Planifier l’abandon de la connexion par mot de passe à facteur unique¶

Pour améliorer la sécurité de tous ses clients, Snowflake déploie des changements exigeant l’authentification multifactorielle (MFA) pour tous les utilisateurs humains utilisant des mots de passe, et l’interdiction des mots de passe pour tous les utilisateurs de services. Cette rubrique décrit comment les connexions par mot de passe à facteur unique seront abandonnées afin que vous puissiez planifier en conséquence.

Important

En octobre 2025, Snowflake a simplifié la chronologie présentée dans cette rubrique. Le nouveau calendrier consolide les étapes initiales et prolonge la date d’application finale d’août 2026 à octobre 2026. Ce changement rationalise le processus d’adoption de l’authentification multifactorielle (MFA) et ont été conçus en réponse aux commentaires directs des clients concernant la complexité du respect des délais d’étapes initiaux.

Cette planification révisée donne à votre organisation plus de temps et de clarté pour planifier la migration de vos charges de travail actuelles qui reposent sur des mots de passe. Cela vous donne également la possibilité d’adopter nos améliorations de sécurité récemment publiées et conçues pour faciliter votre transition. Ces améliorations de sécurité comprennent la fédération d’identités de charge de travail pour l’authentification sans secret de vos charges de travail de service et les codes d’accès à usage unique (OTP) comme nouvelle méthode MFA pour vos scénarios de situation d’urgence.

Le processus d’abandon décrit dans cette rubrique ne s’applique pas aux comptes de lecteur ou aux comptes d’essai. Vous pouvez continuer à vous connecter à ces types de comptes avec un mot de passe à facteur unique.

Utilisateurs humains et utilisateurs services¶

Les objets utilisateur dans Snowflake ne correspondent pas toujours à des utilisateurs humains. Certains utilisateurs se connectent à Snowflake sans interaction humaine - par exemple, une application ou un service. Ces utilisateurs sont considérés comme des utilisateurs services.

Les administrateurs utilisent le paramètre TYPE d’un objet utilisateur pour définir si un utilisateur est un utilisateur humain ou un utilisateur service.

Pour les utilisateurs humains, TYPE=PERSON. Si vous ne définissez pas le paramètre TYPE ou si vous lui attribuez la valeur NULL, l’utilisateur est traité comme un utilisateur humain.
Pour les utilisateurs services, TYPE=SERVICE.

Note

Le type d’utilisateur LEGACY_SERVICE aide les clients à faire passer les utilisateurs service à une forme d’authentification sécurisée. Le fait de définir un type d’utilisateur sur LEGACY_SERVICE permet temporairement à l’utilisateur de s’authentifier avec un mot de passe même s’il s’agit d’une application ou d’un service. Le déploiement décrit dans cette rubrique implique l’obsolescence progressive de ce type d’utilisateur.

La distinction entre un utilisateur humain et un utilisateur service est importante car ce déploiement affecte différemment ces deux types d’utilisateurs. Afin de renforcer la sécurité pour les deux types d’utilisateurs, l’obsolescence de la connexion par mot de passe à facteur unique se comporte comme suit :

Tous les utilisateurs humains qui utilisent l’authentification par mot de passe seront tenus d’utiliser un deuxième facteur d’authentification.
Tous les utilisateurs de services hérités qui utilisent actuellement l’authentification par mot de passe seront tenus de migrer vers une méthode d’authentification plus sécurisée.

Calendrier d’obsolescence¶

Le tableau suivant fournit le calendrier de l’obsolescence de la connexion par mot de passe à facteur unique.

Date estimée	Utilisateurs concernés	Étape
Septembre 2025 - Janvier 2026	Utilisateurs humains	MFA obligatoire pour tous les utilisateurs de Snowsight
Mai 2026 - Juillet 2026	Utilisateurs humains Utilisateurs des services hérités	Authentification forte pour les NEW(nouveaux) utilisateurs
Août 2026 - Oct. 2026	Utilisateurs humains Utilisateurs des services hérités	Authentification forte pour les ALL(nouveaux) utilisateurs

Étape 1 : obligatoire MFA pour tous les utilisateurs de Snowsight (nouveaux et existants)¶

L’étape 1 est mise en œuvre en utilisant le processus de publication de changement de comportement de Snowflake. Dans ce processus, Snowflake publie un ensemble de changements de comportement chaque mois. Étant donné que les changements seront inclus dans un bundle de changements de comportement, l’application des nouvelles restrictions coïncide avec le cycle de vie du bundle.

