ALTER AUTHENTICATION POLICY¶

Modifie les propriétés d’une politique d’authentification.

Voir aussi :: CREATE AUTHENTICATION POLICY, DESCRIBE AUTHENTICATION POLICY, DROP AUTHENTICATION POLICY, SHOW AUTHENTICATION POLICIES

Syntaxe¶

ALTER AUTHENTICATION POLICY <name> RENAME TO <new_name>

ALTER AUTHENTICATION POLICY [ IF EXISTS ] <name> SET
  [ AUTHENTICATION_METHODS = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ MFA_AUTHENTICATION_METHODS = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ MFA_ENROLLMENT = { REQUIRED | OPTIONAL } ]
  [ MFA_POLICY= ( ALLOWED_METHODS = ( { 'ALL' | 'PASSKEY' | 'TOTP' | 'DUO' } [ , { 'PASSKEY' | 'TOTP' | 'DUO' } ... ] ) ) ]
  [ CLIENT_TYPES = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ SECURITY_INTEGRATIONS = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ PAT_POLICY = ( {list_of_properties} ) ]
  [ COMMENT = '<string_literal>' ]

ALTER AUTHENTICATION POLICY [ IF EXISTS ] <name> UNSET
  [ CLIENT_TYPES ]
  [ AUTHENTICATION_METHODS ]
  [ SECURITY_INTEGRATIONS ]
  [ MFA_AUTHENTICATION_METHODS ]
  [ MFA_ENROLLMENT ]
  [ MFA_POLICY ]
  [ PAT_POLICY ]
  [ COMMENT ]

Copy

Paramètres¶

name

Spécifie l’identificateur de la politique d’authentification à modifier.

Si l’identificateur contient des espaces ou des caractères spéciaux, toute la chaîne doit être délimitée par des guillemets doubles. Les identificateurs entre guillemets doubles sont également sensibles à la casse.

Pour plus d’informations, voir Exigences relatives à l’identificateur.

RENAME TO ...

Spécifie un nouveau nom pour une politique d’authentification existante.

SET ...

Spécifie une ou plusieurs propriétés à définir pour la politique d’authentification, séparées par des espaces, des virgules ou de nouvelles lignes.

AUTHENTICATION_METHODS = ( 'string_literal' [ , 'string_literal' , ... ] )

Modifie les méthodes d’authentification autorisées lors de la connexion. Ce paramètre accepte une ou plusieurs des valeurs suivantes :

Prudence

La restriction par méthode d’authentification peut avoir des conséquences inattendues, telles que le blocage des connexions de pilotes ou des intégrations de tiers.

ALL: Autorise toutes les méthodes d’authentification.
SAML: Permet des intégrations de sécurité SAML2. Si SAML est présent, une option de connexion SSO apparaît. Si SAML n’est pas présent, l’option de connexion SSO n’apparaît pas.
PASSWORD: Permet aux utilisateurs de s’authentifier à l’aide d’un nom d’utilisateur et d’un mot de passe.
OAUTH: Autorise External OAuth.
KEYPAIR: Permet l’authentification par paire de clés.
PROGRAMMATIC_ACCESS_TOKEN: Permet aux utilisateurs de s’authentifier à l’aide d’un jeton d’accès programmatique.

Par défaut : ALL.

MFA_AUTHENTICATION_METHODS = ( 'string_literal' [ , 'string_literal' , ... ] )

Une liste de méthodes d’authentification qui appliquent l’authentification multifactorielle (MFA) lors de la connexion. Les méthodes d’authentification non répertoriées dans ce paramètre ne demandent pas d’authentification multifactorielle.

Les méthodes d’authentification suivantes prennent en charge la MFA :

SAML
PASSWORD

Ce paramètre accepte une ou plusieurs des valeurs suivantes :

SAML: Invite les utilisateurs à la MFA, s’ils sont inscrits à la MFA, lors de l’authentification avec les intégrations de sécurité SAML2.
PASSWORD: Invite les utilisateurs à la MFA, s’ils sont inscrits à la MFA, lors de l’authentification avec un nom d’utilisateur et un mot de passe.

Par défaut : ('PASSWORD', 'SAML').

MFA_ENROLLMENT = { REQUIRED | OPTIONAL }

Indique si un utilisateur doit s’inscrire à l’authentification multifactorielle.

REQUIRED: Oblige les utilisateurs à s’inscrire à la MFA. Si cette valeur est utilisée, alors le paramètre CLIENT_TYPES doit inclure SNOWFLAKE_UI, parce que Snowsight est le seul endroit où les utilisateurs peuvent s’inscrire à l’authentification multifactorielle (MFA).
OPTIONAL: Les utilisateurs peuvent choisir de s’inscrire ou non à la MFA.

