Planung für die Abschaffung der Anmeldung mit Ein-Faktor-Kennwort

Um die Sicherheit aller Kunden zu verbessern, führt Snowflake Änderungen ein, die eine mehrstufige Authentifizierung (MFA) für alle Benutzer mit Kennwörtern vorschreiben und Kennwörter für alle Service-Benutzer verbieten. Diese Änderungen werden über mehrere Freigaben von Verhaltensänderungen (BCRs) hinweg eingeführt. In diesem Thema wird beschrieben, wie die Anmeldung mit Ein-Faktor-Kennwort abgeschafft wird, damit Sie entsprechend planen können.

Bemerkung

Der in diesem Thema beschriebene Abschaffungsprozess gilt nicht für Lesekonten, Open Catalog-Konten und Testkonten. Sie können sich bei diesen Arten von Konten weiterhin mit einem Ein-Faktor-Kennwort anmelden.

Verstehen des Einführungsprozesses

Die Einführung der Abschaffung der Anmeldung mit Ein-Faktor-Kennwort ist in mehrere Meilensteine unterteilt.

Jeder Meilenstein wird mit Hilfe des von Snowflake etablierten Prozesses zur Freigabe von Verhaltensänderungen umgesetzt. In diesem Prozess veröffentlicht Snowflake jeden Monat ein Verhaltensänderungs-Bundle. Da die Änderungen in einem Verhaltensänderungs-Bundle enthalten sind, wird die Durchsetzung der neuen Einschränkungen mit dem Lebenszyklus des Bundles zusammenfallen.

Weitere Informationen über den Lebenszyklus von Verhaltensänderungs-Bundles, damit Sie die Durchsetzung der einzelnen Meilensteine planen können, finden Sie unter Richtlinie für Verhaltensänderungen.

Menschliche Benutzer vs. Service-Benutzer

Die Benutzerobjekte in Snowflake entsprechen nicht immer den menschlichen Benutzern. Es gibt Benutzer, die sich ohne menschliche Interaktion bei Snowflake anmelden — zum Beispiel eine Anwendung oder ein Dienst. Diese Benutzer werden als Service-Benutzer betrachtet.

Administratoren verwenden den Parameter TYPE eines Benutzerobjekts, um festzulegen, ob ein Benutzer ein menschlicher Benutzer oder ein Service-Benutzer ist.

  • Für menschliche Benutzer: TYPE=PERSON. Wenn Sie den Parameter TYPE nicht setzen oder ihn auf NULL setzen, wird der Benutzer wie ein menschlicher Benutzer behandelt.

  • Für Service-Benutzer, TYPE=SERVICE.

    Bemerkung

    Der Benutzertyp LEGACY_SERVICE hilft Kunden bei der Umstellung von Service-Benutzern auf eine sichere Form der Authentifizierung. Wenn Sie den Typ eines Benutzers vorübergehend auf LEGACY_SERVICE setzen, kann sich der Benutzer mit einem Kennwort authentifizieren, obwohl es sich um eine Anwendung oder einen Dienst handelt. Der in diesem Thema beschriebene Rollout beinhaltet die schrittweise Abschaffung dieses Benutzertyps.

Die Unterscheidung zwischen einem menschlichen Benutzer und einem Service-Benutzer ist wichtig, da diese beiden Arten von Benutzern von der Einführung unterschiedlich betroffen sind. Um die Sicherheitslage für beide Arten von Benutzern zu verbessern, wird die Anmeldung mit Ein-Faktor-Kennwort wie folgt abgeschafft:

  • Alle menschlichen Benutzer, die die Authentifizierung mit Kennwörtern verwenden, müssen einen zweiten Authentifizierungsfaktor verwenden. Einen Zeitplan, der beschreibt, wie Snowflake dieses Ziel erreichen wird, finden Sie unter Meilensteine für menschliche Benutzer.

  • Alle Service-Benutzer, die derzeit die Authentifizierung mit Kennwörtern verwenden, müssen auf eine sicherere Authentifizierungsmethode umsteigen. Einen Zeitplan, der beschreibt, wie Snowflake dieses Ziel erreichen wird, finden Sie unter Meilensteine für Service-Benutzer.