Pour plus d’informations sur le cycle de vie des bundles de changements de comportement afin de planifier l’application de cette étape, voir Politique de changement de comportement.

** Bundle 2025_06 (Septembre 2025 - Janvier 2026)** [1]

Objectif	Nouveau comportement
Obligatoire MFA pour tous les utilisateurs de Snowsight	Les utilisateurs humains doivent s’authentifier avec un deuxième facteur lorsqu’ils utilisent un mot de passe pour accéder à Snowsight, sans aucune exception. Gardez à l’esprit les points suivants : Cette étape concerne uniquement Snowsight. Les utilisateurs humains peuvent continuer à utiliser un mot de passe à facteur unique pour accéder au service Snowflake à partir d’outils d’aide à la décision (BI) et d’outils similaires, même après avoir utilisé Snowsight pour s’inscrire à la MFA. Vous pouvez choisir d’appliquer la MFA à ces autres outils ; les utilisateurs qui sont déjà inscrits à la MFA et qui utilisent la MFA en dehors de Snowsight continueront d’utiliser la MFA. Les politiques d’authentification qui ont mis en place l’inscription facultative à la MFA pour Snowsight sont annulées. Comme les utilisateurs qui s’authentifient avec Snowflake OAuth utilisent l’interface de connexion Snowsight, ils doivent être inscrits à la MFA. Les utilisateurs de l’authentification unique ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight sans modification. Les utilisateurs service hérités (`TYPE=LEGACY_SERVICE`) ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight à l’aide d’un mot de passe à facteur unique.

Objectif

Nouveau comportement

Obligatoire MFA pour tous les utilisateurs de Snowsight

Les utilisateurs humains doivent s’authentifier avec un deuxième facteur lorsqu’ils utilisent un mot de passe pour accéder à Snowsight, sans aucune exception.

Gardez à l’esprit les points suivants :

Cette étape concerne uniquement Snowsight. Les utilisateurs humains peuvent continuer à utiliser un mot de passe à facteur unique pour accéder au service Snowflake à partir d’outils d’aide à la décision (BI) et d’outils similaires, même après avoir utilisé Snowsight pour s’inscrire à la MFA. Vous pouvez choisir d’appliquer la MFA à ces autres outils ; les utilisateurs qui sont déjà inscrits à la MFA et qui utilisent la MFA en dehors de Snowsight continueront d’utiliser la MFA.
Les politiques d’authentification qui ont mis en place l’inscription facultative à la MFA pour Snowsight sont annulées.
Comme les utilisateurs qui s’authentifient avec Snowflake OAuth utilisent l’interface de connexion Snowsight, ils doivent être inscrits à la MFA.
Les utilisateurs de l’authentification unique ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight sans modification.
Les utilisateurs service hérités (TYPE=LEGACY_SERVICE) ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight à l’aide d’un mot de passe à facteur unique.

Pour des informations détaillées sur la manière dont les modifications de ce bundle affectent les mots de passe et l’authentification SSO pour vos utilisateurs, voir Application à venir de l’authentification multifactorielle (MFA) pour les connexions Snowsight avec des mots de passe à un seul facteur (article de la base de connaissances).

Étape 2 : authentification forte pour les nouveaux utilisateurs¶

L’étape 2 sera appliquée dans les comptes de manière progressive pendant une période de trois mois. Vous recevrez une notification avec la date d’application pour votre compte.

Mai 2026 - Juillet 2026** [2]

