Authentification OAuth : Modification du comportement de la politique réseau (Reportée)¶

Authentification Snowflake OAuth : Modification de la politique réseau utilisée pour une requête du client vers Snowflake¶

Snowflake OAuth vous permet d’utiliser une politique réseau pour restreindre le trafic réseau du client OAuth et de l’utilisateur qui s’authentifie. Il peut y avoir trois politiques réseau différentes qui limitent ce trafic :

• Une politique réseau contrôlant les requêtes provenant du client OAuth. Cette politique réseau est associée à l’intégration de sécurité qui permet au client d’interagir avec Snowflake.

• Une politique réseau contrôlant les requêtes de l’utilisateur qui s’authentifie. Cette politique réseau est associée à l’utilisateur.

• Une politique réseau au niveau du compte qui prévaut lorsqu’il n’existe pas de politique réseau au niveau de l’intégration ou au niveau de l’utilisateur.

Ce changement de comportement affecte la politique réseau qui régit une requête du client OAuth vers Snowflake. Le diagramme suivant met en évidence la requête qui est affectée par ce changement :

Avant la modification:

La politique réseau de niveau utilisateur, et non la politique réseau de niveau intégration, régit une requête qui envoie un jeton d’accès du client OAuth à Snowflake comme serveur de ressources.

Après la modification:

La politique réseau au niveau de l’intégration, si elle est spécifiée, régit une requête qui envoie un jeton d’accès du client OAuth à Snowflake comme serveur de ressources. S’il n’existe pas de politique réseau au niveau de l’intégration, la politique réseau au niveau du compte prévaut.

Les politiques réseau qui régissent les autres requêtes adressées à Snowflake n’ont pas changé :

• Les demandes d’autorisation et de consentement de l’utilisateur envoyées par l’utilisateur à Snowflake sont toujours régies par la politique réseau au niveau de l’utilisateur, si elle est spécifiée.

• La demande de jeton d’accès envoyée du client OAuth à Snowflake est toujours régie par la politique réseau au niveau de l’intégration, si elle est spécifiée.

OAuth externe : La politique réseau au niveau de l’intégration est prioritaire¶

Lorsque ce bundle est activé, vous pouvez associer une politique réseau à une intégration de sécurité OAuth externe. Auparavant, seule une intégration de sécurité Snowflake OAuth pouvait être associée à une politique réseau.

Dans le cadre de ce changement, Snowflake ne prendra plus en compte les politiques réseau au niveau de l’utilisateur lors de la restriction du trafic réseau depuis le client OAuth. Snowflake appliquera cette modification de manière incrémentielle selon le calendrier suivant :

• Lorsque le changement est activé par défaut, Snowflake prend en compte la politique réseau au niveau de l’utilisateur et la politique réseau au niveau de l’intégration lors de la restriction des requêtes provenant du client OAuth.

  Pour éviter les échecs pendant cette période, joignez la politique réseau actuelle au niveau de l’utilisateur à l’intégration de sécurité. Le code suivant vous montre comment déterminer la politique réseau affectée à l’utilisateur, puis l’affectation de cette même politique à l’intégration.

  Recherchez la politique réseau associée à l’utilisateur :

  SHOW PARAMETERS LIKE 'network_policy' IN USER <user_name>;
  

  Copy

  Attachez la politique réseau renvoyée par la commande précédente à l’intégration de sécurité OAuth externe :

  ALTER SECURITY INTEGRATION <external_oauth_integration_name>
    SET NETWORK_POLICY = <network_policy_attached_to_user>;
  

  Copy

• Lorsque le changement est activé de manière générale, une politique réseau au niveau utilisateur n’a aucun effet sur les requêtes envoyées par le client OAuth à Snowflake. Snowflake vérifie ces requêtes par rapport à la politique réseau au niveau de l’intégration, puis vérifie la politique au niveau du compte. Comme la politique réseau au niveau utilisateur n’a aucun effet, vous devez la supprimer de l’utilisateur en exécutant la commande suivante :

  ALTER USER <user_name> UNSET NETWORK_POLICY;
  

  Copy

Réf : 2094