REFRESH_TOKENS = TRUE | FALSE ]
  [ OAUTH_REDIRECT_URI ] = '<uri>'
  [ OAUTH_REFRESH_TOKEN_VALIDITY = <integer> ]
  [ OAUTH_USE_SECONDARY_ROLES = IMPLICIT | NONE ]
  [ BLOCKED_ROLES_LIST = ( '<role_name>' [ , '<role_name>' , ... ] ) ]
  [ COMMENT = '<string_literal>' ]

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name> UNSET {
  ENABLED |
  COMMENT
  }
  [ , ... ]
Copy

Snowflake OAuth für benutzerdefinierte Clients

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name> SET
  [ ENABLED = { TRUE | FALSE } ]
  [ OAUTH_REDIRECT_URI = '<uri>' ]
  [ OAUTH_ALLOW_NON_TLS_REDIRECT_URI = TRUE | FALSE ]
  [ OAUTH_ENFORCE_PKCE = TRUE | FALSE ]
  [ PRE_AUTHORIZED_ROLES_LIST = ( '<role_name>' [ , '<role_name>' , ... ] ) ]
  [ BLOCKED_ROLES_LIST = ( '<role_name>' [ , '<role_name>' , ... ] ) ]
  [ OAUTH_ISSUE_REFRESH_TOKENS = TRUE | FALSE ]
  [ OAUTH_REFRESH_TOKEN_VALIDITY = <integer> ]
  [ OAUTH_USE_SECONDARY_ROLES = IMPLICIT | NONE ]
  [ NETWORK_POLICY = '<network_policy>' ]
  [ OAUTH_CLIENT_RSA_PUBLIC_KEY = <public_key1> ]
  [ OAUTH_CLIENT_RSA_PUBLIC_KEY_2 = <public_key2> ]
  [ COMMENT = '{string_literal}' ]

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name>  UNSET {
                                                           ENABLED                       |
                                                           NETWORK_POLICY                |
                                                           OAUTH_CLIENT_RSA_PUBLIC_KEY   |
                                                           OAUTH_CLIENT_RSA_PUBLIC_KEY_2 |
                                                           OAUTH_USE_SECONDARY_ROLES = IMPLICIT | NONE
                                                           COMMENT
                                                           }
                                                           [ , ... ]
Copy

Parameter

Snowflake OAuth – Partneranwendungsparameter

Verwenden Sie diese Parameter, wenn in der Sicherheitsintegration OAUTH_CLIENT = <partner_application> gilt. Diese Parameter sind zum Beispiel für OAUTH_CLIENT = TABLEAU_SERVER gültig.

name

Bezeichner für die zu ändernde Integration. Wenn der Bezeichner Leerzeichen oder Sonderzeichen enthält, muss die gesamte Zeichenfolge in doppelte Anführungszeichen gesetzt werden. Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß- und Kleinschreibung zu beachten.

SET ...

Gibt eine oder mehrere Eigenschaften/Parameter an, die für die Integration festgelegt werden sollen (getrennt durch Leerzeichen, Kommas oder neue Zeilen):

ENABLED = TRUE | FALSE

Gibt an, ob die Integrationsoperation gestartet oder angehalten werden soll.

  • TRUE ermöglicht die Ausführung der Integration basierend auf den in der Pipedefinition angegebenen Parametern.

  • FALSE hält die Integration für Wartungszwecke an. Eine Integration zwischen Snowflake und einem Drittanbieterdienst funktioniert nicht.

OAUTH_REDIRECT_URI = 'uri'

Gibt den Client-URI an. Nachdem ein Benutzer authentifiziert wurde, wird der Webbrowser zu dieser URI umgeleitet.

Dieser Parameter ist erforderlich, wenn OAUTH_CLIENT = LOOKER. Weitere Informationen zu dem Beispiel finden Sie in der Looker-Dokumentation.

OAUTH_ISSUE_REFRESH_TOKENS = TRUE | FALSE

Boolescher Wert, der angibt, ob der Client ein Aktualisierungstoken gegen ein Zugriffstoken austauschen darf, wenn das aktuelle Zugriffstoken abgelaufen ist. Wenn auf FALSE gesetzt, wird kein Aktualisierungstoken ausgestellt. Die Benutzerzustimmung wird widerrufen, und der Benutzer muss die Autorisierung erneut bestätigen.

Standard: TRUE

OAUTH_REFRESH_TOKEN_VALIDITY = integer

Ganzzahl, die angibt, wie lange Aktualisierungstoken gültig sein sollen (in Sekunden). Diese Einstellung kann verwendet werden, um das Aktualisierungstoken regelmäßig ablaufen zu lassen.

Beachten Sie, dass Sie Ihren Kontoadministrator bitten müssen, eine entsprechende Anforderung an den Snowflake-Support zu senden, wenn das Unternehmen einen niedrigeren oder höheren Mindest- bzw. Höchstwert wünscht.