Par défaut : REQUIRED.

MFA_POLICY= ( ALLOWED_METHODS = ( { 'ALL' | 'PASSKEY' | 'TOTP' | 'DUO' } [ , { 'PASSKEY' | 'TOTP' | 'DUO' } ... ] ) )

Spécifie les méthodes d’authentification multifactorielle (MFA) que les utilisateurs peuvent utiliser comme deuxième facteur d’authentification. Vous pouvez spécifier plusieurs méthodes.

ALL: Les utilisateurs peuvent utiliser une clé d’accès, une application d’authentificateur ou Duo comme deuxième facteur d’authentification.
PASSKEY: Les utilisateurs peuvent utiliser une clé de sécurité comme deuxième facteur d’authentification.
TOTP: Les utilisateurs peuvent utiliser une application d’authentificateur comme deuxième facteur d’authentification.
DUO: Les utilisateurs peuvent utiliser Duo comme deuxième facteur d’authentification.

CLIENT_TYPES = ( 'string_literal' [ , 'string_literal' , ... ] )

Modifie les clients qui peuvent s’authentifier auprès de Snowflake.

Si un client tente de se connecter et qu’il ne correspond pas à l’une des valeurs valides de CLIENT_TYPES énumérées ci-dessous, la tentative de connexion échoue.

Si vous avez défini MFA_ENROLLMENT sur REQUIRED, vous devez inclure SNOWFLAKE_UI dans la liste CLIENT_TYPES pour permettre aux utilisateurs de s’inscrire à MFA.

Si vous souhaitez exclure SNOWFLAKE_UI de la liste CLIENT_TYPES, vous devez définir MFA_ENROLLMENT sur OPTIONAL.

The CLIENT_TYPES property of an authentication policy is a best effort method to block user logins based on specific clients. It should not be used as the sole control to establish a security boundary.

Cette propriété accepte une ou plusieurs des valeurs suivantes :

ALL: Autorise tous les clients à s’authentifier.
SNOWFLAKE_UI: Snowsight ou Classic Console, les interfaces Web de Snowflake.

Prudence

If SNOWFLAKE_UI is not included in the CLIENT_TYPES list while MFA_ENROLLMENT is set to REQUIRED, or MFA_ENROLLMENT is unspecified, MFA enrollment doesn’t work.
DRIVERS: Les pilotes permettent d’accéder à Snowflake à partir d’applications écrites dans des langages pris en charge. Par exemple, les pilotes Go, JDBC, .NET et Snowpipe Streaming.

Prudence

Si DRIVERS n’est pas inclus dans la liste CLIENT_TYPES , l’ingestion automatisée peut cesser de fonctionner.
SNOWFLAKE_CLI: Un client de ligne de commande pour se connecter à Snowflake et pour gérer des charges de travail centrées sur les développeurs et des opérations SQL.
SNOWSQL: Un client de ligne de commande pour se connecter à Snowflake.

Si un client tente de se connecter et qu’il ne fait pas partie des CLIENT_TYPES valides, la tentative de connexion échoue. Si CLIENT_TYPES n’est pas défini, n’importe quel client peut se connecter.

Par défaut : ALL.

SECURITY_INTEGRATIONS = ( 'string_literal' [ , 'string_literal' , ... ] )

Modifie les intégrations de sécurité auxquelles la politique d’authentification est associée. Ce paramètre n’a aucun effet lorsque SAML ou OAUTH ne figurent pas dans la liste AUTHENTICATION_METHODS.

Toutes les valeurs de la liste SECURITY_INTEGRATIONS doivent être compatibles avec les valeurs de la liste AUTHENTICATION_METHODS. Par exemple, si SECURITY_INTEGRATIONS contient une intégration de sécurité SAML et que AUTHENTICATION_METHODS contient OAUTH, vous ne pouvez pas créer la politique d’authentification.

ALL: Affiche toutes les intégrations de sécurité.

Par défaut : ALL.

PAT_POLICY = ( list_of_properties )

Spécifie les politiques pour les jetons d’accès programmatiques. Cet ensemble correspond à une liste délimitée par des espaces d’une ou plusieurs des propriétés et valeurs suivantes :

DEFAULT_EXPIRY_IN_DAYS = number_of_days

Spécifie le délai d’expiration par défaut (en jours) d’un jeton d’accès programmatique. Vous pouvez spécifier une valeur comprise entre 1 et la durée maximale (que vous pouvez spécifier en définissant MAX_EXPIRY_IN_DAYS).

