カスタムクライアント用のSnowflake OAuth の構成¶
このトピックでは、カスタムクライアントの OAuth サポートを構成する方法について説明します。
このトピックの内容:
ワークフロー¶
カスタムクライアントの OAuth を構成するには、次の高レベルの手順が必要です。
クライアントをSnowflakeに登録します。クライアントを登録するには、統合を作成します。統合は、Snowflakeと OAuth をサポートするクライアントなどのサードパーティサービスの間のインターフェイスを提供するSnowflakeオブジェクトです。
登録プロセスは、クライアント ID とクライアントシークレットを定義します。
Snowflake OAuth エンドポイントへの呼び出しを構成して、Snowflake認証サーバーから認証コードをリクエストし、アクセストークンをリクエストおよび更新します。
初期認証リクエストのオプションの「範囲」パラメーターは、アクセストークンによって許可されるロールを制限し、さらに更新トークンの動作を構成するために使用できます。
ステップ1: OAuth 統合を作成する¶
CREATE SECURITY INTEGRATION コマンドを使用して統合を作成します。
注釈
この SQL コマンドを実行できるのは、アカウント管理者( ACCOUNTADMIN ロールを持つユーザー)またはグローバル CREATE INTEGRATION 権限を持つロールのみです。
統合の使用から特定の役割をブロックする¶
オプションの BLOCKED_ROLES_LIST パラメーターを使用すると、ユーザーが、統合での使用を明示的に同意 できない Snowflakeロールをリストできます。
デフォルトでは、アカウント管理者(つまり、 ACCOUNTADMIN システムロールを持つユーザー)とセキュリティ管理者(つまり、 SECURITYADMIN システムロールを持つユーザー)のロールがこのリストに含まれており、削除はできません。ユーザーがこれらのロールで OAuth を使用できるようにするビジネス上のニーズがあり、セキュリティチームがそれを許可している場合は、 Snowflakeサポート に連絡し、アカウントに対してこれらのロールを許可するようにリクエストしてください。
ネットワークポリシーの管理¶
Snowflakeは OAuthのネットワークポリシーをサポートしています。詳細については、 OAuth およびネットワークポリシー をご参照ください。
統合の例¶
次の例では、キーペア認証を使用する OAuth 統合を作成します。統合では、1日(86400秒)後に期限切れになる更新トークンが許可されます。統合により、ユーザーは SYSADMIN をアクティブロールとしてセッションを開始できなくなります。
CREATE SECURITY INTEGRATION oauth_kp_int
TYPE = OAUTH
ENABLED = TRUE
OAUTH_CLIENT = CUSTOM
OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'
OAUTH_REDIRECT_URI = 'https://localhost.com'
OAUTH_ISSUE_REFRESH_TOKENS = TRUE
OAUTH_REFRESH_TOKEN_VALIDITY = 86400
BLOCKED_ROLES_LIST = ('SYSADMIN')
OAUTH_CLIENT_RSA_PUBLIC_KEY ='
MIIBI
..
';
ステップ2: OAuth エンドポイントを呼び出す¶
OAuth エンドポイントは、クライアントが認証コードをリクエストし、アクセストークンをリクエストおよび更新するために呼び出す URLs です。これらのエンドポイントは、エンドポイントが呼び出されたときに実行される特定の OAuth 2.0ポリシーを参照します。
Snowflakeは、 アカウント識別子 を使用して、次の OAuth エンドポイントを提供します。
- 認証
https://<アカウント識別子>.snowflakecomputing.com/oauth/authorize- トークンリクエスト
https://<アカウント識別子>.snowflakecomputing.com/oauth/token-request
便宜上、Snowflakeはクライアントの登録時にエンドポイントを定義します。統合のエンドポイントを表示するには、 DESCRIBE INTEGRATION を実行します。
たとえば、次の例は ステップ1: OAuth 統合を作成する (このトピック内)で作成した統合に、エンドポイントを返します。
DESC SECURITY INTEGRATION oauth_kp_int; +----------------------------------+---------------+----------------------------------------------------------------------+------------------+ | property | property_type | property_value | property_default | |----------------------------------+---------------+----------------------------------------------------------------------+------------------| ... | OAUTH_AUTHORIZATION_ENDPOINT | String | https://myaccount.snowflakecomputing.com/oauth/authorize | | | OAUTH_TOKEN_ENDPOINT | String | https://myaccount.snowflakecomputing.com/oauth/token-request | | ... +----------------------------------+---------------+----------------------------------------------------------------------+------------------+
