Planifier l’abandon de la connexion par mot de passe à facteur unique

Afin d’améliorer la sécurité de tous ses clients, Snowflake a décidé d’exiger l’authentification multifactorielle (MFA) pour tous les utilisateurs humains utilisant des mots de passe, et d’interdire les mots de passe pour tous les utilisateurs services. Ces changements seront mis en œuvre dans le cadre de plusieurs versions de changements de comportement (BCRs). Cette rubrique décrit comment se passera l’obsolescence des connexions par mot de passe à facteur unique afin que vous puissiez planifier en conséquence.

Note

Le processus d’obsolescence décrit dans cette rubrique ne s’applique pas aux comptes de lecteur, aux comptes Open Catalog et aux comptes d’essai. Vous pouvez continuer à vous connecter à ces types de comptes avec un mot de passe à facteur unique.

Comprendre le processus de déploiement

Le déploiement de l’obsolescence de la connexion par mot de passe à facteur unique est décomposé en plusieurs étapes.

Chaque étape est mise en œuvre à l’aide du processus de version de changement de comportement établi par Snowflake. Dans le cadre de ce processus, Snowflake lance un bundle de changements de comportement tous les mois. Comme les changements seront inclus dans un bundle de changements de comportement, l’application des nouvelles restrictions coïncidera avec le cycle de vie du bundle.

Pour plus d’informations sur le cycle de vie des bundles de changements de comportement afin que vous puissiez planifier la mise en œuvre de chaque étape, consultez Politique de changement de comportement.

Utilisateurs humains et utilisateurs services

Les objets utilisateur dans Snowflake ne correspondent pas toujours à des utilisateurs humains. Certains utilisateurs se connectent à Snowflake sans interaction humaine - par exemple, une application ou un service. Ces utilisateurs sont considérés comme des utilisateurs services.

Les administrateurs utilisent le paramètre TYPE d’un objet utilisateur pour définir si un utilisateur est un utilisateur humain ou un utilisateur service.

  • Pour les utilisateurs humains, TYPE=PERSON. Si vous ne définissez pas le paramètre TYPE ou si vous lui attribuez la valeur NULL, l’utilisateur est traité comme un utilisateur humain.

  • Pour les utilisateurs services, TYPE=SERVICE.

    Note

    Le type d’utilisateur LEGACY_SERVICE aide les clients à faire passer les utilisateurs service à une forme d’authentification sécurisée. Le fait de définir un type d’utilisateur sur LEGACY_SERVICE permet temporairement à l’utilisateur de s’authentifier avec un mot de passe même s’il s’agit d’une application ou d’un service. Le déploiement décrit dans cette rubrique implique l’obsolescence progressive de ce type d’utilisateur.

La distinction entre un utilisateur humain et un utilisateur service est importante car ce déploiement affecte différemment ces deux types d’utilisateurs. Afin de renforcer la sécurité pour les deux types d’utilisateurs, l’obsolescence de la connexion par mot de passe à facteur unique se comporte comme suit :

  • Tous les utilisateurs humains qui utilisent l’authentification par mot de passe devront utiliser un deuxième facteur d’authentification. Pour obtenir un calendrier décrivant la manière dont Snowflake atteindra cet objectif, voir Étapes pour les utilisateurs humains.

  • Tous les utilisateurs service qui utilisent actuellement l’authentification par mot de passe devront passer à une méthode d’authentification plus sûre. Pour un calendrier décrivant la manière dont Snowflake atteindra cet objectif, voir Étapes pour les utilisateurs services.

Calendrier d’obsolescence

Le tableau suivant fournit le calendrier de l’obsolescence de la connexion par mot de passe à facteur unique.

Date estimée

Utilisateurs concernés

Étape

Juin 2025 - Août 2025

Utilisateurs humains

MFA obligatoire pour tous les utilisateurs de Snowsight

Août 2025 - Octobre 2025

Utilisateurs humains

MFA obligatoire pour tous les nouveaux utilisateurs humains

Nov. 2025 - Jan. 2026

Utilisateurs des services

Pas de nouveaux utilisateurs services hérités

Mars 2026 - Mai 2026

Utilisateurs humains

MFA obligatoire pour tous les utilisateurs humains

Juin 2026 - Août 2026

Utilisateurs des services

Pas d’utilisateurs services hérités

Étapes pour les utilisateurs humains

Objectif : tous les utilisateurs humains qui s’authentifient avec des mots de passe doivent utiliser un deuxième facteur d’authentification.

La mise en œuvre de cet objectif comprend les étapes suivantes. Chaque étape commence par le lancement d’un bundle de changements de comportement (c’est-à-dire, le début de la période de test) et se termine lorsque le bundle devient généralement opérationnel. Les restrictions associées à l’étape sont appliquées dès que le bundle est activé.

2025_04 bundle (juin 2025 - août 2025) [1] N- : MFA obligatoire pour tous les utilisateurs de Snowsight (nouveaux et existants)

Les utilisateurs humains doivent s’authentifier avec un deuxième facteur lorsqu’ils utilisent un mot de passe pour accéder à Snowsight, sans aucune exception.

Gardez à l’esprit les points suivants :

  • Cette étape concerne uniquement Snowsight. Les utilisateurs humains peuvent continuer à utiliser un mot de passe à facteur unique pour accéder au service Snowflake à partir d’outils d’aide à la décision (BI) et d’outils similaires, même après avoir utilisé Snowsight pour s’inscrire à la MFA. Vous pouvez choisir d’appliquer la MFA à ces autres outils ; les utilisateurs qui sont déjà inscrits à la MFA et qui utilisent la MFA en dehors de Snowsight continueront d’utiliser la MFA.

  • Les politiques d’authentification qui ont mis en place l’inscription facultative à la MFA pour Snowsight sont annulées.

