Planifier l’abandon de la connexion par mot de passe à facteur unique¶

Pour améliorer la sécurité de tous ses clients, Snowflake déploie des changements exigeant l’authentification multifactorielle (MFA) pour tous les utilisateurs humains utilisant des mots de passe, et l’interdiction des mots de passe pour tous les utilisateurs de services. Ces utilisateurs de services doivent passer à une méthode d’authentification plus forte qui ne nécessite pas d’interaction avec une personne. Cette rubrique décrit comment les mots de passe à facteur unique seront obsolètes afin que vous puissiez planifier en conséquence.

Important

Snowflake fournit un outil qui vous guide dans le processus de mise en œuvre d’une authentification forte pour tous les utilisateurs, afin que vous soyez prêt pour l’obsolescence des mots de passe à facteur unique. Pour plus d’informations, voir Hub d’authentification forte.

Les phases décrites dans cette rubrique ne s’applique pas aux comptes de lecteur ou aux comptes d’essai. Vous pouvez continuer à vous connecter à ces types de comptes avec un mot de passe à facteur unique.

Utilisateurs humains et utilisateurs services¶

Les objets utilisateur dans Snowflake ne correspondent pas toujours à des utilisateurs humains. Certains utilisateurs se connectent à Snowflake sans interaction humaine - par exemple, une application ou un service. Ces utilisateurs sont considérés comme des utilisateurs services.

Les administrateurs utilisent le paramètre TYPE d’un objet utilisateur pour définir si un utilisateur est un utilisateur humain ou un utilisateur service.

Pour les utilisateurs humains, TYPE=PERSON. Si vous ne définissez pas le paramètre TYPE ou si vous lui attribuez la valeur NULL, l’utilisateur est traité comme un utilisateur humain.
Pour les utilisateurs services, TYPE=SERVICE.

Note

Le type d’utilisateur LEGACY_SERVICE aide les clients à faire passer les utilisateurs service à une forme d’authentification sécurisée. Le fait de définir un type d’utilisateur sur LEGACY_SERVICE permet temporairement à l’utilisateur de s’authentifier avec un mot de passe même s’il s’agit d’une application ou d’un service. Le déploiement décrit dans cette rubrique implique l’obsolescence progressive de ce type d’utilisateur.

La distinction entre un utilisateur humain et un utilisateur de service est importante, car ce déploiement affecte ces deux types d’utilisateurs de manière différente. Pour renforcer la sécurité pour les deux types d’utilisateurs, l’application de l’authentification forte comprend les éléments suivants :

Tous les utilisateurs humains qui utilisent l’authentification par mot de passe seront tenus d’utiliser un deuxième facteur d’authentification.
Tous les utilisateurs de services hérités qui utilisent actuellement l’authentification par mot de passe seront tenus de migrer vers une méthode d’authentification plus sécurisée.

Calendrier d’application¶

Le tableau suivant indique le calendrier d’application des méthodes d’authentification fortes.

Date estimée	Utilisateurs concernés	Phase
Septembre 2025 - Janvier 2026	Utilisateurs humains	MFA obligatoire pour tous les utilisateurs de Snowsight
Mai 2026 - Juillet 2026	Utilisateurs humains Utilisateurs des services hérités	Authentification forte pour les NEW(nouveaux) utilisateurs
Août 2026 - Oct. 2026	Utilisateurs humains Utilisateurs des services hérités	Authentification forte pour les ALL(nouveaux) utilisateurs

Pour savoir comment mettre en œuvre une authentification forte afin de respecter ces délais, voir Hub d’authentification forte.

Phase 1 : MFA obligatoire pour tous les utilisateurs de Snowsight (nouveaux et existants)¶

La phase 1 est mise en œuvre en utilisant le processus de publication de changement de comportement de Snowflake. Dans ce processus, Snowflake publie un ensemble de changements de comportement chaque mois. Étant donné que les changements seront inclus dans un bundle de changements de comportement, l’application des nouvelles restrictions coïncide avec le cycle de vie du bundle.

Pour plus d’informations sur le cycle de vie des bundles de changements de comportement afin de planifier l’application de cette phase, voir Politique de changement de comportement.

