Kategorien:: DDL für Benutzer und Sicherheit (Integrationen von Drittanbieterservices)

ALTER SECURITY INTEGRATION¶

Ändert die Eigenschaften für eine bestehende Sicherheitsintegration.

Siehe auch:: CREATE SECURITY INTEGRATION, DROP INTEGRATION, SHOW INTEGRATIONS

Unter diesem Thema:

Syntax
Parameter
Beispiele

Syntax¶

External OAuth

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name> SET
  [ TYPE = EXTERNAL_OAUTH ]
  [ ENABLED = { TRUE | FALSE } ]
  [ EXTERNAL_OAUTH_TYPE = { OKTA | AZURE | PING_FEDERATE | CUSTOM } ]
  [ EXTERNAL_OAUTH_ISSUER = '<string_literal>' ]
  [ EXTERNAL_OAUTH_TOKEN_USER_MAPPING_CLAIM = '<string_literal>' | ('<string_literal>', '<string_literal>' [ , ... ] ) ]
  [ EXTERNAL_OAUTH_SNOWFLAKE_USER_MAPPING_ATTRIBUTE = 'LOGIN_NAME | EMAIL_ADDRESS' ]
  [ EXTERNAL_OAUTH_JWS_KEYS_URL = '<string_literal>' ]
  [ EXTERNAL_OAUTH_RSA_PUBLIC_KEY = <public_key1> ]
  [ EXTERNAL_OAUTH_RSA_PUBLIC_KEY_2 = <public_key2> ]
  [ EXTERNAL_OAUTH_BLOCKED_ROLES_LIST = ( '{role_name}' [ , '{role_name}' , ... ] ) ]
  [ EXTERNAL_OAUTH_ALLOWED_ROLES_LIST = ( '{role_name}' [ , '{role_name}' , ... ] ) ]
  [ EXTERNAL_OAUTH_AUDIENCE_LIST = ('<string_literal>') ]
  [ EXTERNAL_OAUTH_ANY_ROLE_MODE = 'DISABLE | ENABLE | ENABLE_FOR_PRIVILEGE ]

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name>  UNSET {
                                                           ENABLED                      |
                                                           EXTERNAL_OAUTH_AUDIENCE_LIST
                                                           }
                                                           [ , ... ]

SAML2

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name> SET
    [ TYPE = SAML2 ]
    [ ENABLED = TRUE | FALSE ]
    [ SAML2_ISSUER = '<string_literal>' ]
    [ SAML2_SSO_URL = '<string_literal>' ]
    [ SAML2_PROVIDER = '<string_literal>' ]
    [ SAML2_X509_CERT = '<string_literal>' ]
    [ SAML2_SP_INITIATED_LOGIN_PAGE_LABEL = '<string_literal>' ]
    [ SAML2_ENABLE_SP_INITIATED = TRUE | FALSE ]
    [ SAML2_SNOWFLAKE_X509_CERT = '<string_literal>' ]
    [ SAML2_SIGN_REQUEST = TRUE | FALSE ]
    [ SAML2_REQUESTED_NAMEID_FORMAT = '<string_literal>' ]
    [ SAML2_POST_LOGOUT_REDIRECT_URL = '<string_literal>' ]
    [ SAML2_FORCE_AUTHN = TRUE | FALSE ]
    [ SAML2_SNOWFLAKE_ISSUER_URL = '<string_literal>' ]
    [ SAML2_SNOWFLAKE_ACS_URL = '<string_literal>' ]

SCIM

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name> SET
    [ TYPE = SCIM ]
    [ SCIM_CLIENT = 'OKTA' | 'AZURE' | 'CUSTOM' ]
    [ RUN_AS_ROLE = 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER' ]
    [ NETWORK_POLICY  = '<network_policy>' ]

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name>  UNSET {
                                                           ENABLED        |
                                                           NETWORK_POLICY
                                                           }
                                                           [ , ... ]

Snowflake OAuth für Partneranwendungen

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name> SET
  [ ENABLED = { TRUE | FALSE } ]
  [ OAUTH_ISSUE_REFRESH_TOKENS = TRUE | FALSE ]
  [ OAUTH_REFRESH_TOKEN_VALIDITY = <integer> ]
  [ BLOCKED_ROLES_LIST = ( '<role_name>' [ , '<role_name>' , ... ] ) ]
  [ COMMENT = '<string_literal>' ]

