認証ポリシー¶

ユースケース¶

次のリストは、認証ポリシーの非網羅的なユースケースを示しています。

• 複数のログインオプションがある場合に、ユーザーログインフローを制御する。

• 特定のユーザーまたはすべてのユーザーが使用できる認証方法、特定のクライアントタイプ、セキュリティ統合を制御する。

• Snowflakeドライバーを使用してSnowflake上にサービスを構築している顧客がおり、その顧客はユーザーが Snowsight または Classic Console を介してSnowflakeにアクセスすることを望んでいない。

• 特定のユーザーの認証オプションとして、複数のIDプロバイダーを提供する。

制限事項¶

認証ポリシーの CLIENT_TYPES プロパティは、特定のクライアントに基づいてユーザーログインをブロックするためのベストエフォート方式です。セキュリティ境界を確立するために単独の制御として使用しないでください。

考慮事項¶

• 認証ポリシーにリストされている認証方法とセキュリティ統合が競合しないことを確認します。たとえば、許可されるセキュリティ統合のリストに SAML2 セキュリティ統合を追加し、許可される認証方法として OAuth のみを許可すると、認証ポリシーを作成できません。

• ユーザーがロックアウトされた場合に備えて、管理者用の追加の非制限的な認証ポリシーを使用します。例については、 ロックアウトを防止する をご参照ください。

セキュリティポリシーの優先順位¶

複数のタイプのセキュリティポリシーがアクティブ化されると、ポリシー間の優先順位が設定されます。たとえば、 ネットワークポリシー は認証ポリシーより優先されるので、リクエストの IP アドレスがネットワークポリシーのブロックリストにある IP アドレスに一致する場合、認証ポリシーはチェックされず、ネットワークポリシーで評価が停止します。

次のリストは、セキュリティポリシーが評価される順序を示しています。

1. ネットワークポリシー: IP アドレス、 VPC IDs、 VPCE IDs を許可または拒否します。

2. 認証ポリシー - クライアント、認証方法、セキュリティ統合を許可または拒否します。

3. パスワードポリシー （ローカル認証のみ）: 文字の長さ、文字数、パスワードの有効期間、再試行回数、ロックアウト時間などのパスワード要件を指定します。

4. セッションポリシー: 一定時間操作がない場合、ユーザーに再認証を要求します

アカウントと認証するユーザーの両方にポリシーが割り当てられている場合は、ユーザーレベルのポリシーが適用されます。

識別子優先ログインと認証ポリシーの組み合わせ¶

デフォルトでは、 Snowsight または Classic Console は、オプションがユーザーに関連するかどうかに関係なく、ログインするためのいくつかのオプションを提供する一般的なログインエクスペリエンスが提供されます。これは、ログインオプションがユーザーにとって有効なオプションであるかどうかに関係なく、認証が試行されることを意味します。

この動作を変更して、 Snowsight または Classic Console の識別子優先ログインフローを有効にできます。このフローでは、Snowflakeは認証オプションを提示する前に、ユーザーにメールアドレスまたはユーザー名の入力を求めます。Snowflakeは、メールアドレスまたはユーザー名を使用してユーザーを識別し、そのユーザーに関連し、アカウントまたはユーザーに設定された認証ポリシーで許可されているログインオプションのみを表示します。

識別子優先ログインフローを有効にする手順については、 識別子優先ログイン をご参照ください。

次の表は、識別子優先ログインと認証ポリシーを組み合わせてユーザーのログインエクスペリエンスを制御する方法の設定例を示しています。

認証ポリシーを作成する¶

管理者は CREATE AUTHENTICATION POLICY コマンドを使用して新しい認証ポリシーを作成し、Snowflakeに接続できるクライアント、使用できる認証方法、ユーザーが使用できるセキュリティ統合を指定できます。デフォルトでは、すべてのクライアントタイプ、認証方法、セキュリティ統合を使用してSnowflakeに接続できます。 See client type limitations in authentication policies

たとえば、次のコマンドを使用して、カスタム policy_admin ロールと、 Snowsight または Classic Console を使用した認証のみを許可し、 OAuth またはパスワードを使用したアカウントまたはユーザの認証のみを許可する認証ポリシーを作成できます。

USE ROLE ACCOUNTADMIN;

CREATE OR REPLACE DATABASE my_database;
USE DATABASE my_database;

CREATE OR REPLACE SCHEMA my_schema;
USE SCHEMA my_schema;

CREATE ROLE policy_admin;

GRANT USAGE ON DATABASE my_database TO ROLE policy_admin;
GRANT USAGE ON SCHEMA my_database.my_schema TO ROLE policy_admin;
GRANT CREATE AUTHENTICATION POLICY ON SCHEMA my_database.my_schema TO ROLE policy_admin;
GRANT APPLY AUTHENTICATION POLICY ON ACCOUNT TO ROLE policy_admin;

USE ROLE policy_admin;

CREATE AUTHENTICATION POLICY my_example_authentication_policy
  CLIENT_TYPES = ('SNOWFLAKE_UI')
  AUTHENTICATION_METHODS = ('OAUTH', 'PASSWORD');