** Bundle 2025_06 (Septembre 2025 - Janvier 2026)** [1]

Objectif	Nouveau comportement
Obligatoire MFA pour tous les utilisateurs de Snowsight	Les utilisateurs humains doivent s’authentifier avec un deuxième facteur lorsqu’ils utilisent un mot de passe pour accéder à Snowsight, sans aucune exception. Gardez à l’esprit les points suivants : Cette phase affecte Snowsight uniquement. Les utilisateurs humains peuvent continuer à utiliser un mot de passe à un seul facteur pour accéder au service Snowflake à partir de Business Intelligence (BI) et outils similaires, même après avoir utilisé Snowsight pour s’inscrire à la MFA. Vous pouvez choisir d’appliquer la MFA à ces autres outils ; les utilisateurs déjà inscrits à la MFA et qui utilisent la MFA à l’extérieur de Snowsight continueront à utiliser la MFA. Les politiques d’authentification qui ont mis en place l’inscription facultative à la MFA pour Snowsight sont annulées. Comme les utilisateurs qui s’authentifient avec Snowflake OAuth utilisent l’interface de connexion Snowsight, ils doivent être inscrits à la MFA. Les utilisateurs de l’authentification unique ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight sans modification. Les utilisateurs service hérités (`TYPE=LEGACY_SERVICE`) ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight à l’aide d’un mot de passe à facteur unique.

Objectif

Nouveau comportement

Obligatoire MFA pour tous les utilisateurs de Snowsight

Les utilisateurs humains doivent s’authentifier avec un deuxième facteur lorsqu’ils utilisent un mot de passe pour accéder à Snowsight, sans aucune exception.

Gardez à l’esprit les points suivants :

Cette phase affecte Snowsight uniquement. Les utilisateurs humains peuvent continuer à utiliser un mot de passe à un seul facteur pour accéder au service Snowflake à partir de Business Intelligence (BI) et outils similaires, même après avoir utilisé Snowsight pour s’inscrire à la MFA. Vous pouvez choisir d’appliquer la MFA à ces autres outils ; les utilisateurs déjà inscrits à la MFA et qui utilisent la MFA à l’extérieur de Snowsight continueront à utiliser la MFA.
Les politiques d’authentification qui ont mis en place l’inscription facultative à la MFA pour Snowsight sont annulées.
Comme les utilisateurs qui s’authentifient avec Snowflake OAuth utilisent l’interface de connexion Snowsight, ils doivent être inscrits à la MFA.
Les utilisateurs de l’authentification unique ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight sans modification.
Les utilisateurs service hérités (TYPE=LEGACY_SERVICE) ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight à l’aide d’un mot de passe à facteur unique.

Pour des informations détaillées sur la manière dont les modifications de ce bundle affectent les mots de passe et l’authentification SSO pour vos utilisateurs, voir Application à venir de l’authentification multifactorielle (MFA) pour les connexions Snowsight avec des mots de passe à un seul facteur (article de la base de connaissances).

Phase 2 : authentification forte pour les nouveaux utilisateurs¶

La phase 2 sera appliquée sur les comptes de manière progressive pendant une période de trois mois. Vous recevrez une notification avec la date d’application pour votre compte.

Mai 2026 - Juillet 2026** [2]

Objectif	Nouveau comportement
MFA obligatoire pour tous les nouveaux utilisateurs humains	Tous les utilisateurs humains qui sont créés après l’application de cette phase doivent utiliser un deuxième facteur lors de l’authentification avec un mot de passe, y compris ceux qui utilisent les outils BI ou similaires. Les utilisateurs humains qui existaient avant que la phase ne soit appliquée ne sont pas concernés. Ces utilisateurs de mot de passe peuvent continuer à utiliser les outils BI ou similaires (tout sauf Snowsight) sans deuxième facteur d’authentification jusqu’à la phase suivante. Par exemple, supposons que cette phase soit appliquée le 15 mai 2026. Tous les utilisateurs humains créés à cette date ou après cette date doivent utiliser un deuxième facteur d’authentification, quelle que soit la surface. Les utilisateurs humains qui existaient avant cette date peuvent continuer à utiliser l’authentification par mot de passe seul pour les outils BI, mais pas Snowsight.
Pas de nouveaux utilisateurs de services hérités	Tous les utilisateurs non humains créés après l’application de la phase doivent être de type `SERVICE`, ce qui les empêche d’utiliser un mot de passe. Le type `LEGACY_SERVICE` n’est plus disponible lors de la création d’un nouvel objet utilisateur. En outre, les administrateurs ne peuvent pas modifier le type d’un utilisateur existant en `LEGACY_SERVICE`. Par exemple, supposons que cette phase soit appliquée le 15 mai 2026. Après cette date, `TYPE=LEGACY_SERVICE` est une option non valide lors de l’exécution d’une commande CREATE USER ou ALTER USER.