Snowflake OAuth für benutzerdefinierte Clients

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name> SET
  [ ENABLED = { TRUE | FALSE } ]
  [ OAUTH_REDIRECT_URI = '<uri>' ]
  [ OAUTH_ALLOW_NON_TLS_REDIRECT_URI = TRUE | FALSE ]
  [ OAUTH_ENFORCE_PKCE = TRUE | FALSE ]
  [ PRE_AUTHORIZED_ROLES_LIST = ( '<role_name>' [ , '<role_name>' , ... ] ) ]
  [ BLOCKED_ROLES_LIST = ( '<role_name>' [ , '<role_name>' , ... ] ) ]
  [ OAUTH_ISSUE_REFRESH_TOKENS = TRUE | FALSE ]
  [ OAUTH_REFRESH_TOKEN_VALIDITY = <integer> ]
  [ NETWORK_POLICY = '<network_policy>' ]
  [ OAUTH_CLIENT_RSA_PUBLIC_KEY = <public_key1> ]
  [ OAUTH_CLIENT_RSA_PUBLIC_KEY_2 = <public_key2> ]
  [ COMMENT = '{string_literal}' ]

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name>  UNSET {
                                                           ENABLED                       |
                                                           NETWORK_POLICY                |
                                                           OAUTH_CLIENT_RSA_PUBLIC_KEY   |
                                                           OAUTH_CLIENT_RSA_PUBLIC_KEY_2
                                                           }
                                                           [ , ... ]

Parameter¶

Name: Bezeichner für die zu ändernde Integration. Wenn der Bezeichner Leerzeichen oder Sonderzeichen enthält, muss die gesamte Zeichenfolge in doppelte Anführungszeichen gesetzt werden. Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß-/Kleinschreibung zu beachten.

External OAuth-Parameter¶

SET ...

Gibt eine (oder mehrere) Eigenschaften/Parameter an, die für die Integration festgelegt werden sollen (getrennt durch Leerzeichen, Kommas oder neue Zeilen):

TYPE = EXTERNAL_OAUTH

Unterscheidet die External OAuth-Integration von einer Snowflake OAuth-Integration.

ENABLED = TRUE | FALSE

Gibt an, ob die Integrationsoperation gestartet oder angehalten werden soll.

TRUE ermöglicht die Ausführung der Integration basierend auf den in der Pipedefinition angegebenen Parametern.
FALSE hält die Integration für Wartungszwecke an. Eine Integration zwischen Snowflake und einem Drittanbieterservice funktioniert nicht.

EXTERNAL_OAUTH_TYPE = OKTA | AZURE | PING_FEDERATE | CUSTOM

Gibt den OAuth 2.0-Autorisierungsserver als Okta, Microsoft Azure AD, Ping Identity PingFederate oder einen benutzerdefinierten OAuth 2.0-Autorisierungsserver an.

EXTERNAL_OAUTH_ISSUER = 'Zeichenfolgenliteral'

Gibt die URL für die Definition des OAuth 2.0-Autorisierungsservers an.

EXTERNAL_OAUTH_TOKEN_USER_MAPPING_CLAIM = 'Zeichenfolgenliteral' | ('Zeichenfolgenliteral', 'Zeichenfolgenliteral' [ , ... ] )

Gibt den Zugriffstoken-Anspruch oder Ansprüche an, die verwendet werden können, um das Zugriffstoken einem Snowflake-Benutzerdatensatz zuzuordnen.

Der Datentyp des Anspruchs muss eine Zeichenfolge oder eine Liste von Zeichenfolgen sein.

EXTERNAL_OAUTH_SNOWFLAKE_USER_MAPPING_ATTRIBUTE = 'LOGIN_NAME | EMAIL_ADDRESS'

Gibt an, welches Snowflake-Benutzerdatensatzattribut verwendet werden soll, um das Zugriffstoken einem Snowflake-Benutzerdatensatz zuzuordnen.

EXTERNAL_OAUTH_JWS_KEYS_URL = 'Zeichenfolgenliteral'

Gibt den Endpunkt an, von dem öffentliche Schlüssel oder Zertifikate heruntergeladen werden sollen, um ein External OAuth-Zugriffstoken zu validieren.

