Planifier l’abandon de la connexion par mot de passe à facteur unique¶
Afin d’améliorer la sécurité de tous ses clients, Snowflake a décidé d’exiger l’authentification multifactorielle (MFA) pour tous les utilisateurs humains utilisant des mots de passe, et d’interdire les mots de passe pour tous les utilisateurs services. Ces changements seront mis en œuvre dans le cadre de plusieurs versions de changements de comportement (BCRs). Cette rubrique décrit comment se passera l’obsolescence des connexions par mot de passe à facteur unique afin que vous puissiez planifier en conséquence.
Note
Le processus d’obsolescence décrit dans cette rubrique ne s’applique pas aux comptes de lecteur, aux comptes Open Catalog et aux comptes d’essai. Vous pouvez continuer à vous connecter à ces types de comptes avec un mot de passe à facteur unique.
Comprendre le processus de déploiement¶
Le déploiement de l’obsolescence de la connexion par mot de passe à facteur unique est décomposé en plusieurs étapes.
Chaque étape est mise en œuvre à l’aide du processus de version de changement de comportement établi par Snowflake. Dans le cadre de ce processus, Snowflake lance un bundle de changements de comportement tous les mois. Comme les changements seront inclus dans un bundle de changements de comportement, l’application des nouvelles restrictions coïncidera avec le cycle de vie du bundle.
Pour plus d’informations sur le cycle de vie des bundles de changements de comportement afin que vous puissiez planifier la mise en œuvre de chaque étape, consultez Politique de changement de comportement.
Utilisateurs humains et utilisateurs services¶
Les objets utilisateur dans Snowflake ne correspondent pas toujours à des utilisateurs humains. Certains utilisateurs se connectent à Snowflake sans interaction humaine - par exemple, une application ou un service. Ces utilisateurs sont considérés comme des utilisateurs services.
Les administrateurs utilisent le paramètre TYPE
d’un objet utilisateur pour définir si un utilisateur est un utilisateur humain ou un utilisateur service.
Pour les utilisateurs humains,
TYPE=PERSON
. Si vous ne définissez pas le paramètreTYPE
ou si vous lui attribuez la valeur NULL, l’utilisateur est traité comme un utilisateur humain.Pour les utilisateurs services,
TYPE=SERVICE
.Note
Le type d’utilisateur
LEGACY_SERVICE
aide les clients à faire passer les utilisateurs service à une forme d’authentification sécurisée. Le fait de définir un type d’utilisateur surLEGACY_SERVICE
permet temporairement à l’utilisateur de s’authentifier avec un mot de passe même s’il s’agit d’une application ou d’un service. Le déploiement décrit dans cette rubrique implique l’obsolescence progressive de ce type d’utilisateur.
La distinction entre un utilisateur humain et un utilisateur service est importante car ce déploiement affecte différemment ces deux types d’utilisateurs. Afin de renforcer la sécurité pour les deux types d’utilisateurs, l’obsolescence de la connexion par mot de passe à facteur unique se comporte comme suit :
Tous les utilisateurs humains qui utilisent l’authentification par mot de passe devront utiliser un deuxième facteur d’authentification. Pour obtenir un calendrier décrivant la manière dont Snowflake atteindra cet objectif, voir Étapes pour les utilisateurs humains.
Tous les utilisateurs service qui utilisent actuellement l’authentification par mot de passe devront passer à une méthode d’authentification plus sûre. Pour un calendrier décrivant la manière dont Snowflake atteindra cet objectif, voir Étapes pour les utilisateurs services.
Calendrier d’obsolescence¶
Le tableau suivant fournit le calendrier de l’obsolescence de la connexion par mot de passe à facteur unique.
Date estimée |
Utilisateurs concernés |
Étape |
---|---|---|
Juin 2025 - Août 2025 |
Utilisateurs humains |
|
Août 2025 - Octobre 2025 |
Utilisateurs humains |
|
Nov. 2025 - Jan. 2026 |
Utilisateurs des services |
|
Mars 2026 - Mai 2026 |
Utilisateurs humains |
|
Juin 2026 - Août 2026 |
Utilisateurs des services |
Étapes pour les utilisateurs humains¶
Objectif : tous les utilisateurs humains qui s’authentifient avec des mots de passe doivent utiliser un deuxième facteur d’authentification.
La mise en œuvre de cet objectif comprend les étapes suivantes. Chaque étape commence par le lancement d’un bundle de changements de comportement (c’est-à-dire, le début de la période de test) et se termine lorsque le bundle devient généralement opérationnel. Les restrictions associées à l’étape sont appliquées dès que le bundle est activé.
- 2025_04 bundle (juin 2025 - août 2025) [1] N- : MFA obligatoire pour tous les utilisateurs de Snowsight (nouveaux et existants)
Les utilisateurs humains doivent s’authentifier avec un deuxième facteur lorsqu’ils utilisent un mot de passe pour accéder à Snowsight, sans aucune exception.
Gardez à l’esprit les points suivants :
Cette étape concerne uniquement Snowsight. Les utilisateurs humains peuvent continuer à utiliser un mot de passe à facteur unique pour accéder au service Snowflake à partir d’outils d’aide à la décision (BI) et d’outils similaires, même après avoir utilisé Snowsight pour s’inscrire à la MFA. Vous pouvez choisir d’appliquer la MFA à ces autres outils ; les utilisateurs qui sont déjà inscrits à la MFA et qui utilisent la MFA en dehors de Snowsight continueront d’utiliser la MFA.
Les politiques d’authentification qui ont mis en place l’inscription facultative à la MFA pour Snowsight sont annulées.
Comme les utilisateurs qui s’authentifient avec Snowflake OAuth utilisent l’interface de connexion Snowsight, ils doivent être inscrits à la MFA.