認証エンドポイント¶
ユーザーがSnowflakeでクライアントを正常に認証した後、認証エンドポイントを使用して認証付与を取得します。認証エンドポイントは次のとおりです。
https://<account_identifier>.snowflakecomputing.com/oauth/authorize
条件:
<アカウント識別子>アカウントのフルネームを指定します(Snowflakeが提供)。
完全なアカウント名には、アカウントがホストされている 地域、および クラウドプラットフォーム を識別する 追加 のセグメントが含まれている場合があります。
リージョン別のアカウント名の例
アカウントロケーターが
xy12345の場合:
クラウドプラットフォーム / . リージョン
アカウントロケーター . (必要に応じて追加のセグメントを含む)
Amazon Web Services(AWS)
xy12345
xy12345.us-gov-west-1.aws
xy12345.us-east-2.aws
xy12345.us-east-1
xy12345.us-east-1-gov.aws
xy12345.ca-central-1.aws
xy12345.eu-west-1
xy12345.eu-west-2.aws
xy12345.eu-central-1
xy12345.ap-northeast-1.aws
xy12345.ap-northeast-2.aws
xy12345.ap-south-1.aws
xy12345.ap-southeast-1
xy12345.ap-southeast-2Google Cloud Platform(GCP)
xy12345.us-central1.gcp
xy12345.europe-west2.gcp
xy12345.europe-west4.gcpMicrosoft Azure
xy12345.west-us-2.azure
xy12345.central-us.azure
xy12345.east-us-2.azure
xy12345.us-gov-virginia.azure
xy12345.canada-central.azure
xy12345.north-europe.azure
xy12345.west-europe.azure
xy12345.switzerland-north.azure
xy12345.southeast-asia.azure
xy12345.australia-east.azure
-
method GET
重要
認証エンドポイントは、ユーザーが操作できるブラウザーで開く 必要 があります。このエンドポイントでは cURL を使用しないでください。
-
query parameters 注釈
次のパラメーターは URL エンコードする必要があります。
パラメーター
データ型
必須
説明
client_idString
はい
クライアント ID (クライアントの登録時にSnowflakeが提供)
response_typeString
はい
作成された応答タイプ。Snowflakeは認証コードのみをパブリッシュするため、現在
code値をサポートしています。redirect_uriString
はい
URI ユーザーが正常に認証された後にリダイレクトされる場所。クライアントの登録時にSnowflakeに登録された値と一致する必要があります。
stateString
いいえ
Snowflake認証サーバーからの応答で返される2048 ASCII 文字以下の文字列。通常、クロスサイトリクエストフォージェリによる攻撃を防ぐために使用されます。
scopeString
いいえ
アクセスリクエストの範囲を制限するために使用されるスペース区切りの文字列。詳細については、このトピックの 範囲 をご参照ください。
code_challengeString
いいえ
コード交換の証明キーのチャレンジ(PKCE)。シークレットおよびコードチャレンジメソッドを介して生成された文字列。詳細については、 コード交換の証明キー (このトピック内)をご参照ください。
code_challenge_methodString
いいえ
PKCE のコードチャレンジを引き出すために使用されるメソッドを示す文字列。詳細については、 コード交換の証明キー (このトピック)をご参照ください。
ユーザーがクライアントを認証すると、 GET リクエストに次を含む redirect_uri にリダイレクトされます。
パラメーター
説明
codeトークンエンドポイントでアクセストークンと交換できる、存続時間が短い認証コード。
state元のリクエストで提供された
state値、変更なし。
scopeアクセスリクエストの範囲。現在、最初の認証リクエストの
scope値と同じですが、将来異なる可能性があります。詳細については、このトピックの 範囲 をご参照ください。
範囲¶
オプションで、初期認可リクエストの範囲パラメーターは、アクセストークンによって許可される操作とロールを制限します。
認証リクエストの際、ただちに範囲のセマンティクスは確認されますが、必ずしも範囲の有効性が確認されるわけではありません。つまり、ユーザーが認証される前に無効な範囲(例:「bogus_scope」)は拒否されますが、ユーザーがアクセスできない範囲(特定のロールなど)は、ユーザーが認証されるまでエラーになりません。有効な範囲パラメーターは次のとおりです。
-
query parameters パラメーター
必須
説明
refresh_tokenいいえ
認証 URL に含まれている場合、Snowflakeはオフラインアクセスに同意するオプションをユーザーに提示します。このコンテキストでは、オフラインアクセスとは、ユーザーが存在しないときにクライアントがアクセストークンを更新できるようにすることを指します。ユーザーの同意があると、認証サーバーは、認証コードを引き換えるときにアクセストークンに加えて更新トークンを返します。
session:role:ロール名いいえ
ユーザーがセッションに同意できる 単一 ロールのアクセストークンを制限するために使用されます。指定できるセッションロール範囲は1つだけです。この範囲を省略すると、代わりにユーザーの既定のロールが使用されます。ユーザーが同意を承認すると、このスコープが承認 URLに含まれているかどうかに関係なく、Snowflakeは常にセッションのロールを表示します。 .
