ユーザーをIDプロバイダーに自動的にリダイレクトします

このトピックでは、Snowflakeサインインページを最初に表示する代わりに、ユーザーがSnowflakeインターフェースにアクセスするときに、認証のために自動的にIDプロバイダー(IdP)にリダイレクトするようにSnowflakeを構成する方法について説明します。

LOGIN_IDP_REDIRECT アカウントプロパティを使用してリダイレクトを構成します。各インターフェース(Snowsight、SnowflakeのStreamlit、またはSnowpark Container Servicesのイングレスなど)は、異なる SAML2 セキュリティ統合にマッピングすることができます。または、すべてのインターフェースに適用される単一のデフォルトマッピングを設定できます。

概要

アカウントにフェデレーション認証が構成されている場合、デフォルトのサインインフローでは、ユーザーは最初にSnowflakeサインインページにアクセスし、次に IdP からサインインすることを選択するよう求められます。LOGIN_IDP_REDIRECT が構成されている場合、SnowflakeはSnowflakeのサインインページを完全にスキップします。ユーザーは認証のために IdP に直接送られ、その後リクエストされたSnowflakeインターフェースに戻ります。

これにより、そのインターフェース用に設定された IdP のみが認証パスとなっているユーザーのサインインフローが合理化されます。これは、Snowflakeサインインページによって、ユーザーが認証できる唯一の IdP に到達する前に余分な手順が追加されているSnowflakeアプリビューアー URLs 内のStreamlitや、Snowpark Container Servicesのイングレスエンドポイントなど、埋め込みユーザーエクスペリエンスに特に役立ちます。

前提条件

LOGIN_IDP_REDIRECT を構成する前に、次の要件が満たされていることを確認してください。

  • 最低1つの SAML2 セキュリティ統合が構成され、有効になっています。リダイレクトプロパティは SAML2 セキュリティ統合のみを受け入れます。手順については、 フェデレーション認証を使用するためのSnowflakeの構成 をご参照ください。

  • ACCOUNTADMIN ロール、または ALTER ACCOUNT の実行に必要な権限を持つロールを持っている。

  • 最低1人のアカウント管理者がバックアップの認証方法(例えば、 MFA を使用したSnowflakeのパスワード)でサインインできるようにすることで、 IdP が利用できなくなった場合でも組織はアクセスを回復できます。フェデレーション認証が有効なユーザーの管理 をご参照ください。

サポートされているインターフェース

次のSnowflakeインターフェースのいずれにもリダイレクトを構成できます。各インターフェースは異なる SAML2 セキュリティ統合にマッピングできます。

DEFAULT

2つの状況に適用されます。

  • app.snowflake.com (Snowsightサインインページ)で始まるログインフロー。DEFAULT が設定されている場合、これらのフローは Snowflakeサインイン画面を表示する代わりに IdP にリダイレクトされます。

  • 明示的に構成していない、以下にリストされているその他のインターフェースキー。たとえば、 DEFAULT を設定しても STREAMLIT を設定しなかった場合、Snowflakeアプリビューアー URLs のStreamlitは DEFAULT マッピングを使用します。

DEFAULT``フォールバックから特定のインターフェースをオプトアウトするには、インターフェースを ``NULL に設定します。リダイレクトの削除またはオプトアウト をご参照ください。

SNOWFLAKE_INTELLIGENCE

Snowflakeインテリジェンス URLs に適用します。Snowflakeインテリジェンス URLs の``DEFAULT`` マッピングを上書きします。このキーを NULL に設定すると、Snowflakeインテリジェンス URLs が DEFAULT フォールバックから除外されます。Snowflakeインテリジェンスにプライベート接続でアクセスする場合に必要な DNS 構成を含む、インターフェース固有のガイダンスについては、 ユーザーをIDプロバイダーにリダイレクトする をご参照ください。

STREAMLIT

Streamlit in Snowflake アプリビューアー URLs に適用されます。アプリビューアー URLs の DEFAULT マッピングを上書きします。Streamlitアプリビューアー URLs を DEFAULT フォールバックから除外するには、このキーを NULL に設定します。インターフェース固有のガイダンスについては、 アプリ閲覧者をIDプロバイダーにリダイレクトする をご参照ください。

SPCS

Snowpark Container Servicesのイングレスエンドポイントに適用されます。SPCS イングレス URLs の DEFAULT マッピングを上書きします。SPCS イングレス URLs を DEFAULT フォールバックから除外するには、このキーを NULL に設定します。インターフェース固有のガイダンスについては、 イングレスとIDプロバイダー(IdP)に関する考慮事項 をご参照ください。

Snowflakeは、インターフェースのリダイレクトを次の順序で解決します。

  1. インターフェースキーが明示的に設定されている場合、そのマッピングが使用されます。NULL の値は、「このインターフェースのリダイレクトなし」を意味します。

  2. それ以外の場合、 DEFAULT が設定されている場合、 DEFAULT マッピングが使用されます。

  3. それ以外の場合は、標準のSnowflakeサインインページが表示されます。

リダイレクトの構成

ALTER ACCOUNT を使用して LOGIN_IDP_REDIRECT を設定します。単一のステートメントで複数のインターフェースをマップできます。your_security_integration を既存の、名前を持つ有効にした SAML2 セキュリティ統合と置換します。