Les utilisateurs de l’authentification unique ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight sans modification.
Les utilisateurs service hérités (
TYPE=LEGACY_SERVICE
) ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight à l’aide d’un mot de passe à facteur unique.
- 2025_07 bundle (août 2025 - octobre 2025) [1] N- : MFA obligatoire pour tous les nouveaux utilisateurs humains
Tous les utilisateurs humains créés après l’activation du bundle de changements de comportement doivent s’authentifier à l’aide d’un deuxième facteur, y compris ceux qui utilisent des outils BI ou similaires.
Les utilisateurs humains qui existaient avant l’activation du bundle ne sont pas concernés. Ces utilisateurs de mots de passe peuvent continuer à utiliser des outils BI ou similaires (n’importe lequel sauf Snowsight) sans deuxième facteur d’authentification jusqu’en mars 2026.
Par exemple, supposons que votre administrateur opte pour le bundle de changements de comportement associé à cette étape le 10 septembre 2025. Tous les utilisateurs humains créés à partir de cette date doivent utiliser un deuxième facteur d’authentification, quelle que soit la surface. Les utilisateurs humains qui existaient avant cette date peuvent continuer à utiliser l’authentification uniquement par mot de passe pour les outils BI, mais pas Snowsight.
- Bundle à annoncer (mars 2026 - mai 2026) [1] N- : MFA obligatoire pour tous les utilisateurs humains (sans exception)
Lorsque le bundle de changements de comportement associé à cette étape est activé, tous les utilisateurs humains nouveaux et existants doivent utiliser un deuxième facteur lors de l’authentification avec un mot de passe, sans aucune exception.
Étapes pour les utilisateurs services¶
Objectif : tous les utilisateurs services doivent utiliser une forme d’authentification sécurisée.
La mise en œuvre de cet objectif comprend les étapes suivantes. Chaque étape commence par le lancement d’un bundle de changements de comportement et se termine lorsque le bundle devient généralement opérationnel. Les restrictions associées à l’étape sont appliquées dès que le bundle est activé.
Les utilisateurs de TYPE=SERVICE
ne peuvent pas utiliser l’authentification par mot de passe, sans aucune exception. Pour permettre temporairement aux services et aux applications de s’authentifier avec un mot de passe, Snowflake a fourni le type d’utilisateur LEGACY_SERVICE
. La migration de la connexion par mot de passe à facteur unique repose sur l’obsolescence progressive de ce type d’utilisateur LEGACY_SERVICE
, de sorte que tous les utilisateurs non humains doivent être de type SERVICE
.
- Bundle à annoncer (novembre 2025 - janvier 2026) [2] : Pas de nouveaux utilisateurs service hérités
Tous les utilisateurs non humains créés après l’activation du bundle de changements de comportement doivent être de type
SERVICE
, ce qui les empêche d’utiliser un mot de passe. Le typeLEGACY_SERVICE
n’est plus disponible lors de la création d’un nouvel objet utilisateur. En outre, les administrateurs ne peuvent pas changer le type d’un utilisateur existant enLEGACY_SERVICE
.Par exemple, supposons que votre administrateur opte pour le bundle de changements de comportement associé à cette étape le 10 décembre 2025. Après cette date,
TYPE=LEGACY_SERVICE
est une option non valide lors de l’exécution d’une commande CREATE USER ou ALTER USER.
- Bundle à annoncer (juin 2026 - août 2026) [2] : Pas d’utilisateurs services hérités
Lorsque le bundle de changements de comportement associé à cette étape est activé, tous les utilisateurs non humains ne peuvent pas utiliser de mot de passe pour s’authentifier.
Le type d’utilisateur
LEGACY_SERVICE
est totalement obsolète. Tous les objets utilisateurs existants avecTYPE=LEGACY_SERVICE
sont migrés versTYPE=SERVICE
, ce qui les empêche d’utiliser un mot de passe.
Toutes les dates sont estimées et dépendent du lancement et du cycle de vie du bundle. Pour comprendre ce cycle de vie, voir Bundles mensuels de changements de comportement.
Demander la MFA en avance sur la planification¶
Compte tenu de l’amélioration de la sécurité associée au blocage des connexions par mot de passe à facteur unique, vous pouvez décider de la mettre en œuvre avant les délais prévus dans cette rubrique. Cette section décrit comment appliquer des restrictions sans attendre la fin du déploiement.
Le déploiement de la MFA obligatoire fait une distinction entre Snowsight et les autres surfaces, ainsi qu’entre les nouveaux utilisateurs et ceux existants. Vous pouvez utiliser une politique d’authentification personnalisée pour appliquer immédiatement la MFA à tous les utilisateurs humains dans tous les types de clients sans attendre la fin du processus de déploiement.
Vous devrez définir avec soin tous les paramètres de la nouvelle politique d’authentification, mais elle devra au moins contenir les paramètres suivants pour atteindre l’objectif de blocage des connexions par mot de passe à facteur unique :
CREATE AUTHENTICATION POLICY require_mfa_policy
MFA_AUTHENTICATION_METHODS = ('PASSWORD')
MFA_ENROLLMENT = REQUIRED;
Pour plus d’informations sur ces paramètres, voir CREATE AUTHENTICATION POLICY.
Pour définir la politique d’authentification du compte de manière à ce qu’elle régisse l’authentification de tous les utilisateurs humains, exécutez les instructions suivantes :
USE ROLE ACCOUNTADMIN; ALTER ACCOUNT SET AUTHENTICATION POLICY require_mfa_policy;
Inscription à l’authentification multifactorielle¶
Pour obtenir des informations sur la manière dont les utilisateurs s’inscrivent volontairement à la MFA, voir Activation de l’authentification multifactorielle (MFA).