Redirection automatique des utilisateurs vers votre fournisseur d’identité¶

Cette rubrique décrit comment configurer Snowflake pour rediriger automatiquement les utilisateurs vers votre fournisseur d’identité (IdP) pour l’authentification lorsqu’ils accèdent à une interface Snowflake, au lieu de présenter d’abord la page de connexion Snowflake.

Vous configurez la redirection via la propriété de compte LOGIN_IDP_REDIRECT. Chaque interface (par exemple l’entrée Snowsight, Streamlit dans Snowflake ou Snowpark Container Services) peut être mappée à une intégration de sécurité SAML2 différente, ou vous pouvez définir un seul mappage par défaut qui s’applique à chaque interface.

Vue d’ensemble¶

Lorsque l’authentification fédérée est configurée pour votre compte, le flux de connexion par défaut demande à l’utilisateur d’atteindre d’abord la page de connexion de Snowflake, puis de choisir de se connecter via votre IdP. Avec LOGIN_IDP_REDIRECT configuré, Snowflake ignore complètement la page de connexion de Snowflake : l’utilisateur est envoyé directement vers l’IdP pour s’authentifier, puis est renvoyé à l’interface Snowflake demandée.

Cela rationalise le flux de connexion pour les utilisateurs dont le seul chemin d’authentification est l’IdP configuré pour cette interface. C’est particulièrement utile pour les expériences utilisateur intégrées, comme Streamlit dans les URLs de la visionneuse de l’application Snowflake et les points de terminaison d’entrée Snowpark Container Services, où la page de connexion Snowflake ajoute une étape supplémentaire avant que l’utilisateur n’atteigne le seul IdP auprès duquel ils peuvent s’authentifier.

Conditions préalables¶

Avant de configurer LOGIN_IDP_REDIRECT, assurez-vous que les conditions suivantes sont remplies :

Vous avez au moins une intégration de sécurité SAML2 configurée et activée. La propriété de redirection n’accepte que les intégrations de sécurité SAML2. Pour obtenir des instructions, voir Configuration de Snowflake pour l’utilisation de l’authentification fédérée.
Vous avez le rôle ACCOUNTADMIN, ou un rôle avec les privilèges requis pour exécuter ALTER ACCOUNT.
Au moins un administrateur de compte peut se connecter avec une méthode d’authentification de sauvegarde (comme un mot de passe Snowflake avec MFA) afin que votre organisation puisse récupérer l’accès si l’IdP devient indisponible. Voir Gestion des utilisateurs avec l’authentification fédérée activée.

Interfaces prises en charge¶

Vous pouvez configurer une redirection pour l’une des interfaces suivantes de Snowflake. Chaque interface peut être mappée à une intégration de sécurité SAML2 différente.

DEFAULT

S’applique à deux situations :

Flux de connexion commençant par app.snowflake.com (la page de connexion Snowsight). Lorsque DEFAULT est défini, ces flux sont redirigés vers l’IdP au lieu d’afficher l’écran de connexion Snowflake.
Toute autre clé d’interface répertoriée ci-dessous que vous ne configurez pas explicitement. Par exemple, si vous définissez DEFAULT mais pas STREAMLIT, les URLs de la visionneuse d’application Streamlit dans Snowflake utilisent le mappage DEFAULT.

Pour choisir une interface spécifique hors de la solution de secours DEFAULT, définissez cette interface sur NULL. Voir Supprimer ou arrêter une redirection.

SNOWFLAKE_INTELLIGENCE

S’applique aux URLs Snowflake Intelligence. Cela remplace le mappage DEFAULT pour les URLs Snowflake Intelligence. Définissez cette clé sur NULL pour désinscrire les URLs Snowflake Intelligence de la solution de secours DEFAULT. Pour des conseils spécifiques à l’interface, y compris la configuration DNS requise pour accéder à Snowflake Intelligence avec une connexion privée, voir Rediriger les utilisateurs vers votre fournisseur d’identité.

STREAMLIT

S’applique aux URLs de la visionneuse d’application Streamlit in Snowflake. Remplace le mappage DEFAULT pour les URLs de la visionneuse de l’application. Définissez cette clé sur NULL pour activer les URLs de la visionneuse de l’application Streamlite dans la solution de secours DEFAULT. Pour des conseils spécifiques à l’interface, voir Redirigez les utilisateurs de l’application vers votre fournisseur d’identité.

SPCS

S’applique aux points de terminaison d’entrée de Snowpark Container Services. Remplace le mappage DEFAULT pour les URLs d’entrée SPCS. Définissez cette clé sur NULL pour désinscrire les URLs d’entrée SPCS de la solution de secours DEFAULT. Pour des conseils spécifiques à l’interface, voir Considérations relatives aux entrées et à votre fournisseur d’identité (IdP).

Snowflake résout la redirection pour une interface dans cet ordre :

Si la clé d’interface est définie explicitement, ce mappage est utilisé. Une valeur de NULL signifie « pas de redirection pour cette interface ».
Sinon, si DEFAULT est défini, le mappage DEFAULT est utilisé.
Sinon, la page de connexion standard de Snowflake s’affiche.

Configurer la redirection¶

Utilisez ALTER ACCOUNT pour définir LOGIN_IDP_REDIRECT. Vous pouvez mapper plusieurs interfaces dans une seule instruction. Remplacez your_security_integration par le nom d’une intégration de sécurité SAML2 existante, activée.

