Configuration d’un deuxième facteur d’authentification

Lorsqu’un utilisateur de mot de passe est inscrit à l”authentification multifactorielle (MFA), il doit utiliser un deuxième facteur d’authentification lorsqu’il se connecte à Snowflake. Ces utilisateurs saisissent leur mot de passe, puis utilisent le deuxième facteur.

Snowflake fournit les seconds facteurs possibles suivants :

  • Authentification via une clé d’accès qui peut être stockée et accessible de différentes manières.

  • Authentification avec votre application d’authentificateur préférée.

  • Authentification avec Duo.

Votre administrateur contrôle les facteurs qui sont à votre disposition. Pour plus d’informations, voir Limite de la disponibilité des méthodes de MFA.

Prise en main

Lorsqu’un administrateur exige d’un utilisateur qu’il s’inscrive à la MFA, l’utilisateur est invité à ajouter un deuxième facteur d’authentification lors de sa prochaine connexion à Snowsight.

Si vous êtes déjà connecté à Snowsight et que vous souhaitez mettre en place un deuxième facteur d’authentification, procédez comme suit :

  1. Dans le volet de navigation de gauche, sélectionnez votre nom. Le menu utilisateur s’ouvre.

  2. Sélectionnez Settings.

  3. Sélectionnez Authentication.

  4. Dans la section Multi-factor authentication, sélectionnez Add new authentication method.

  5. Suivez les invites pour configurer votre deuxième facteur d’authentification.

Utiliser l’authentification par clé d’accès

Une clé d’accès est une forme d’authentification basée sur la norme WebAuthn, qui utilise la cryptographie à clé publique/privée. Lorsque vous avez correctement configuré Snowflake pour qu’il s’authentifie avec une clé d’accès, la clé privée est stockée en toute sécurité dans un emplacement personnel, qu’il s’agisse de votre machine, d’une clé de sécurité matérielle (par exemple, un Yubikey) ou d’un gestionnaire de mots de passe.

Pour paramétrer une clé d’accès comme second facteur d’authentification, effectuez les tâches suivantes :

  1. Lorsque vous y êtes invité, sélectionnez Passkey.

  2. Suivez les étapes pour enregistrer votre mot de passe comme vous le feriez avec n’importe quel autre site web ou application. Par exemple, vous pouvez utiliser une clé de sécurité matérielle ou configurer votre machine de manière à ce que vous deviez utiliser une empreinte digitale pour accéder à la clé lors de l’authentification.

  3. Spécifiez un nom pour la méthode d’authentification afin que vous puissiez l’identifier lorsque vous vous connectez à Snowflake.

Après avoir saisi votre mot de passe, vous êtes invité à fournir votre clé d’accès, en utilisant la méthode que vous avez configurée.

Utiliser une application d’authentificateur

Snowflake vous permet d’utiliser votre application d’authentificateur préférée pour utiliser un code d’accès unique basé sur le temps (TOTP) comme deuxième facteur d’authentification. Les applications d’authentificateur les plus courantes sont Google Authenticator, Microsoft Authenticator et Authy.

Pour configurer une application d’authentificateur comme deuxième facteur, effectuez les tâches suivantes :

  1. Lorsque vous y êtes invité, sélectionnez Authenticator.

  2. Effectuez les étapes avec votre application d’authentificateur comme vous le feriez avec n’importe quel autre site web ou application.

  3. Spécifiez un nom pour la méthode d’authentification afin que vous puissiez l’identifier lorsque vous vous connectez à Snowflake.

Après avoir saisi votre mot de passe, vous êtes invité à saisir le TOTP de votre application d’authentificateur.

Utiliser Duo

Pour configurer Duo comme deuxième facteur, effectuez les tâches suivantes :

  1. Lorsque vous y êtes invité, sélectionnez DUO.

  2. Effectuez les étapes avec Duo comme vous le feriez avec n’importe quel autre site web ou application.

Note

Votre administrateur doit configurer le pare-feu de votre organisation avant que vous puissiez utiliser Duo comme second facteur d’authentification. Pour plus d’informations, voir Conditions préalables.

Voir vos méthodes d’authentification

Vous pouvez utiliser Snowsight ou SQL pour consulter vos deuxièmes facteurs d’authentification.

  1. Connectez-vous à Snowsight.

  2. Dans le volet de navigation de gauche, sélectionnez votre nom. Le menu utilisateur s’ouvre.

  3. Sélectionnez Settings.

  4. Sélectionnez Authentication.

  5. Utilisez la section Multi-factor authentication pour voir vos méthodes MFA.

Note

Si vous êtes un administrateur et que vous souhaitez voir la méthode d’authentification d’un autre utilisateur, consultez SHOW MFA METHODS.

Pour plus d’informations sur les clés d’accès et les TOTPs pour tous les utilisateurs du compte, interrogez les Vue CREDENTIALS. Notez que cette vue ne contient pas d’informations sur les authentificateurs Duo (Duo push et codes d’accès).

Définir une méthode d’authentification par défaut

Si vous avez configuré plusieurs méthodes MFA comme deuxième facteur d’authentification, vous pouvez choisir celle que vous utiliserez pour vous authentifier après avoir saisi votre mot de passe. Pour définir le deuxième facteur par défaut, procédez comme suit :

  1. Dans le volet de navigation de gauche, sélectionnez votre nom. Le menu utilisateur s’ouvre.

  2. Sélectionnez Settings.

  3. Sélectionnez Authentication.

  4. Dans la section Multi-factor authentication, sélectionnez une méthode MFA dans le menu déroulant Default sign-in method.

Identification des sessions de connexion dans lesquelles un identifiant de deuxième facteur a été utilisé

Pour déterminer quand des identifiants de deuxième facteur ont été utilisés pour l’authentification (par exemple, une clé d’accès spécifique ou un code d’accès à usage unique limité dans le temps), vous pouvez joindre les vues LOGIN_HISTORY et CREDENTIALS dans le schéma ACCOUNT_USAGE sur la colonne contenant les identifiants de connexion ID:

  • La vue LOGIN_HISTORY contient les identifiants de connexion ID dans la second_authentication_factor_id colonne, si la colonne second_authentication_factor contient PASSKEY ou TOTP.

  • La vue CREDENTIALS contient les ID de connexion dans la colonne credential_id.

Par exemple :

SELECT
    login.event_timestamp,
    login.user_name,
    cred.name
  FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY login
    JOIN SNOWFLAKE.ACCOUNT_USAGE.CREDENTIALS cred
    ON login.second_authentication_factor_id = cred.credential_id
  WHERE login.second_authentication_factor IN ('PASSKEY', 'TOTP');
Copy
+-------------------------------+-----------+--------------+
| EVENT_TIMESTAMP               | USER_NAME | NAME         |
|-------------------------------+-----------+--------------|
| 2025-08-05 17:10:00.941 -0700 | USER_A    | PASSKEY_RALU |
| 2025-07-28 13:04:27.201 -0700 | USER_B    | TOTP_D406    |
| 2025-07-21 09:09:47.701 -0700 | USER_C    | PASSKEY_GN1N |
+-------------------------------+-----------+--------------+

Pour obtenir des informations sur les requêtes qui ont été exécutées pendant cette session de connexion, vous pouvez joindre la vueLOGIN_HISTORY à la vue SESSIONS sur la colonne login_event_id pour obtenir l’ID de la session, et ensuite utiliser cela pour joindre la vue QUERY_HISTORY.