EXTERNAL_OAUTH_RSA_PUBLIC_KEY = Öffentlicher_Schlüssel1

Gibt einen Base64-codierten öffentlichen RSA-Schlüssel ohne die Header -----BEGIN PUBLIC KEY----- und -----END PUBLIC KEY----- an.

EXTERNAL_OAUTH_RSA_PUBLIC_KEY_2 = Öffentlicher_Schlüssel2

Gibt einen zweiten öffentlichen RSA-Schlüssel ohne die Header -----BEGIN PUBLIC KEY----- und -----END PUBLIC KEY----- an. Wird für die Schlüsselrotation verwendet.

EXTERNAL_OAUTH_BLOCKED_ROLES_LIST = ( 'Rollenname' [ , 'Rollenname' , ... ] )

Gibt die Liste der Rollen an, die ein Client nicht als primäre Rolle festlegen darf.

Eine Rolle in dieser Liste darf nicht verwendet werden, wenn eine Snowflake-Sitzung auf Basis des Zugriffstokens vom externen OAuth-Autorisierungsserver erstellt wird.

EXTERNAL_OAUTH_ALLOWED_ROLES_LIST = ( 'Rollenname' [ , 'Rollenname' , ... ] )

Gibt die Liste der Rollen an, die ein Client als primäre Rolle festlegen kann.

Eine Rolle in dieser Liste darf verwendet werden, wenn eine Snowflake-Sitzung auf Basis des Zugriffstokens vom externen OAuth-Autorisierungsserver erstellt wird.

EXTERNAL_OAUTH_AUDIENCE_LIST = ('Zeichenfolgenliteral')

Gibt Werte an, die zusätzlich zur Verwendung der Snowflake-Konto-URL des Kunden (d. h. <Kontobezeichner>.snowflakecomputing.com) für die Zielgruppenvalidierung des Zugriffstokens verwendet werden können. Weitere Informationen dazu finden Sie unter Kontobezeichner.

Derzeit können mehrere Zielgruppen-URLs nur für benutzerdefinierte External OAuth-Clients angegeben werden. Jede URL muss in einfache Anführungszeichen gesetzt werden, wobei jede URL durch ein Komma getrennt wird. Beispiel:

external_oauth_audience_list = ('https://example.com/api/v2/', 'https://example.com')

EXTERNAL_OAUTH_ANY_ROLE_MODE = 'DISABLE | ENABLE | ENABLE_FOR_PRIVILEGE'

Gibt an, ob der OAuth-Client oder -Benutzer eine Rolle verwenden kann, die nicht im OAuth-Zugriffstoken definiert ist.

DISABLE erlaubt dem OAuth-Client oder -Benutzer nicht, die Rollen zu wechseln (d. h. use role <Rolle>;). Standard.
ENABLE ermöglicht dem OAuth-Client oder -Benutzer, die Rollen zu wechseln.
ENABLE_FOR_PRIVILEGE ermöglicht dem OAuth-Client oder -Benutzer, die Rollen nur für einen Client oder Benutzer mit der Berechtigung USE_ANY_ROLE zu wechseln. Diese Berechtigung kann einer oder mehreren dem Benutzer zur Verfügung stehenden Rollen erteilt und entzogen werden. Beispiel:
```
grant USE_ANY_ROLE on integration external_oauth_1 to role1;
```
```
revoke USE_ANY_ROLE on integration external_oauth_1 from role1;
```

UNSET ...

Gibt eine (oder mehrere) Eigenschaften/Parameter an, die für die Sicherheitsintegration nicht festgelegt werden sollen, wodurch sie auf ihre Standardwerte zurückgesetzt werden:

ENABLED
EXTERNAL_OAUTH_AUDIENCE_LIST

SAML 2.0-Parameter¶

SET ...

Gibt eine (oder mehrere) Eigenschaften/Parameter an, die für die Integration festgelegt werden sollen (getrennt durch Leerzeichen, Kommas oder neue Zeilen):

TYPE = SAML2: Geben Sie den Typ der Integration an:

SAML2: Erstellt eine Sicherheitsschnittstelle zwischen Snowflake und dem Identitätsanbieter.