  • Comme les utilisateurs qui s’authentifient avec Snowflake OAuth utilisent l’interface de connexion Snowsight, ils doivent être inscrits à la MFA.

  • Les utilisateurs de l’authentification unique ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight sans modification.

  • Les utilisateurs service hérités (TYPE=LEGACY_SERVICE) ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight à l’aide d’un mot de passe à facteur unique.

2025_07 bundle (août 2025 - octobre 2025) [1] N- : MFA obligatoire pour tous les nouveaux utilisateurs humains

Tous les utilisateurs humains créés après l’activation du bundle de changements de comportement doivent s’authentifier à l’aide d’un deuxième facteur, y compris ceux qui utilisent des outils BI ou similaires.

Les utilisateurs humains qui existaient avant l’activation du bundle ne sont pas concernés. Ces utilisateurs de mots de passe peuvent continuer à utiliser des outils BI ou similaires (n’importe lequel sauf Snowsight) sans deuxième facteur d’authentification jusqu’en mars 2026.

Par exemple, supposons que votre administrateur opte pour le bundle de changements de comportement associé à cette étape le 10 septembre 2025. Tous les utilisateurs humains créés à partir de cette date doivent utiliser un deuxième facteur d’authentification, quelle que soit la surface. Les utilisateurs humains qui existaient avant cette date peuvent continuer à utiliser l’authentification uniquement par mot de passe pour les outils BI, mais pas Snowsight.

Bundle à annoncer (mars 2026 - mai 2026) [1] N- : MFA obligatoire pour tous les utilisateurs humains (sans exception)

Lorsque le bundle de changements de comportement associé à cette étape est activé, tous les utilisateurs humains nouveaux et existants doivent utiliser un deuxième facteur lors de l’authentification avec un mot de passe, sans aucune exception.

Étapes pour les utilisateurs services

Objectif : tous les utilisateurs services doivent utiliser une forme d’authentification sécurisée.

La mise en œuvre de cet objectif comprend les étapes suivantes. Chaque étape commence par le lancement d’un bundle de changements de comportement et se termine lorsque le bundle devient généralement opérationnel. Les restrictions associées à l’étape sont appliquées dès que le bundle est activé.

Les utilisateurs de TYPE=SERVICE ne peuvent pas utiliser l’authentification par mot de passe, sans aucune exception. Pour permettre temporairement aux services et aux applications de s’authentifier avec un mot de passe, Snowflake a fourni le type d’utilisateur LEGACY_SERVICE. La migration de la connexion par mot de passe à facteur unique repose sur l’obsolescence progressive de ce type d’utilisateur LEGACY_SERVICE, de sorte que tous les utilisateurs non humains doivent être de type SERVICE.

Bundle à annoncer (novembre 2025 - janvier 2026) [2] : Pas de nouveaux utilisateurs service hérités

Tous les utilisateurs non humains créés après l’activation du bundle de changements de comportement doivent être de type SERVICE, ce qui les empêche d’utiliser un mot de passe. Le type LEGACY_SERVICE n’est plus disponible lors de la création d’un nouvel objet utilisateur. En outre, les administrateurs ne peuvent pas changer le type d’un utilisateur existant en LEGACY_SERVICE.

Par exemple, supposons que votre administrateur opte pour le bundle de changements de comportement associé à cette étape le 10 décembre 2025. Après cette date, TYPE=LEGACY_SERVICE est une option non valide lors de l’exécution d’une commande CREATE USER ou ALTER USER.

Bundle à annoncer (juin 2026 - août 2026) [2]  : Pas d’utilisateurs services hérités

Lorsque le bundle de changements de comportement associé à cette étape est activé, tous les utilisateurs non humains ne peuvent pas utiliser de mot de passe pour s’authentifier.

Le type d’utilisateur LEGACY_SERVICE est totalement obsolète. Tous les objets utilisateurs existants avec TYPE=LEGACY_SERVICE sont migrés vers TYPE=SERVICE, ce qui les empêche d’utiliser un mot de passe.

Demander la MFA en avance sur la planification

Compte tenu de l’amélioration de la sécurité associée au blocage des connexions par mot de passe à facteur unique, vous pouvez décider de la mettre en œuvre avant les délais prévus dans cette rubrique. Cette section décrit comment appliquer des restrictions sans attendre la fin du déploiement.

Le déploiement de la MFA obligatoire fait une distinction entre Snowsight et les autres surfaces, ainsi qu’entre les nouveaux utilisateurs et ceux existants. Vous pouvez utiliser une politique d’authentification personnalisée pour appliquer immédiatement la MFA à tous les utilisateurs humains dans tous les types de clients sans attendre la fin du processus de déploiement.

Vous devrez définir avec soin tous les paramètres de la nouvelle politique d’authentification, mais elle devra au moins contenir les paramètres suivants pour atteindre l’objectif de blocage des connexions par mot de passe à facteur unique :

CREATE AUTHENTICATION POLICY require_mfa_policy
  MFA_AUTHENTICATION_METHODS = ('PASSWORD')
  MFA_ENROLLMENT = REQUIRED;
Copy

Pour plus d’informations sur ces paramètres, voir CREATE AUTHENTICATION POLICY.

Pour définir la politique d’authentification du compte de manière à ce qu’elle régisse l’authentification de tous les utilisateurs humains, exécutez les instructions suivantes :

USE ROLE ACCOUNTADMIN;
ALTER ACCOUNT SET AUTHENTICATION POLICY require_mfa_policy;
Copy

Inscription à l’authentification multifactorielle

Pour obtenir des informations sur la manière dont les utilisateurs s’inscrivent volontairement à la MFA, voir Activation de l’authentification multifactorielle (MFA).