Objectif

Nouveau comportement

MFA obligatoire pour tous les nouveaux utilisateurs humains

Tous les utilisateurs humains qui sont créés après l’application de cette phase doivent utiliser un deuxième facteur lors de l’authentification avec un mot de passe, y compris ceux qui utilisent les outils BI ou similaires.

Les utilisateurs humains qui existaient avant que la phase ne soit appliquée ne sont pas concernés. Ces utilisateurs de mot de passe peuvent continuer à utiliser les outils BI ou similaires (tout sauf Snowsight) sans deuxième facteur d’authentification jusqu’à la phase suivante.

Par exemple, supposons que cette phase soit appliquée le 15 mai 2026. Tous les utilisateurs humains créés à cette date ou après cette date doivent utiliser un deuxième facteur d’authentification, quelle que soit la surface. Les utilisateurs humains qui existaient avant cette date peuvent continuer à utiliser l’authentification par mot de passe seul pour les outils BI, mais pas Snowsight.

Pas de nouveaux utilisateurs de services hérités

Tous les utilisateurs non humains créés après l’application de la phase doivent être de type SERVICE, ce qui les empêche d’utiliser un mot de passe. Le type LEGACY_SERVICE n’est plus disponible lors de la création d’un nouvel objet utilisateur. En outre, les administrateurs ne peuvent pas modifier le type d’un utilisateur existant en LEGACY_SERVICE.

Par exemple, supposons que cette phase soit appliquée le 15 mai 2026. Après cette date, TYPE=LEGACY_SERVICE est une option non valide lors de l’exécution d’une commande CREATE USER ou ALTER USER.

Phase 3 : authentification forte pour tous les utilisateurs¶

La phase 3 sera appliquée sur les comptes de manière progressive pendant une période de trois mois. Vous recevrez une notification avec la date d’application pour votre compte.

Août 2026 - Octobre 2026 [3]

Objectif	Nouveau comportement
Obligatoire MFA pour tous les utilisateurs humains	Lorsque cette phase est appliquée, tous les utilisateurs humains nouveaux et existants doivent utiliser un deuxième facteur lors de l’authentification avec un mot de passe, sans exception.
Pas de nouveaux utilisateurs de services hérités	Lorsque cette phase est appliquée, tous les utilisateurs non humains ne peuvent pas utiliser un mot de passe pour s’authentifier. Le type d’utilisateur `LEGACY_SERVICE` est totalement obsolète. Tous les objets utilisateurs existants avec `TYPE=LEGACY_SERVICE` sont migrés vers `TYPE=SERVICE`, ce qui les empêche d’utiliser un mot de passe.

Objectif

Nouveau comportement

Obligatoire MFA pour tous les utilisateurs humains

Lorsque cette phase est appliquée, tous les utilisateurs humains nouveaux et existants doivent utiliser un deuxième facteur lors de l’authentification avec un mot de passe, sans exception.

Pas de nouveaux utilisateurs de services hérités

Lorsque cette phase est appliquée, tous les utilisateurs non humains ne peuvent pas utiliser un mot de passe pour s’authentifier.

Le type d’utilisateur LEGACY_SERVICE est totalement obsolète. Tous les objets utilisateurs existants avec TYPE=LEGACY_SERVICE sont migrés vers TYPE=SERVICE, ce qui les empêche d’utiliser un mot de passe.

Pour savoir comment mettre en œuvre l’authentification forte pour répondre aux exigences de cette phase, voir Hub d’authentification forte.