Objectif	Nouveau comportement
MFA obligatoire pour tous les nouveaux utilisateurs humains	Tous les utilisateurs humains qui sont créés après l’application de cette étape doivent utiliser un deuxième facteur lors de l’authentification avec un mot de passe, y compris ceux qui utilisent les outils BI ou similaires. Les utilisateurs humains qui existaient avant que l’étape ne soit appliquée ne sont pas concernés. Ces utilisateurs de mot de passe peuvent continuer à utiliser les outils BI ou similaires (tout sauf Snowsight) sans deuxième facteur d’authentification jusqu’à l’étape suivante. Par exemple, supposons que cette étape soit appliquée le 15 mai 2026. Tous les utilisateurs humains créés à cette date ou après cette date doivent utiliser un deuxième facteur d’authentification, quelle que soit la surface. Les utilisateurs humains qui existaient avant cette date peuvent continuer à utiliser l’authentification par mot de passe seul pour les outils BI, mais pas Snowsight.
Pas de nouveaux utilisateurs de services hérités	Tous les utilisateurs non humains créés après l’application de l’étape doivent être de type `SERVICE`, ce qui les empêche d’utiliser un mot de passe. Le type `LEGACY_SERVICE` n’est plus disponible lors de la création d’un nouvel objet utilisateur. En outre, les administrateurs ne peuvent pas modifier le type d’un utilisateur existant en `LEGACY_SERVICE`. Par exemple, supposons que cette étape soit appliquée le 15 mai 2026. Après cette date, `TYPE=LEGACY_SERVICE` est une option non valide lors de l’exécution d’une commande CREATE USER ou ALTER USER.

Objectif

Nouveau comportement

MFA obligatoire pour tous les nouveaux utilisateurs humains

Tous les utilisateurs humains qui sont créés après l’application de cette étape doivent utiliser un deuxième facteur lors de l’authentification avec un mot de passe, y compris ceux qui utilisent les outils BI ou similaires.

Les utilisateurs humains qui existaient avant que l’étape ne soit appliquée ne sont pas concernés. Ces utilisateurs de mot de passe peuvent continuer à utiliser les outils BI ou similaires (tout sauf Snowsight) sans deuxième facteur d’authentification jusqu’à l’étape suivante.

Par exemple, supposons que cette étape soit appliquée le 15 mai 2026. Tous les utilisateurs humains créés à cette date ou après cette date doivent utiliser un deuxième facteur d’authentification, quelle que soit la surface. Les utilisateurs humains qui existaient avant cette date peuvent continuer à utiliser l’authentification par mot de passe seul pour les outils BI, mais pas Snowsight.

Pas de nouveaux utilisateurs de services hérités

Tous les utilisateurs non humains créés après l’application de l’étape doivent être de type SERVICE, ce qui les empêche d’utiliser un mot de passe. Le type LEGACY_SERVICE n’est plus disponible lors de la création d’un nouvel objet utilisateur. En outre, les administrateurs ne peuvent pas modifier le type d’un utilisateur existant en LEGACY_SERVICE.

Par exemple, supposons que cette étape soit appliquée le 15 mai 2026. Après cette date, TYPE=LEGACY_SERVICE est une option non valide lors de l’exécution d’une commande CREATE USER ou ALTER USER.

Étape 3 : authentification forte pour tous les utilisateurs¶

L’étape 3 sera appliquée dans les comptes de manière progressive pendant une période de trois mois. Vous recevrez une notification avec la date d’application pour votre compte.

Août 2026 - Octobre 2026 [3]

Objectif	Nouveau comportement
Obligatoire MFA pour tous les utilisateurs humains	Lorsque cette étape est appliquée, tous les utilisateurs humains nouveaux et existants doivent utiliser un deuxième facteur lors de l’authentification avec un mot de passe, sans exception.
Pas de nouveaux utilisateurs de services hérités	Lorsque cette étape est appliquée, tous les utilisateurs non humains ne peuvent pas utiliser un mot de passe pour s’authentifier. Le type d’utilisateur `LEGACY_SERVICE` est totalement obsolète. Tous les objets utilisateurs existants avec `TYPE=LEGACY_SERVICE` sont migrés vers `TYPE=SERVICE`, ce qui les empêche d’utiliser un mot de passe.

Objectif

Nouveau comportement

Obligatoire MFA pour tous les utilisateurs humains

Lorsque cette étape est appliquée, tous les utilisateurs humains nouveaux et existants doivent utiliser un deuxième facteur lors de l’authentification avec un mot de passe, sans exception.

Pas de nouveaux utilisateurs de services hérités

Lorsque cette étape est appliquée, tous les utilisateurs non humains ne peuvent pas utiliser un mot de passe pour s’authentifier.

Le type d’utilisateur LEGACY_SERVICE est totalement obsolète. Tous les objets utilisateurs existants avec TYPE=LEGACY_SERVICE sont migrés vers TYPE=SERVICE, ce qui les empêche d’utiliser un mot de passe.