ENABLED = TRUE | FALSE

Gibt an, ob die Integrationsoperation gestartet oder angehalten werden soll.

TRUE ermöglicht die Ausführung der Integration basierend auf den in der Pipedefinition angegebenen Parametern.
FALSE hält die Integration für Wartungszwecke an. Eine Integration zwischen Snowflake und einem Drittanbieterservice funktioniert nicht.

SAML2_ISSUER = 'Zeichenfolgenliteral'

Die Zeichenfolge, die EntityID / Issuer des IdP enthält.

SAML2_SSO_URL = 'Zeichenfolgenliteral'

Die Zeichenfolge, die die IdP-SSO-URL enthält, zu welcher der Benutzer von Snowflake (dem Dienstanbieter) mittels einer SAML-AuthnRequest-Nachricht umgeleitet werden soll.

SAML2_PROVIDER = 'Zeichenfolgenliteral'

Die Zeichenfolge, die den IdP beschreibt.

Es gibt folgende Möglichkeiten: OKTA, ADFS, Custom (kundenspezifisch).

SAML2_X509_CERT = 'Zeichenfolgenliteral'

Das Base64-codierte IdP-Signaturzertifikat in einer einzigen Zeile ohne die führende -----BEGIN CERTIFICATE------ und endende -----END CERTIFICATE----- -Markierung.

SAML2_SP_INITIATED_LOGIN_PAGE_LABEL = 'Zeichenfolgenliteral'

Die Zeichenfolge mit der Bezeichnung, die auf der Anmeldeseite nach der Schaltfläche Log In With angezeigt werden soll.

SAML2_ENABLE_SP_INITIATED = TRUE | FALSE

Der Boolesche Wert, der angibt, ob die Schaltfläche Log In With auf der Anmeldeseite angezeigt wird.

Bei TRUE wird die Schaltfläche Log in With auf der Anmeldeseite angezeigt.
Bei FALSE wird die Schaltfläche Log in With auf der Anmeldeseite nicht angezeigt.

SAML2_SNOWFLAKE_X509_CERT = 'Zeichenfolgenliteral'

Das Base64-codierte, selbstsignierte Zertifikat zur Verwendung mit Verschlüsseln von SAML-Assertionen und Signierte SAML-Anforderungen, das von Snowflake generiert wird.

Sie müssen mindestens eines dieser Funktionen (verschlüsselte SAML-Assertionen oder signierte SAML-Antworten) in Ihrem Snowflake-Konto aktiviert haben, um auf den Zertifikatwert zugreifen zu können.

SAML2_SIGN_REQUEST = TRUE | FALSE

Boolescher Wert, der angibt, ob SAML-Anforderungen signiert sind.

TRUE: Das Signieren von SAML-Anforderungen ist zulässig.
FALSE: Das Signieren von SAML-Anforderung ist nicht zulässig.

SAML2_REQUESTED_NAMEID_FORMAT = 'Zeichenfolgenliteral'

Durch Angabe des SAML-NameID-Formats kann Snowflake eine Erwartung für das identifizierende Attribut des Benutzers (d. h. den SAML-Betreff) in der SAML-Assertion des IdP festlegen und so eine gültige Authentifizierung bei Snowflake sicherstellen. Wenn kein Wert angegeben wird, sendet Snowflake den Wert urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress in der Authentifizierungsanforderung an den IdP.

Optional.

Wenn Sie das SAML-NameID-Format angeben möchten, verwenden Sie einen der folgenden Werte:

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient

SAML2_POST_LOGOUT_REDIRECT_URL = '<string_literal>'

Der Endpunkt, zu dem Snowflake Benutzer nach dem Klicken auf die Schaltfläche Log Out auf der klassischen Snowflake-Weboberfläche umleitet.

Mit der Umleitung auf den angegebenen Endpunkt beendet Snowflake die Snowflake-Sitzung.

SAML2_FORCE_AUTHN = TRUE | FALSE

Der boolesche Wert gibt an, ob Benutzer während der erstmaligen Authentifizierung gezwungen werden, sich erneut zu authentifizieren, um auf Snowflake zugreifen zu können. Wenn auf TRUE gesetzt, setzt Snowflake den ForceAuthn-SAML-Parameter in der ausgehenden Anforderung von Snowflake an den Identitätsanbieter auf TRUE.