詳しい例については、 ログイン設定の例 をご参照ください。

アカウントまたはユーザーに認証ポリシーを設定する¶

アカウントまたはユーザに認証ポリシーを設定すると、認証ポリシーで指定された制限がそのアカウントまたはユーザに適用されます。 ALTER ACCOUNT または ALTER USER コマンドを使用して、アカウントまたはユーザーに認証ポリシーを設定できます。

Snowsight ワークシートで、次のいずれかのコマンドを使用して、アカウントまたはユーザに認証ポリシーを設定します。

ALTER ACCOUNT SET AUTHENTICATION POLICY my_example_authentication_policy;

ALTER USER example_user SET AUTHENTICATION POLICY my_example_authentication_policy;

セキュリティ管理者（SECURITYADMIN ロールを持つユーザー）または APPLY AUTHENTICATION POLICY 権限を持つロールを持つユーザーのみが、アカウントまたはユーザーに認証ポリシーを設定できます。この権限をロールに付与して、ユーザーがアカウントまたはユーザーに認証ポリシーを設定できるようにするには、次のコマンドのいずれかを実行します。

GRANT APPLY AUTHENTICATION POLICY ON ACCOUNT TO ROLE my_policy_admin

GRANT APPLY AUTHENTICATION POLICY ON USER TO ROLE my_policy_admin

詳しい例については、 ログイン設定の例 をご参照ください。

認証ポリシーの使用状況を追跡する¶

Information Schemaテーブル関数 POLICY_REFERENCES を使用して、指定された認証ポリシーに割り当てられた各ユーザーの行と、Snowflakeアカウントに割り当てられた認証ポリシーの行を返します。

認証ポリシーでは、次の構文がサポートされています。

POLICY_REFERENCES( POLICY_NAME => '<authentication_policy_name>' )

POLICY_REFERENCES( REF_ENTITY_DOMAIN => 'USER', REF_ENTITY_NAME => '<username>')

POLICY_REFERENCES( REF_ENTITY_DOMAIN => 'ACCOUNT', REF_ENTITY_NAME => '<accountname>')

ここで、 authentication_policy_name は認証ポリシーの完全修飾名です。

たとえば、次のクエリを実行して、 my_db という名前のデータベースと my_schema という名前のスキーマに格納されている、 authentication_policy_prod_1 という名前の認証ポリシーが割り当てられている各ユーザーの行を返します。

SELECT *
FROM TABLE(
    my_db.INFORMATION_SCHEMA.POLICY_REFERENCES(
      POLICY_NAME => 'my_db.my_schema.authentication_policy_prod_1'
  )
);

ロックアウトを防止する¶

アカウントを管理する認証ポリシーが厳格な状況では、セキュリティ統合によってロックアウトが発生した場合に管理者が回復オプションとして使用するための、制限のない認証ポリシーを作成できます。たとえば、管理者のみに PASSWORD 認証方法を含めることができます。ユーザーレベルの認証ポリシーは、より制限の厳しいアカウントレベルのポリシーより優先されます。

CREATE AUTHENTICATION POLICY admin_authentication_policy
  AUTHENTICATION_METHODS = ('SAML', 'PASSWORD')
  CLIENT_TYPES = ('SNOWFLAKE_UI', 'SNOWSQL', 'DRIVERS')
  SECURITY_INTEGRATIONS = ('EXAMPLE_OKTA_INTEGRATION');

このポリシーを管理者に割り当てることができます。

ALTER USER <administrator_name> SET AUTHENTICATION POLICY admin_authentication_policy

認証ポリシーを複製する¶

フェールオーバーと複製グループを使用して、認証ポリシーを複製できます。詳細については、 複製とセキュリティポリシー をご参照ください。

ログイン設定の例¶

このセクションでは、認証ポリシーと SAML2 セキュリティ統合を使用して組み合わせ、ログインフローとセキュリティを制御する方法の例を示します。

CREATE AUTHENTICATION POLICY restrict_client_type_policy
  CLIENT_TYPES = ('SNOWFLAKE_UI')
  COMMENT = 'Only allows access through the web interface';

ALTER USER example_user SET AUTHENTICATION POLICY restrict_client_type_policy;

CREATE SECURITY INTEGRATION example_okta_integration
  TYPE = SAML2
  SAML2_SSO_URL = 'https://okta.example.com';
  ...

CREATE SECURITY INTEGRATION example_azure_integration
  TYPE = SAML2
  SAML2_SSO_URL = 'https://azure-example_acme.com';
  ...

CREATE AUTHENTICATION POLICY multiple_idps_authentication_policy
  AUTHENTICATION_METHODS = ('SAML')
  SECURITY_INTEGRATIONS = ('EXAMPLE_OKTA_INTEGRATION', 'EXAMPLE_AZURE_INTEGRATION');

ALTER ACCOUNT SET AUTHENTICATION POLICY multiple_idps_authentication_policy;

権限とコマンド¶