CREATE AUTHENTICATION POLICY

Erstellt eine neue Authentifizierungsrichtlinie im aktuellen oder angegebenen Schema oder ersetzt eine vorhandene Authentifizierungsrichtlinie. Sie können Authentifizierungsrichtlinien verwenden, um Authentifizierungskontrollen und Sicherheitsanforderungen für Konten oder Benutzer zu definieren.

Siehe auch:

ALTER AUTHENTICATION POLICY, DESCRIBE AUTHENTICATION POLICY, DROP AUTHENTICATION POLICY, SHOW AUTHENTICATION POLICIES

Syntax

CREATE [ OR REPLACE ] AUTHENTICATION POLICY [ IF NOT EXISTS ] <name>
  [ AUTHENTICATION_METHODS = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ MFA_AUTHENTICATION_METHODS = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ MFA_ENROLLMENT = { REQUIRED | OPTIONAL } ]
  [ CLIENT_TYPES = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ SECURITY_INTEGRATIONS = ( '<string_literal>' [ , '<string_literal>' , ... ] ) ]
  [ COMMENT = '<string_literal>' ]
Copy

Erforderliche Parameter

name

Gibt den Bezeichner der Authentifizierungsrichtlinie an. Wenn der Bezeichner Leerzeichen oder Sonderzeichen enthält, müssen Sie die Zeichenfolge in doppelte Anführungszeichen setzen. Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist die Groß-/Kleinschreibung zu beachten. Der Bezeichner muss die Anforderungen an Bezeichner erfüllen.

Optionale Parameter

AUTHENTICATION_METHODS = ( 'string_literal' [ , 'string_literal' , ... ] )

Vorsicht

Eine Einschränkung mittels Authentifizierungsmethode kann unbeabsichtigte Folgen haben, z. B. ein Blockieren von Treiberverbindungen oder von Drittanbieter-Integrationen.

Eine Liste von Authentifizierungsmethoden, die bei der Anmeldung zulässig sind. Dieser Parameter kann einen oder mehrere der folgenden Werte annehmen:

ALL

Alle Authentifizierungsmethoden sind zugelassen.

SAML

Erlaubt SAML2-Sicherheitsintegrationen. Wenn SAML vorhanden ist, wird eine SSO-Anmeldeoption angezeigt. Wenn SAML nicht vorhanden ist, wird auch keine SSO-Anmeldeoption angezeigt.

PASSWORD

Ermöglicht Benutzern die Authentifizierung mit Benutzername und Kennwort.

OAUTH

Erlaubt External OAuth.

KEYPAIR

Erlaubt Schlüsselpaar-Authentifizierung.

Standard: ALL.

MFA_AUTHENTICATION_METHODS = ( 'string_literal' [ , 'string_literal' , ... ] )

Eine Auflistung von Authentifizierungsmethoden, die eine mehrstufige Authentifizierung (MFA) während der Anmeldung erzwingen. Bei Authentifizierungsmethoden, die nicht in diesem Parameter aufgeführt sind, wird keine mehrstufige Authentifizierung verlangt.

Die folgenden Authentifizierungsmethoden unterstützen MFA:

  • SAML

  • PASSWORD

Dieser Parameter kann einen oder mehrere der folgenden Werte annehmen:

SAML

Fordert Benutzer zur MFA auf, wenn sie für MFA registriert sind und sich mit SAML2 Sicherheitsintegrationen authentifizieren.

PASSWORD

Fordert Benutzer zur MFA, wenn sie für MFA registriert sind und sich mit einem Benutzernamen und Kennwort authentifizieren.

Standard: ('PASSWORD', 'SAML').

MFA_ENROLLMENT = { REQUIRED | OPTIONAL }

Legt fest, ob sich ein Benutzer für die mehrstufige Authentifizierung registrieren muss.

REQUIRED

Erzwingt die Registrierung von Benutzer für MFA. Wenn dieser Wert verwendet wird, muss der Parameter CLIENT_TYPES SNOWFLAKE_UI enthalten, da Snowsight der einzige Ort ist, an dem sich Benutzer für die mehrstufige Authentifizierung (MFA) registrieren können.

OPTIONAL

Benutzer können wählen, ob sie sich für MFA registrieren möchten.

Standard: OPTIONAL.