ロール名は大文字と小文字が区別され、 CREATE ROLE を使用して作成されたときにロール名が引用符で囲まれていない限り、すべて大文字で入力する必要があります。ケースを確認するには、Snowflakeで SHOW ROLES を実行し、出力でロール名を確認します。
範囲パラメーターを認証 URLに追加します。
次の例では、許可をカスタムR1ロールに制限しています。
scope=session:role:R1
次の例は、アクセス/リフレッシュトークンがユーザーの既定のロールを使用し、オフラインアクセスが発生するようにリフレッシュトークンをリクエストすることを示しています。
scope=refresh_token
次の例では、認証をカスタムR1ロールに制限し、オフラインアクセスが発生するように更新トークンをリクエストします。
scope=refresh_token session:role:R1
トークンエンドポイント¶
このエンドポイントは、リクエストパラメーターに応じてアクセストークンまたはリフレッシュトークンを返します。トークンエンドポイントは次のとおりです。
https://<account_identifier>.snowflakecomputing.com/oauth/token-request
条件:
<アカウント識別子>アカウントのフルネームを指定します(Snowflakeが提供)。
完全なアカウント名には、アカウントがホストされている 地域、および クラウドプラットフォーム を識別する 追加 のセグメントが含まれている場合があります。
クラウドプラットフォームと地域のアカウント名の例
アカウントロケーターが
xy12345の場合:
クラウドプラットフォーム / . リージョン
アカウントロケーター . (必要に応じて追加のセグメントを含む)
Amazon Web Services(AWS)
xy12345
xy12345.us-gov-west-1.aws
xy12345.us-east-2.aws
xy12345.us-east-1
xy12345.us-east-1-gov.aws
xy12345.ca-central-1.aws
xy12345.eu-west-1
xy12345.eu-west-2.aws
xy12345.eu-central-1
xy12345.ap-northeast-1.aws
xy12345.ap-northeast-2.aws
xy12345.ap-south-1.aws
xy12345.ap-southeast-1
xy12345.ap-southeast-2Google Cloud Platform(GCP)
xy12345.us-central1.gcp
xy12345.europe-west2.gcp
xy12345.europe-west4.gcpMicrosoft Azure
xy12345.west-us-2.azure
xy12345.central-us.azure
xy12345.east-us-2.azure
xy12345.us-gov-virginia.azure
xy12345.canada-central.azure
xy12345.north-europe.azure
xy12345.west-europe.azure
xy12345.switzerland-north.azure
xy12345.southeast-asia.azure
xy12345.australia-east.azure
-
method POST
-
query parameters パラメーター
データ型
必須
説明
grant_typeString
はい
要求された付与のタイプ: .
authorization_codeは、認証コードをアクセストークンと交換する必要があることを示します。 .refresh_tokenは、アクセストークンを更新する要求を示します。codeString
はい
トークンエンドポイントから返された認証コード。
grant_typeがauthorization_codeに設定されている場合に使用され、必須です。refresh_tokenString
はい
認証コードを引き換えるときに、以前のリクエストからトークンエンドポイントに返された更新トークン。
grant_typeがrefresh_tokenに設定されている場合に使用する必要があります。redirect_uriString
はい
セキュリティ統合( ステップ1: OAuth 統合を作成する を参照)で指定されたとおりに URI をリダイレクトします。認証コードをリクエストするときに認証 URL で使用されます。
grant_typeがauthorization_codeに設定されている場合に使用する必要があります。code_verifierString
いいえ
認証リクエストが
code_challengeパラメーター値で 認証エンドポイント に送信された場合にのみ必要です。 PKCE のコード確認。詳細については、 コード交換の証明キー (このトピック)をご参照ください。
クライアント ID とクライアントシークレットを認証ヘッダーに含める必要があります。現在、Snowflakeは 基本認証スキーム のみをサポートしています。つまり、期待される値は次の形式です。
Basic Base64(クライアントID:クライアントシークレット)
条件:
パラメーター |
データ型 |
必須 |
説明 |
|---|---|---|---|
|
String |
はい |
統合のクライアント ID 。 |
|
String |
はい |
統合のクライアントシークレット。 |
クライアント ID とクライアントシークレットの両方は、 SYSTEM$SHOW_OAUTH_CLIENT_SECRETS 関数を使用して取得できます。