Werte:

86400 (1 Tag) bis 7776000 (90 Tage)

Standard:

7776000

OAUTH_USE_SECONDARY_ROLES = IMPLICIT | NONE

IMPLICIT

Die in den Benutzereigenschaften festgelegten Standard-Sekundärrollen sind in der geöffneten Sitzung standardmäßig aktiviert.

NONE

Standard-Sekundärrollen werden in der geöffneten Sitzung nicht unterstützt.

Standard: NONE

BLOCKED_ROLES_LIST = ( 'role_name' [ , 'role_name' , ... ] )

Durch Kommas getrennte Liste von Snowflake-Rollen, deren Verwendung ein Benutzer nach der Authentifizierung nicht ausdrücklich zustimmen kann, z. B. 'custom_role1', 'custom_role2'.

Standardmäßig verhindert Snowflake, dass sich die Rollen ACCOUNTADMIN, ORGADMIN und SECURITYADMIN authentifizieren können. Um diesen berechtigten Rollen die Authentifizierung zu ermöglichen, setzen Sie mit dem Befehl ALTER ACCOUNT den Kontoparameter OAUTH_ADD_PRIVILEGED_ROLES_TO_BLOCKED_LIST auf FALSE.

TAG tag_name = 'tag_value' [ , tag_name = 'tag_value' , ... ]

Gibt den Namen des Tags und den Wert der Tag-Zeichenfolge an.

Der Tag-Wert ist immer eine Zeichenfolge, die maximale 256 Zeichen lang sein kann.

Weitere Informationen zur Angabe von Tags in einer Anweisung finden Sie unter Tag-Kontingente für Objekte und Spalten.

COMMENT = 'string_literal'

Zeichenfolge (Literal), die einen Kommentar zur Integration enthält.

Snowflake OAuth – Kundenspezifische Clientparameter

Verwenden Sie diese Parameter, wenn in der Sicherheitsintegration OAUTH_CLIENT = CUSTOM gilt.

name

Bezeichner für die zu ändernde Integration. Wenn der Bezeichner Leerzeichen oder Sonderzeichen enthält, muss die gesamte Zeichenfolge in doppelte Anführungszeichen gesetzt werden. Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß- und Kleinschreibung zu beachten.

SET ...

Gibt eine oder mehrere Eigenschaften/Parameter an, die für die Integration festgelegt werden sollen (getrennt durch Leerzeichen, Kommas oder neue Zeilen):

ENABLED = TRUE | FALSE gibt an, ob die Integrationsoperation gestartet oder angehalten werden soll.

  • TRUE ermöglicht die Ausführung der Integration basierend auf den in der Pipedefinition angegebenen Parametern.

  • FALSE hält die Integration für Wartungszwecke an. Eine Integration zwischen Snowflake und einem Drittanbieterdienst funktioniert nicht.

OAUTH_REDIRECT_URI = 'uri'

Gibt die Client-URI an. Nachdem ein Benutzer authentifiziert wurde, wird der Webbrowser zu dieser URI umgeleitet. Die URI muss durch TLS (Transport Layer Security) geschützt werden, falls der optionale Parameter OAUTH_ALLOW_NON_TLS_REDIRECT_URI nicht auf TRUE gesetzt ist.

Die mit der Umleitungs-URI gesendeten Abfrageparameter dürfen nicht in die Anforderung an den Autorisierungsendpunkt aufgenommen werden. Wenn z. B. der Wert des Abfrageparameters redirect_uri in der Anforderung an den Autorisierungsendpunkt https://www.example.com/connect?authType=snowflake ist, müssen Sie sicherstellen, dass der Parameter OAUTH_REDIRECT_URI auf https://www.example.com/connect gesetzt ist.

OAUTH_ALLOW_NON_TLS_REDIRECT_URI = TRUE | FALSE

Wenn TRUE, kann OAUTH_REDIRECT_URI auf einen URI gesetzt werden, der nicht durch TLS geschützt ist. Wir empfehlen dringend die Verwendung von TLS, um Man-in-the-Middle-OAuth-Umleitungen bei Phishing-Angriffen zu verhindern.

Standard: FALSE

OAUTH_ENFORCE_PKCE = TRUE | FALSE

Boolescher Wert, der angibt, ob für die Integration Proof Key for Code Exchange (PKCE) erforderlich sein soll.

Standard: FALSE

OAUTH_USE_SECONDARY_ROLES = IMPLICIT | NONE

IMPLICIT

Die in den Benutzereigenschaften festgelegten Standard-Sekundärrollen sind in der geöffneten Sitzung standardmäßig aktiviert.

NONE

Standard-Sekundärrollen werden in der geöffneten Sitzung nicht unterstützt.

Standard: NONE

PRE_AUTHORIZED_ROLES_LIST = '( role_name' [ , 'role_name , ... ] ')

Durch Kommas getrennte Liste von Snowflake-Rollen, denen ein Benutzer nach der Authentifizierung nicht ausdrücklich zustimmen muss, z. B. 'custom_role1', 'custom_role2'. Beachten Sie, dass die Rollen ACCOUNTADMIN, ORGADMIN und SECURITYADMIN nicht in die Liste aufgenommen werden können.

Bemerkung

Dieser Parameter wird nur bei vertraulichen Clients unterstützt.