TRUE zwingt Benutzer, sich erneut zu authentifizieren, um auf Snowflake zugreifen zu können, selbst wenn eine gültige Sitzung beim Identitätsanbieter besteht.
FALSE zwingt Benutzer nicht dazu, sich erneut zu authentifizieren, um auf Snowflake zugreifen zu können.

Standard: FALSE.

SAML2_SNOWFLAKE_ISSUER_URL = '<string_literal>'

Die Zeichenfolge, die EntityID/Issuer für den Snowflake-Dienstanbieter enthält.

Wenn ein falscher Wert angegeben wird, gibt Snowflake eine Fehlermeldung zurück, in der die zu verwendenden akzeptablen Werte angegeben werden.

SAML2_SNOWFLAKE_ACS_URL = '<string_literal>'

Die Zeichenfolge, die den Snowflake Assertion Consumer Service-URL enthält, an die der IdP seine SAML-Authentifizierungsantwort zurück an Snowflake senden wird.

Diese Eigenschaft wird in der von Snowflake generierten SAML-Authentifizierungsanforderung festgelegt, wenn eine SAML-SSO-Operation beim IdP initiiert wird.

Wenn ein falscher Wert angegeben wird, gibt Snowflake eine Fehlermeldung zurück, in der die zu verwendenden akzeptablen Werte angegeben werden.

Standard: https://<Konto-Locator>.<Region>.snowflakecomputing.com/fed/login

Weitere Informationen dazu finden Sie unter:

SCIM-Parameter¶

TYPE = SCIM: Geben Sie den Typ der Integration an:

SCIM: Erstellt eine Sicherheitsschnittstelle zwischen Snowflake und einem Client, der SCIM unterstützt.

SCIM_CLIENT = 'OKTA' | 'AZURE' | 'CUSTOM'

Gibt den SCIM-Client an.

RUN_AS_ROLE = 'OKTA_PROVISIONER' | 'AAD_PROVISIONER' | 'GENERIC_SCIM_PROVISIONER'

Gibt die SCIM-Rolle in Snowflake an, die Eigentümer aller Benutzer und Rollen ist, die mit SCIM vom Identitätsanbieter in Snowflake importiert werden.

Die Werte OKTA_PROVISIONER, AAD_PROVISIONER und GENERIC_SCIM_PROVISIONER unterscheiden zwischen Groß- und Kleinschreibung und müssen immer groß geschrieben werden.

NETWORK_POLICY = 'Netzwerkrichtlinie'

Gibt eine vorhandene Netzwerkrichtlinie an, die für Ihr Konto aktiv ist. Die Netzwerkrichtlinie schränkt die Liste der Benutzer-IP-Adressen ein, wenn ein Autorisierungscode gegen ein Zugriffs- oder Aktualisierungstoken ausgetauscht und ein Aktualisierungstoken zum Abrufen eines neuen Zugriffstoken verwendet wird. Wenn dieser Parameter nicht festgelegt ist, wird stattdessen die Netzwerkrichtlinie für das Konto (wenn vorhanden) verwendet.

UNSET ...

Gibt eine (oder mehrere) Eigenschaften/Parameter an, die für die Sicherheitsintegration nicht festgelegt werden sollen, wodurch sie auf ihre Standardwerte zurückgesetzt werden:

ENABLED
NETWORK_POLICY

Snowflake OAuth – Partneranwendungsparameter¶

Gültig, wenn OAUTH_CLIENT = <Partneranwendung> (d. h. beim Erstellen einer Integration für eine Partneranwendung)

SET ...

Gibt eine (oder mehrere) Eigenschaften/Parameter an, die für die Integration festgelegt werden sollen (getrennt durch Leerzeichen, Kommas oder neue Zeilen):

ENABLED = TRUE | FALSE

Gibt an, ob die Integrationsoperation gestartet oder angehalten werden soll.

TRUE ermöglicht die Ausführung der Integration basierend auf den in der Pipedefinition angegebenen Parametern.
FALSE hält die Integration für Wartungszwecke an. Eine Integration zwischen Snowflake und einem Drittanbieterservice funktioniert nicht.