Zeitplan für die Abschaffung

In der folgenden Tabelle finden Sie den Zeitplan für die Abschaffung der Anmeldung mit Ein-Faktor-Kennwort.

Jeder Datumsbereich entspricht dem Lebenszyklus eines Verhaltensänderungs-Bundles. Ein Meilenstein beginnt mit einem Zeitraum, in dem Sie der Änderung zustimmen müssen.

Geschätztes Datum

Betroffene Benutzer

Meilenstein

Sep. 2025 bis Jan. 2026

Menschliche Benutzer

Obligatorische MFA für alle Benutzer von Snowsight

Oktober 2025 bis Februar 2026

Service-Benutzer

Keine neuen Benutzer von Legacy-Diensten

Februar 2026 bis April 2026

Menschliche Benutzer

Obligatorische MFA für alle neuen menschlichen Benutzer

Mai 2026 – Juli 2026

Menschliche Benutzer

Obligatorische MFA für alle menschlichen Benutzer

Jun. 2026 - Aug. 2026

Service-Benutzer

Keine Benutzer von Legacy-Diensten

Meilensteine für menschliche Benutzer

Ziel: Alle menschlichen Benutzer, die sich mit Kennwörtern authentifizieren, müssen einen zweiten Authentifizierungsfaktor verwenden.

Der Rollout zur Erreichung dieses Ziels besteht aus den folgenden Meilensteinen. Jeder Meilenstein beginnt mit der Veröffentlichung eines Verhaltensänderungs-Bundles (d. h. die Testphase beginnt) und endet, wenn das Paket allgemein aktiviert wird. Die mit dem Meilenstein verbundenen Beschränkungen werden durchgesetzt, sobald das Bundle aktiviert ist.

Bundle 2025_06 (September 2025 bis Januar 2026) [1] : Obligatorische MFA für alle Snowsight-Benutzer (neu und bestehend)

Menschliche Benutzer müssen sich mit einem zweiten Faktor authentifizieren, wenn sie ein Kennwort für den Zugriff auf Snowsight verwenden, wobei es keine Ausnahmen gibt.

Beachten Sie Folgendes:

  • Dieser Meilenstein betrifft nur Snowsight. Menschliche Benutzer können weiterhin ein Ein-Faktor-Kennwort verwenden, um von Business Intelligence (BI) und ähnlichen Tools aus auf den Snowflake Service zuzugreifen, auch nachdem sie sich über Snowsight bei MFA angemeldet haben. Sie können sich dafür entscheiden, MFA für diese anderen Tools zu erzwingen; Benutzer, die bereits bei MFA angemeldet sind und MFA außerhalb von Snowsight verwenden, werden weiterhin MFA verwenden.

  • Authentifizierungsrichtlinien, die eine optionale MFA-Registrierung für Snowsight implementiert haben, werden außer Kraft gesetzt.

  • Da Benutzer, die sich mit Snowflake OAuth authentifizieren, die Anmeldeschnittstelle Snowsight verwenden, müssen sie bei MFA angemeldet sein.

  • Single Sign-On-Benutzer sind von dieser Änderung nicht betroffen und können weiterhin ohne Änderungen auf Snowsight zugreifen.

  • Benutzer von Legacy-Diensten (TYPE=LEGACY_SERVICE) sind von dieser Änderung nicht betroffen und können weiterhin mit einem Ein-Faktor-Kennwort auf Snowsight zugreifen.

Bundle wird noch bekannt gegeben (Februar 2026 bis April 2026) [1] : MFA (obligatorisch) für alle neuen menschlichen Benutzer

Alle menschlichen Benutzer, die nach der Aktivierung des Verhaltensänderungs-Bundles erstellt werden, müssen bei der Authentifizierung mit einem Kennwort einen zweiten Faktor verwenden, einschließlich derer, die BI-Tools oder ähnliches verwenden.