Le délai d’expiration par défaut est de 15 jours.

Pour plus d’informations, voir Définition du délai d’expiration par défaut.

MAX_EXPIRY_IN_DAYS = number_of_days

Spécifie le nombre maximal de jours pouvant être paramétré pour le délai d’expiration d’un jeton d’accès programmatique. Vous pouvez spécifier une valeur comprise entre 1 et 365.

Le délai d’expiration maximal par défaut est de 365 jours.

Note

S’il existe des jetons d’accès programmatique dont le délai d’expiration dépasse le nouveau délai d’expiration maximal, les tentatives d’authentification avec ces jetons échoueront.

Par exemple, supposons que vous génériez un jeton d’accès programmatique nommé my_token avec un délai d’expiration de 7 jours. Si vous modifiez ultérieurement le délai d’expiration maximal de tous les jetons pour le porter à 2 jours, l’authentification avec my_token échouera car le délai d’expiration du jeton dépasse le nouveau délai d’expiration maximal.

Pour plus d’informations, voir Définition du délai d’expiration maximal.

NETWORK_POLICY_EVALUATION = { ENFORCED_REQUIRED | ENFORCED_NOT_REQUIRED | NOT_ENFORCED }

Spécifie comment les exigences de la politique réseau sont traitées pour les jetons d’accès programmatiques.

Par défaut, un utilisateur doit être soumis à une politique réseau avec une ou plusieurs règles réseau pour générer ou utiliser des jetons d’accès programmatiques :

Les utilisateurs de services (avec TYPE=SERVICE) doivent être soumis à une politique réseau pour générer et utiliser des jetons d’accès programmatiques.
Les utilisateurs humains (avec TYPE=PERSON) doivent être soumis à une politique réseau leur permettant d’utiliser des jetons d’accès programmatiques.

Pour annuler ce comportement, donnez à cette propriété l’une des valeurs suivantes :

ENFORCED_REQUIRED (comportement par défaut)

L’utilisateur doit être soumis à une politique réseau pour générer et utiliser des jetons d’accès programmatiques.

Si l’utilisateur est soumis à une politique réseau, celle-ci est appliquée lors de l’authentification.

ENFORCED_NOT_REQUIRED

L’utilisateur ne doit pas être soumis à une politique réseau pour générer et utiliser des jetons d’accès programmatiques.

Si l’utilisateur est soumis à une politique réseau, celle-ci est appliquée lors de l’authentification.

NOT_ENFORCED

L’utilisateur ne doit pas être soumis à une politique réseau pour générer et utiliser des jetons d’accès programmatiques.

Si l’utilisateur est soumis à une politique réseau, celle-ci n’est pas appliquée lors de l’authentification.

Par exemple :

PAT_POLICY=(
  DEFAULT_EXPIRY_IN_DAYS=30
  MAX_EXPIRY_IN_DAYS=365
  NETWORK_POLICY_EVALUATION = ENFORCED_NOT_REQUIRED
);

Copy

COMMENT = 'string_literal': Modifie le commentaire de la politique d’authentification.

UNSET ...

Spécifie les propriétés à désactiver pour la politique d’authentification, qui les réinitialise aux valeurs par défaut :

Exigences en matière de contrôle d’accès¶

Un rôle utilisé pour exécuter cette opération doit au minimum disposer des privilèges suivants :

Privilège	Objet	Remarques
OWNERSHIP	Politique d’authentification	Only the SECURITYADMIN role, or a higher role, has this privilege by default. The privilege can be granted to additional roles as needed.

Le privilège USAGE relatif à la base de données et au schéma parents est exigé pour effectuer des opérations sur tout objet d’un schéma.

Pour obtenir des instructions sur la création d’un rôle personnalisé avec un ensemble spécifique de privilèges, voir Création de rôles personnalisés.

Pour des informations générales sur les rôles et les privilèges accordés pour effectuer des actions SQL sur des objets sécurisables, voir Aperçu du contrôle d’accès.

Notes sur l’utilisation¶

Si vous souhaitez mettre à jour une politique d’authentification existante et que vous avez besoin de voir la définition de la politique, exécutez la commande DESCRIBE AUTHENTICATION POLICY ou la fonction GET_DDL.

Exemples¶

Modifier la liste des clients autorisés dans une politique d’authentification :

ALTER AUTHENTICATION POLICY restrict_client_types_policy SET CLIENT_TYPES = ('SNOWFLAKE_UI', 'SNOWSQL');

Copy