OAUTH_ISSUE_REFRESH_TOKENS = TRUE | FALSE

Boolescher Wert, der angibt, ob der Client ein Aktualisierungstoken gegen ein Zugriffstoken austauschen darf, wenn das aktuelle Zugriffstoken abgelaufen ist. Wenn auf FALSE gesetzt, wird kein Aktualisierungstoken ausgestellt. Die Benutzerzustimmung wird widerrufen, und der Benutzer muss die Autorisierung erneut bestätigen.

Standard: TRUE

OAUTH_REFRESH_TOKEN_VALIDITY = Ganzzahl

Ganzzahl, die angibt, wie lange Aktualisierungstoken gültig sein sollen (in Sekunden). Das kann verwendet werden, um das Aktualisierungstoken regelmäßig ablaufen zu lassen.

Beachten Sie, dass Sie Ihren Kontoadministrator bitten müssen, eine Anfrage an Snowflake Support zu senden, wenn das Unternehmen einen niedrigeren oder höheren Mindest- bzw. Höchstwert wünscht.

Werte: 86400 (1 Tag) bis 7776000 (90 Tage)
Standard: 7776000

BLOCKED_ROLES_LIST = ( 'Rollenname' [ , 'Rollenname' , ... ] )

Durch Kommas getrennte Liste von Snowflake-Rollen, deren Verwendung ein Benutzer nach der Authentifizierung nicht ausdrücklich zustimmen kann, z. B. 'custom_role1', 'custom_role2'.

Beachten Sie, dass die Rollen ACCOUNTADMIN und SECURITYADMIN standardmäßig in der Liste enthalten sind. Wenn diese Rollen jedoch aus Ihrem Konto entfernt werden sollen, müssen Sie den Kontoadministrator bitten, eine entsprechende Anforderung an den Snowflake-Support zu senden.

COMMENT = 'Zeichenfolgenliteral'

Zeichenfolge (Literal), die einen Kommentar zur Integration enthält.

Snowflake OAuth – Benutzerdefinierte Clientparameter¶

Gültig, wenn OAUTH_CLIENT = CUSTOM (d. h. beim Erstellen einer Integration für einen benutzerdefinierten Client)

SET ...

Gibt eine (oder mehrere) Eigenschaften/Parameter an, die für die Integration festgelegt werden sollen (getrennt durch Leerzeichen, Kommas oder neue Zeilen):

ENABLED = TRUE | FALSE gibt an, ob die Integrationsoperation gestartet oder angehalten werden soll.

TRUE ermöglicht die Ausführung der Integration basierend auf den in der Pipedefinition angegebenen Parametern.

FALSE hält die Integration für Wartungszwecke an. Eine Integration zwischen Snowflake und einem Drittanbieterservice funktioniert nicht.

OAUTH_REDIRECT_URI = 'URI'

Gibt den Client-URI an. Nachdem ein Benutzer authentifiziert wurde, wird der Webbrowser zu dieser URI umgeleitet. Der URI muss durch TLS (Transport Layer Security) geschützt werden, sofern der optionale Parameter OAUTH_ALLOW_NON_TLS_REDIRECT_URI nicht auf TRUE gesetzt ist.

OAUTH_ALLOW_NON_TLS_REDIRECT_URI = TRUE | FALSE

Wenn TRUE, kann OAUTH_REDIRECT_URI auf einen URI gesetzt werden, der nicht durch TLS geschützt ist. Wir empfehlen dringend die Verwendung von TLS, um Man-in-the-Middle-OAuth-Umleitungen bei Phishing-Angriffen zu verhindern.

Standard: FALSE

OAUTH_ENFORCE_PKCE = TRUE | FALSE

Boolescher Wert, der angibt, ob für die Integration Proof Key for Code Exchange (PKCE) erforderlich sein soll.

Standard: FALSE

PRE_AUTHORIZED_ROLES_LIST = '( Rollenname' [ , 'Rollenname , ... ] ')

Durch Kommas getrennte Liste von Snowflake-Rollen, denen ein Benutzer nach der Authentifizierung nicht ausdrücklich zustimmen muss, z. B. 'custom_role1', 'custom_role2'. Beachten Sie, dass die Rollen ACCOUNTADMIN und SECURITYADMIN nicht in die Liste aufgenommen werden können.

Bemerkung

Dieser Parameter wird nur bei vertraulichen Clients unterstützt.

