ALTER AUTHENTICATION POLICY¶

構文¶

ALTER AUTHENTICATION POLICY <name> RENAME TO <new_name>

ALTER AUTHENTICATION POLICY [ IF EXISTS ] <name> SET
  [ AUTHENTICATION_METHODS = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ MFA_AUTHENTICATION_METHODS = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ MFA_ENROLLMENT = { REQUIRED | OPTIONAL } ]
  [ CLIENT_TYPES = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ SECURITY_INTEGRATIONS = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ COMMENT = '<string_literal>' ]

ALTER AUTHENTICATION POLICY [ IF EXISTS ] <name> UNSET
  [ CLIENT_TYPES ]
  [ AUTHENTICATION_METHODS ]
  [ SECURITY_INTEGRATIONS ]
  [ MFA_AUTHENTICATION_METHODS ]
  [ MFA_ENROLLMENT ]
  [ COMMENT ]

パラメーター¶

name

変更する認証ポリシーの識別子を指定します。識別子にスペースまたは特殊文字が含まれる場合は、文字列を二重引用符で囲む必要があります。二重引用符で囲まれた識別子は、大文字と小文字が区別されます。識別子は 識別子の要件 を満たす必要があります。

RENAME TO ...

既存の認証ポリシーの新しい名前を指定します。

SET ...

認証ポリシーに設定する1つ以上のプロパティを指定します（空白、コンマ、または改行で区切り）。

AUTHENTICATION_METHODS = ( 'string_literal' [ , 'string_literal' , ... ] )

ログイン時に許可する認証方法を変更します。このパラメーターは、以下の値を1つ以上受け付けます。

注意

認証方法で制限すると、ドライバー接続やサードパーティの統合をブロックするなど、意図しない結果を招く可能性があります。

ALL

すべての認証方法を許可します。

SAML

SAML2 セキュリティ統合 を許可します。 SAML がある場合は、 SSO ログインオプションが表示されます。 SAML が存在しない場合は、 SSO ログインオプションは表示されません。

PASSWORD

ユーザー名とパスワードによる認証を許可します。

OAUTH

外部 OAuth を許可します。

KEYPAIR

キーペア認証 を許可します。

デフォルト: ALL。

MFA_AUTHENTICATION_METHODS = ( 'string_literal' [ , 'string_literal' , ... ] )

ログイン時に多要素認証（MFA）を実施する認証方法のリストです。このパラメータにリストされていない認証方法では、多要素認証のプロンプトは表示されません。

以下の認証方式は、 MFA をサポートしています。

• SAML

• PASSWORD

このパラメーターは、以下の値を1つ以上受け付けます。

SAML

SAML2 セキュリティ統合 で認証する際、MFA に登録されている場合、MFA をユーザーに促します。

PASSWORD

ユーザー名とパスワードによる認証時に、 MFA に登録されている場合は、 MFA をユーザーに要求します。

デフォルト: ('PASSWORD', 'SAML')。

MFA_ENROLLMENT = { REQUIRED | OPTIONAL }

ユーザーが多要素認証に登録する必要があるかどうかを変更します。

REQUIRED

ユーザーに MFA への登録を強制します。この値を使用する場合、 CLIENT_TYPES パラメータには、 SNOWFLAKE_UI を含める必要があります。なぜなら、 Snowsight は、ユーザーが 多要素認証（MFA）に登録できる唯一の場所だからです。

OPTIONAL

ユーザーは、 MFA に登録するかどうかを選択できます。

デフォルト: OPTIONAL。

CLIENT_TYPES = ( 'string_literal' [ , 'string_literal' , ... ] )

Snowflakeで認証できるクライアントを変更します。

The CLIENT_TYPES property of an authentication policy is a best effort method to block user logins based on specific clients. It should not be used as the sole control to establish a security boundary。

このプロパティは、以下の値の1つ以上を受け付けます。

ALL

すべてのクライアントの認証を許可します。

SNOWFLAKE_UI

Snowsight または Classic Console。Snowflakeウェブインターフェイス。

注意

If SNOWFLAKE_UI is not included in the CLIENT_TYPES list, MFA enrollment does not work。

DRIVERS

ドライバーは、 サポートされた言語 で記述されたアプリケーションからSnowflakeへのアクセスを許可します。例: Go、 JDBC、 .NET ドライバー、および Snowpipe Streaming。

注意

DRIVERS が CLIENT_TYPES リストに含まれていない場合、自動インジェスチョンは機能しなくなる可能性があります。

SNOWSQL

Snowflakeに接続するための コマンドラインクライアント。

クライアントが接続を試みても、そのクライアントが有効な CLIENT_TYPES のいずれでもない場合は、ログインの試みに失敗します。 CLIENT_TYPES を設定解除すると、どのクライアントでも接続できます。

デフォルト: ALL。

SECURITY_INTEGRATIONS = ( 'string_literal' [ , 'string_literal' , ... ] )

認証ポリシーが関連付けられているセキュリティ統合を変更します。このパラメーターは、 SAML または OAUTH が AUTHENTICATION_METHODS リストにない場合には効果がありません。

SECURITY_INTEGRATIONS リストの値はすべて AUTHENTICATION_METHODS リストの値と互換性のある必要があります。たとえば、 SECURITY_INTEGRATIONS に SAML セキュリティ統合が含まれ、 AUTHENTICATION_METHODS に OAUTH が含まれる場合は、認証ポリシーを作成できません。

ALL

すべてのセキュリティ統合を許可します。

デフォルト: ALL。

COMMENT = 'string_literal'

認証ポリシーのコメントを変更します。

UNSET ...

認証ポリシーの設定を解除するプロパティを指定します。これにより、設定はデフォルトにリセットされます。

アクセス制御の要件¶

この SQL コマンドの実行に使用される ロール には、少なくとも次の 権限 が必要です。

スキーマ内の任意のオブジェクトを操作するには、親データベースとスキーマに対する USAGE 権限も必要であることに注意してください。

指定された権限のセットを使用してカスタムロールを作成する手順については、 カスタムロールの作成 をご参照ください。

セキュリティ保護可能なオブジェクト に対して SQL アクションを実行するためのロールと権限付与に関する一般的な情報については、 アクセス制御の概要 をご参照ください。

使用上の注意¶

• 既存の認証ポリシーを更新し、ポリシーの定義を確認する必要がある場合は、 DESCRIBE AUTHENTICATION POLICY コマンドまたは GET_DDL 関数を実行します。

例¶

認証ポリシーで許可されるクライアントのリストを変更します。

ALTER AUTHENTICATION POLICY restrict_client_types_policy SET CLIENT_TYPES = ('SNOWFLAKE_UI', 'SNOWSQL');