BLOCKED_ROLES_LIST = ( 'role_name' [ , 'role_name' , ... ] )

Durch Kommas getrennte Liste von Snowflake-Rollen, deren Verwendung ein Benutzer nach der Authentifizierung nicht ausdrücklich zustimmen kann, z. B. 'custom_role1', 'custom_role2'.

Beachten Sie, dass die Rollen ACCOUNTADMIN, ORGADMIN und SECURITYADMIN standardmäßig in der Liste enthalten sind. Wenn diese Rollen jedoch aus Ihrem Konto entfernt werden sollen, müssen Sie den Kontoadministrator bitten, eine entsprechende Anforderung an den Snowflake-Support zu senden.

OAUTH_ISSUE_REFRESH_TOKENS = TRUE | FALSE

Boolescher Wert, der angibt, ob der Client ein Aktualisierungstoken gegen ein Zugriffstoken austauschen darf, wenn das aktuelle Zugriffstoken abgelaufen ist. Wenn auf FALSE gesetzt, wird kein Aktualisierungstoken ausgestellt. Die Benutzerzustimmung wird widerrufen, und der Benutzer muss die Autorisierung erneut bestätigen.

Standard: TRUE

OAUTH_REFRESH_TOKEN_VALIDITY = integer

Ganzzahl, die angibt, wie lange Aktualisierungstoken gültig sein sollen (in Sekunden). Diese Einstellung kann verwendet werden, um das Aktualisierungstoken regelmäßig ablaufen zu lassen.

Wenn ein Aktualisierungstoken abläuft, muss die Anwendung den Benutzer erneut durch den Autorisierungsablauf leiten, damit ein neues Aktualisierungstoken abgerufen wird.

Die unterstützten Minimal-, Maximal- und Standardwerte lauten wie folgt:

Anwendung

Minimum

Maximum

Standard

Tableau Desktop

60 (1 Minute)

36000 (10 Stunden)

36000 (10 Stunden)

Tableau Server oder Tableau Online

60 (1 Minute)

7776000 (90 Tage)

7776000 (90 Tage)

Kundenspezifischer Client

86400 (1 Tag)

7776000 (90 Tage)

7776000 (90 Tage)

Wenn Sie aus geschäftlichen Gründen den Mindestwert senken oder den Höchstwert erhöhen müssen, bitten Sie Ihren Kontoadministrator, eine Anforderung an den Snowflake-Support zu senden.

NETWORK_POLICY = 'network_policy'

Gibt eine bestehende Netzwerkrichtlinie an. Diese Netzwerkrichtlinie kontrolliert Netzwerkdatenverkehr, der versucht, einen Autorisierungscode gegen ein Zugriffs- oder Aktualisierungstoken auszutauschen oder ein Aktualisierungstoken zu verwenden, um ein neues Zugriffstoken zu erhalten.

Wenn für das Konto oder den Benutzer auch Netzwerkrichtlinien festgelegt sind, finden Sie entsprechende Informationen unter Rangfolge bei Netzwerkrichtlinien.

OAUTH_CLIENT_RSA_PUBLIC_KEY = public_key1

Gibt einen öffentlichen RSA-Schlüssel an.

OAUTH_CLIENT_RSA_PUBLIC_KEY_2 = public_key2

Gibt einen zweiten öffentlichen RSA-Schlüssel an. Wird für die Schlüsselrotation verwendet.

TAG tag_name = 'tag_value' [ , tag_name = 'tag_value' , ... ]

Gibt den Namen des Tags und den Wert der Tag-Zeichenfolge an.

Der Tag-Wert ist immer eine Zeichenfolge, die maximale 256 Zeichen lang sein kann.

Weitere Informationen zur Angabe von Tags in einer Anweisung finden Sie unter Tag-Kontingente für Objekte und Spalten.

COMMENT = 'string_literal'

Zeichenfolge (Literal), die einen Kommentar zur Integration enthält.

UNSET ...

Gibt eine oder mehrere Eigenschaften/Parameter an, die für die Sicherheitsintegration nicht festgelegt werden sollen, wodurch sie auf ihre Standardwerte zurückgesetzt werden:

  • ENABLED

  • NETWORK_POLICY

  • OAUTH_CLIENT_RSA_PUBLIC_KEY

  • OAUTH_CLIENT_RSA_PUBLIC_KEY_2

  • TAG tag_name [ , tag_name ... ]

  • COMMENT

Nutzungshinweise

Metadaten:

Achtung

Kunden müssen sicherstellen, dass bei der Nutzung des Snowflake-Dienstes keine personenbezogenen Daten (außer für ein Objekt „Benutzer“), sensible Daten, exportkontrollierte Daten oder andere regulierte Daten als Metadaten eingegeben werden. Weitere Informationen dazu finden Sie unter Metadatenfelder in Snowflake.

Beispiele

Das folgende Beispiel leitet die Operation einer angehaltenen Integration ein:

ALTER SECURITY INTEGRATION myint SET ENABLED = TRUE;
Copy
Sprache: Deutsch