CLIENT_TYPES = ( 'string_literal' [ , 'string_literal' , ... ] )

Eine Liste von Clients, die sich bei Snowflake authentifizieren können. Wenn ein Client versucht, eine Verbindung herzustellen, und der Client nicht zu den gültigen CLIENT_TYPES-Werten gehört, schlägt der Anmeldeversuch fehl.

The CLIENT_TYPES property of an authentication policy is a best effort method to block user logins based on specific clients. It should not be used as the sole control to establish a security boundary.

Dieser Parameter kann einen oder mehrere der folgenden Werte annehmen:

ALL

Allen Clients wird erlaubt, sich zu authentifizieren.

SNOWFLAKE_UI

Snowsight oder Classic Console, die Snowflake-Weboberfläche.

Vorsicht

If SNOWFLAKE_UI is not included in the CLIENT_TYPES list, MFA enrollment does not work.

DRIVERS

Treiber ermöglichen den Zugriff auf Snowflake aus Anwendungen, die in unterstützten Sprachen geschrieben wurden. Beispielsweise Go-, JDBC- und .NET-Treiber sowie Snowpipe Streaming.

Vorsicht

Wenn DRIVERS nicht in der CLIENT_TYPES-Liste enthalten ist, funktioniert die automatische Erfassung möglicherweise nicht.

SNOWSQL

Ein Befehlszeilenclient zur Verbindung mit Snowflake.

Standard: ALL.

SECURITY_INTEGRATIONS = ( 'string_literal' [ , 'string_literal' , ... ] )

Eine Liste von Sicherheitsintegrationen, mit denen die Authentifizierungsrichtlinie verknüpft ist. Dieser Parameter hat keine Auswirkungen, wenn SAML oder OAUTH nicht in der AUTHENTICATION_METHODS-Liste enthalten sind.

Alle Werte in der Liste SECURITY_INTEGRATIONS müssen mit den Werten in der Liste AUTHENTICATION_METHODS kompatibel sein. Wenn beispielweise SECURITY_INTEGRATIONS eine SAML-Sicherheitsintegration enthält und AUTHENTICATION_METHODS enthält OAUTH, können Sie die Authentifizierungsrichtlinie nicht erstellen.

ALL

Alle Sicherheitsintegrationen sind erlaubt.

Standard: ALL.

COMMENT = 'string_literal'

Gibt eine Beschreibung der Richtlinie an.

Anforderungen an die Zugriffssteuerung

Eine Rolle, die zur Ausführung dieses SQL-Befehls verwendet wird, muss mindestens die folgenden Berechtigungen haben:

Berechtigung

Objekt

Anmerkungen

CREATE AUTHENTICATION POLICY

Schema

Only the SECURITYADMIN role, or a higher role, has this privilege by default. The privilege can be granted to additional roles as needed.

Beachten Sie, dass für die Bearbeitung eines Objekts in einem Schema auch die Berechtigung USAGE für die übergeordnete Datenbank und das Schema erforderlich ist.

Eine Anleitung zum Erstellen einer kundenspezifischen Rolle mit einer bestimmten Gruppe von Berechtigungen finden Sie unter Erstellen von kundenspezifischen Rollen.

Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Übersicht zur Zugriffssteuerung.

Nutzungshinweise

  • Nachdem Sie eine Authentifizierungsrichtlinie erstellt haben, müssen Sie diese mit dem Befehl ALTER ACCOUNT oder ALTER USER für ein Konto oder einen Benutzer festlegen, bevor Snowflake die Richtlinie durchsetzt.

  • Wenn Sie eine bestehende Authentifizierungsrichtlinie aktualisieren möchten und dazu die aktuelle Definition der Richtlinie anzeigen müssen, können Sie den Befehl DESCRIBE AUTHENTICATION POLICY oder die Funktion GET_DDL ausführen.

  • CREATE OR REPLACE <Objekt>-Anweisungen sind atomar. Das heißt, wenn ein Objekt ersetzt wird, erfolgt das Löschen des alten Objekts und das Erstellen des neuen Objekts in einer einzigen Transaktion.

Beispiel

Erstellen Sie eine Authentifizierungsrichtlinie namens restrict_client_types_policy, die den Zugriff nur über Snowsight oder die klassische Konsole zulässt:

CREATE AUTHENTICATION POLICY restrict_client_types_policy
  CLIENT_TYPES = ('SNOWFLAKE_UI')
  COMMENT = 'Auth policy that only allows access through the web interface';
Copy

Weitere Beispiele finden Sie unter Authentifizierungsrichtlinien.

Sprache: Deutsch