Pour rediriger toutes les interfaces du compte vers le même IdP :

ALTER ACCOUNT SET LOGIN_IDP_REDIRECT = (
  DEFAULT = my_saml_integration
);

Pour configurer une autre intégration de sécurité SAML2 pour des interfaces individuelles, répertoriez-les dans la même instruction. Les mappages par interface remplacent le mappage DEFAULT pour cette interface.

ALTER ACCOUNT SET LOGIN_IDP_REDIRECT = (
  DEFAULT = my_saml_integration,
  SNOWFLAKE_INTELLIGENCE = my_intelligence_saml_integration,
  STREAMLIT = my_streamlit_saml_integration,
  SPCS = my_spcs_saml_integration
);

Définir à nouveau LOGIN_IDP_REDIRECT remplace le mappage entier par les nouvelles valeurs. Dressez la liste de toutes les interfaces dont vous souhaitez conserver la configuration chaque fois que vous modifiez la propriété.

Voir la configuration actuelle¶

Pour voir quelles interfaces sont actuellement mappées, interrogez le paramètre de compte LOGIN_IDP_REDIRECT en lecture seule. Le paramètre renvoie un objet JSON qui résume l’ensemble du mappage sur le compte.

SHOW PARAMETERS LIKE 'LOGIN_IDP_REDIRECT' IN ACCOUNT;

Pour plus d’informations, voir LOGIN_IDP_REDIRECT (lecture seule) dans la référence des paramètres.

Supprimer ou arrêter une redirection¶

Pour arrêter la redirection d’une seule interface vers votre IdP tout en laissant les autres mappages en place, définissez cette interface sur NULL dans une nouvelle instruction ALTER ACCOUNT SET LOGIN_IDP_REDIRECT. Les utilisateurs de cette interface voient alors la page de connexion standard de Snowflake. Définir une interface sur NULL désinscrit également cette interface de la solution de secours DEFAULT.

Par exemple, pour conserver le mappage DEFAULT mais arrêter la redirection des URLs de la visionneuse de l’application Streamlit :

ALTER ACCOUNT SET LOGIN_IDP_REDIRECT = (
  DEFAULT = my_saml_integration,
  STREAMLIT = NULL
);

Pour supprimer tous les mappages et restaurer le flux de connexion standard pour chaque interface, désactivez la propriété :

ALTER ACCOUNT UNSET LOGIN_IDP_REDIRECT;

Contourner la redirection pour atteindre la page de connexion de Snowflake¶

Snowflake prend en charge une procédure de récupération qui vous permet d’atteindre la page de connexion standard même si une redirection est configurée. Utilisez cette procédure lorsque vous ne pouvez pas vous connecter via votre IdP, ou lorsque vous devez vous connecter avec une méthode d’authentification de sauvegarde, telle qu’un mot de passe Snowflake avec MFA.

La procédure s’appuie sur le paramètre OIDC``prompt=login`` standard, que auquel Snowflake se conforme pour supprimer la redirection de l’IdP pour une seule tentative de connexion.

Pour l’utiliser :

Dans votre navigateur, ouvrez les outils de développement et sélectionnez l’onglet Réseau.
Démarrez le chargement de l’URL Snowflake qui est en cours de redirection.
Trouvez la requête au point de terminaison /oauth/authorize sur snowflakecomputing.com et copiez son URL complète.
Ajoutez &prompt=login à la fin de l’URL et chargez l’URL modifiée dans votre navigateur.

Snowflake affiche la page de connexion standard, où vous pouvez choisir n’importe quelle méthode d’authentification activée pour votre utilisateur.

Important

Assurez-vous qu’au moins un administrateur de compte dispose d’une méthode d’authentification de sauvegarde fonctionnelle (par exemple, un mot de passe Snowflake), afin que votre organisation puisse récupérer l’accès si l’IdP devient indisponible. Voir Gestion des utilisateurs avec l’authentification fédérée activée pour des conseils sur la gestion des identifiants de connexion de l’administrateur dans un environnement fédéré.

Considérations¶

Gardez les points suivants à l’esprit lorsque vous configurez LOGIN_IDP_REDIRECT :

Seules les intégrations de sécurité SAML2sont prises en charge. Les autres types d’intégrations de sécurité ne peuvent pas être référencés par la propriété.
L’intégration de sécurité référencée doit exister et être activée. Si vous supprimez ou désactivez l’intégration de sécurité, les utilisateurs de l’interface concernée reçoivent une erreur lorsqu’ils tentent de se connecter. Mettez à jour ou supprimez le mappage avant de désactiver ou d’abandonner l’intégration.
ALTER ACCOUNT SET LOGIN_IDP_REDIRECT remplace l’ensemble du mappage. Incluez toujours toutes les interfaces dont vous souhaitez conserver la configuration.
ALTER ACCOUNT UNSET LOGIN_IDP_REDIRECT supprime tous les mappages en une seule fois.
La redirection contourne la page de connexion Snowflake pour les interfaces configurées, y compris la possibilité de choisir une méthode d’authentification différente. Les utilisateurs qui doivent se connecter avec une méthode d’authentification de sauvegarde doivent suivre la procédure de récupération décrite dans Contourner la redirection pour atteindre la page de connexion de Snowflake.