Menschliche Benutzer, die bereits vor der Aktivierung des Bundles existierten, sind nicht betroffen. Diese Benutzer von Kennwörtern können bis März 2026 weiterhin BI oder ähnliche Tools (alles außer Snowsight) ohne einen zweiten Authentifizierungsfaktor verwenden.

Nehmen wir zum Beispiel an, Ihr Administrator entscheidet sich am 10. September 2025 für das mit diesem Meilenstein verbundene Verhaltensänderungs-Bundle. Alle menschlichen Benutzer, die an oder nach diesem Datum erstellt werden, müssen unabhängig von der Oberfläche einen zweiten Authentifizierungsfaktor verwenden. Menschliche Benutzer, die vor diesem Datum existierten, können weiterhin die reine Kennwort-Authentifizierung für BI-Tools verwenden, nicht aber Snowsight.

Bundle wird noch bekannt gegeben (Mai 2026 bis Juli 2026) [1] : Obligatorische MFA für alle menschlichen Benutzer (keine Ausnahmen)

Wenn das mit diesem Meilenstein verknüpfte Verhaltensänderungs-Bundle aktiviert ist, müssen alle neuen und bestehenden Benutzer einen zweiten Faktor verwenden, wenn sie sich mit einem Kennwort authentifizieren, ohne Ausnahme.

Meilensteine für Service-Benutzer

Ziel: Alle Benutzer des Dienstes müssen eine sichere Form der Authentifizierung verwenden.

Der Rollout zur Erreichung dieses Ziels besteht aus den folgenden Meilensteinen. Jeder Meilenstein beginnt mit der Veröffentlichung eines Verhaltensänderungs-Bundles und endet, wenn das Bundle allgemein aktiviert wird. Die mit dem Meilenstein verbundenen Beschränkungen werden durchgesetzt, sobald das Bundle aktiviert ist.

Benutzer mit TYPE=SERVICE können die Authentifizierung mit Kennwörtern nicht verwenden, es gibt keine Ausnahmen. Damit sich Dienste und Anwendungen vorübergehend mit einem Kennwort authentifizieren können, hat Snowflake den Benutzertyp LEGACY_SERVICE bereitgestellt. Die Migration weg von der Anmeldung mit Ein-Faktor-Kennwort konzentriert sich auf die schrittweise Abschaffung dieses LEGACY_SERVICE Benutzertyps, sodass alle nicht-menschlichen Benutzer vom Typ SERVICE sein müssen.

Bundle 2025_07 (Oktober 2025 bis Februar 2026) [2] : Keine neuen Legacy-Service-Benutzer

Alle nicht-menschlichen Benutzer, die nach der Aktivierung des Verhaltensänderungs-Bundles erstellt werden, müssen vom Typ SERVICE sein, was sie daran hindert, ein Kennwort zu verwenden. Der Typ LEGACY_SERVICE ist bei der Erstellung eines neuen Benutzerobjekts nicht mehr verfügbar. Darüber hinaus können Administratoren den Typ eines bestehenden Benutzers nicht in LEGACY_SERVICE ändern.

Nehmen wir zum Beispiel an, Ihr Administrator entscheidet sich am 10. Dezember 2025 für das mit diesem Meilenstein verbundene Verhaltensänderungs-Bundle. Nach diesem Datum ist TYPE=LEGACY_SERVICE eine ungültige Option, wenn ein CREATE USER- oder ALTER USER-Befehl ausgeführt wird.

Bundle wird noch bekannt gegeben (Juni 2026 - August 2026) [2]: Keine Benutzer von Legacy-Diensten

Wenn das mit diesem Meilenstein verbundene Verhaltensänderungs-Bundle aktiviert ist, wird allen nicht-menschlichen Benutzern die Verwendung eines Kennworts zur Authentifizierung verwehrt.

Der Benutzertyp LEGACY_SERVICE wird vollständig aufgelassen. Alle bestehenden Benutzer-Objekte mit TYPE=LEGACY_SERVICE werden auf TYPE=SERVICE migriert. Dadurch können sie kein Kennwort mehr verwenden.

Sprache: Deutsch