同じ IdP を介してアカウント内のすべてのインターフェースをリダイレクトするには:

ALTER ACCOUNT SET LOGIN_IDP_REDIRECT = (
  DEFAULT = my_saml_integration
);

個々のインターフェースに別の SAML2 セキュリティ統合を構成するには、同じステートメントにリストします。インターフェースごとのマッピングがそのインターフェースの DEFAULT マッピングを上書きします。

ALTER ACCOUNT SET LOGIN_IDP_REDIRECT = (
  DEFAULT = my_saml_integration,
  SNOWFLAKE_INTELLIGENCE = my_intelligence_saml_integration,
  STREAMLIT = my_streamlit_saml_integration,
  SPCS = my_spcs_saml_integration
);

LOGIN_IDP_REDIRECT を再度設定するとマッピング全体を新しい値に置き換えます。プロパティを変更するたびに、構成を維持したいすべてのインターフェースをリストします。

現在の構成を表示

どのインターフェースが現在マッピングされているかを確認するには、閲覧専用 LOGIN_IDP_REDIRECT アカウントパラメーターをクエリします。パラメーターは、アカウントに設定されたマッピングを要約する JSON オブジェクトを返します。

SHOW PARAMETERS LIKE 'LOGIN_IDP_REDIRECT' IN ACCOUNT;

詳細については、パラメーターリファレンスの LOGIN_IDP_REDIRECT(閲覧専用) をご参照ください。

リダイレクトの削除またはオプトアウト

他のマッピングを配置したまま IdP への単一のインターフェースのリダイレクトを停止するには、新しい ALTER ACCOUNT SET LOGIN_IDP_REDIRECT ステートメントでそのインターフェースを NULL に設定します。そのインターフェースのユーザーには、標準のSnowflakeサインインページが表示されます。インターフェースを NULL に設定すると、そのインターフェースを DEFAULT フォールバックからオプトアウトします。

たとえば、 DEFAULT マッピングを維持しながらStreamlitアプリビューアー URLs のリダイレクトを停止するには:

ALTER ACCOUNT SET LOGIN_IDP_REDIRECT = (
  DEFAULT = my_saml_integration,
  STREAMLIT = NULL
);

すべてのマッピングを削除し、すべてのインターフェースの標準的なサインインフローを復元するには、プロパティの設定を解除します。

ALTER ACCOUNT UNSET LOGIN_IDP_REDIRECT;

リダイレクトをバイパスして、Snowflakeサインインページにアクセスする

Snowflakeは、リダイレクトが構成されていても、標準のサインインページに到達できる回復手順をサポートしています。IdP からサインインできない場合、または、MFA を使用したSnowflakeのパスワードなどのバックアップの認証方法でサインインする必要がある場合に、この手順を使用します。

プロシージャは標準 OIDC``prompt=login`` パラメーターに依存しており、Snowflakeはこのパラメーターを尊重して、1回のサインイン試行における IdP リダイレクトを抑制します。

使用するには:

  1. ブラウザで開発者ツールを開き、[Network]タブを選択します。

  2. リダイレクトされているSnowflake URL のロードを開始します。

  3. snowflakecomputing.com 上の /oauth/authorize エンドポイントへのリクエストを見つけ、その URL 全体をコピーします。

  4. URL の最後に &prompt=login を追加し、ブラウザーで編集した URL をロードします。

Snowflakeは標準のサインインページを表示し、ユーザーに対して有効になっている認証方法を選択できます。

重要

最低1人のアカウント管理者が、有効なバックアップの認証方法(例えば、 Snowflakeのパスワード)でサインインできるようにすることで、 IdP が利用できなくなった場合でも組織はアクセスを回復できます。フェデレーション環境で管理者認証情報を管理するためのガイダンスは、 フェデレーション認証が有効なユーザーの管理 をご参照ください。

考慮事項

LOGIN_IDP_REDIRECT を構成するときは、次の点に注意してください。

  • SAML2 セキュリティ統合のみがサポートされています。他のタイプのセキュリティ統合は、プロパティでは参照できません。

  • 参照されるセキュリティ統合が存在し、有効になっている必要があります。セキュリティ統合をドロップまたは無効にすると、影響を受けるインターフェースのユーザーはサインインしようとするとエラーが発生します。統合を無効またはドロップする前に、マッピングを更新または削除します。

  • ALTER ACCOUNT SET LOGIN_IDP_REDIRECT は マッピング全体を置き換えます。常に、構成を維持したいすべてのインターフェースを含めてください。

  • ALTER ACCOUNT UNSET LOGIN_IDP_REDIRECT は、すべてのマッピングを一度に削除します。

  • リダイレクトは、別の認証方法を選択するオプションを含む、構成されたインターフェースのSnowflakeサインインページをバイパスします。バックアップ認証方法でサインインする必要があるユーザーは、 リダイレクトをバイパスして、Snowflakeサインインページにアクセスする で説明されている回復手順に従ってください。