BLOCKED_ROLES_LIST = ( 'Rollenname' [ , 'Rollenname' , ... ] )

Durch Kommas getrennte Liste von Snowflake-Rollen, deren Verwendung ein Benutzer nach der Authentifizierung nicht ausdrücklich zustimmen kann, z. B. 'custom_role1', 'custom_role2'.

Beachten Sie, dass die Rollen ACCOUNTADMIN und SECURITYADMIN standardmäßig in der Liste enthalten sind. Wenn diese Rollen jedoch aus Ihrem Konto entfernt werden sollen, müssen Sie den Kontoadministrator bitten, eine entsprechende Anforderung an den Snowflake-Support zu senden.

OAUTH_ISSUE_REFRESH_TOKENS = TRUE | FALSE

Boolescher Wert, der angibt, ob der Client ein Aktualisierungstoken gegen ein Zugriffstoken austauschen darf, wenn das aktuelle Zugriffstoken abgelaufen ist. Wenn auf FALSE gesetzt, wird kein Aktualisierungstoken ausgestellt. Die Benutzerzustimmung wird widerrufen, und der Benutzer muss die Autorisierung erneut bestätigen.

Standard: TRUE

OAUTH_REFRESH_TOKEN_VALIDITY = Ganzzahl

Ganzzahl, die angibt, wie lange Aktualisierungstoken gültig sein sollen (in Sekunden). Das kann verwendet werden, um das Aktualisierungstoken regelmäßig ablaufen zu lassen.

Wenn ein Aktualisierungstoken abläuft, muss die Anwendung den Benutzer erneut durch den Autorisierungsablauf leiten, damit ein neues Aktualisierungstoken abgerufen wird.

Die unterstützten Minimal-, Maximal- und Standardwerte lauten wie folgt:

Anwendung	Minimum	Maximum	Standard
Tableau Desktop	`60` (1 Minute)	`36000` (10 Stunden)	`36000` (10 Stunden)
Tableau Server oder Tableau Online	`60` (1 Minute)	`7776000` (90 Tage)	`7776000` (90 Tage)
Benutzerdefinierter Client	`86400` (1 Tag)	`7776000` (90 Tage)	`7776000` (90 Tage)

Wenn Sie aus geschäftlichen Gründen den Mindestwert senken oder den Höchstwert erhöhen müssen, bitten Sie Ihren Kontoadministrator, eine Anforderung an den Snowflake-Support zu senden.

NETWORK_POLICY = 'Netzwerkrichtlinie'

Gibt eine vorhandene Netzwerkrichtlinie an, die für Ihr Konto aktiv ist. Die Netzwerkrichtlinie schränkt die Liste der Benutzer-IP-Adressen ein, wenn ein Autorisierungscode gegen ein Zugriffs- oder Aktualisierungstoken ausgetauscht und ein Aktualisierungstoken zum Abrufen eines neuen Zugriffstoken verwendet wird. Wenn dieser Parameter nicht festgelegt ist, wird stattdessen die Netzwerkrichtlinie für das Konto (wenn vorhanden) verwendet.

OAUTH_CLIENT_RSA_PUBLIC_KEY = Öffentlicher_Schlüssel1

Gibt einen öffentlichen RSA-Schlüssel an. Weitere Informationen dazu finden Sie unter OAuth.

OAUTH_CLIENT_RSA_PUBLIC_KEY_2 = Öffentlicher_Schlüssel2

Gibt einen zweiten öffentlichen RSA-Schlüssel an. Wird für die Schlüsselrotation verwendet.

COMMENT = 'Zeichenfolgenliteral'

Zeichenfolge (Literal), die einen Kommentar zur Integration enthält.

UNSET ...

Gibt eine (oder mehrere) Eigenschaften/Parameter an, die für die Sicherheitsintegration nicht festgelegt werden sollen, wodurch sie auf ihre Standardwerte zurückgesetzt werden:

ENABLED
NETWORK_POLICY
OAUTH_CLIENT_RSA_PUBLIC_KEY
OAUTH_CLIENT_RSA_PUBLIC_KEY_2

Beispiele¶

Das folgende Beispiel leitet die Operation einer angehaltenen Integration ein:

ALTER SECURITY INTEGRATION myint SET ENABLED = TRUE;