クライアントID と クライアントシークレット の間の : 文字に注意してください。
-
post body 次の属性を持つ JSON オブジェクトが返されます。
パラメーター
データ型
説明
access_tokenString
Snowflakeセッションの確立に使用されるアクセストークン
refresh_tokenString
更新トークン。クライアントが更新トークンをパブリッシュしないように構成されている場合、またはユーザーが
refresh_token範囲に同意しなかった場合はパブリッシュされません。expires_in整数
トークンの有効期限が切れるまでの残りの秒数
token_typeString
アクセストークンタイプ。現在、常に
Bearerです。usernameString
アクセストークンが属するユーザー名。現在、アクセストークンの認証コードを交換する場合にのみ返されます。
POST メッセージのコンテンツタイプのヘッダーが次のように設定されていることを確認します。
Content-type: application/x-www-form-urlencoded
成功した応答の例¶
次の例は、アクセストークンと更新トークンの認証コードを交換するときの正常な応答を示しています。
{
"access_token": "ACCESS_TOKEN",
"expires_in": 600,
"refresh_token": "REFRESH_TOKEN",
"token_type": "Bearer",
"username": "user1",
}
失敗した応答の例¶
次の例は、失敗した応答を示しています。
{
"data" : null,
"message" : "This is an invalid client.",
"code" : null,
"success" : false,
"error" : "invalid_client"
}
message 文字列値はエラーの説明であり、 error はエラータイプです。返されるエラーの種類の詳細については、 OAuth エラー コード をご参照ください。
コード交換の証明キー¶
Snowflakeは、 RFC 7636 で説明されているように、 authorization_code 付与タイプを使用してアクセストークンを取得するためのコード交換用の証明キー(PKCE)をサポートしています。PKCE は、認証コード傍受による攻撃の可能性を減らすために使用でき、クライアントシークレットを十分安全に保持できないクライアントに適しています。
デフォルトでは、 PKCE はオプションであり、 code_challenge および code_challenge_method パラメーターが両方とも許可エンドポイント URLに含まれている場合にのみ強制されます。ただし、 OAuth フローをより安全にするために、クライアントに対してすべての認証に PKCE を要求することを 強く お勧めします。
以下は、Snowflakeの PKCE の仕組みを説明しています。
クライアントは コード確認 と呼ばれるシークレットを作成し、それを変換して コードチャレンジ を生成します。クライアントはシークレットを保持します。
重要
セクション4.1 RFC 7636 に従って、許可された ASCII 文字から コード識別子 を生成します。
ユーザーを認証 URL に誘導するクライアントは、次の2つのクエリパラメーターを追加します。
code_challengeステップ1で生成されたコードチャレンジを指定します。
code_challenge_methodコードチャレンジを生成するために、ステップ1のコード確認で使用される変換を指定します。現在、Snowflakeは SHA256 のみをサポートしているため、この値は
S256に設定する必要があります。SHA256 の変換アルゴリズムはBASE64URL-ENCODE(SHA256(ASCII(code_verifier)))です。
ユーザーがリクエストされた範囲に同意するか、Snowflakeがそのユーザーに同意があると判断した後、認証コードがパブリッシュされます。
クライアントは、Snowflake認証サーバーから認証コードを受け取り、トークンエンドポイントへのリクエストの
code_verifierとともに送信します。Snowflakeは
code_verifier値を変換し、変換された値が認証の生成時に使用されるcode_challenge値と一致することを確認します。これらの値が一致する場合、許可サーバーはアクセストークンと更新トークンをパブリッシュします。
キーペア認証の使用¶
Snowflakeは、 OAuth トークンエンドポイントの呼び出しに、一般的なユーザー名/パスワード認証ではなく、キーペア認証の使用をサポートしています。この認証方法には、2048ビット(最小)の RSA キーペアが必要です。 OpenSSLを使用して PEM (Privacy Enhanced Mail)公開/秘密キーペアを生成します。公開キーは、Snowflakeクライアントを使用するSnowflakeユーザーに割り当てられます。
公開/秘密キーペアを構成するには:
ターミナルウィンドウのコマンドラインから、秘密キーを生成します。
$ openssl genrsa 2048 | openssl pkcs8 -topk8 -inform PEM -out rsa_key.p8
OpenSSL は、秘密キーファイルの暗号化に使用されるパスフレーズの入力を求めます。強力なパスフレーズを使用して秘密キーを保護することをお勧めします。このパスフレーズを記録します。Snowflakeに接続するときに入力します。パスフレーズは秘密キーの保護にのみ使用され、Snowflakeには送信されません。
サンプル PEM 秘密キー
-----BEGIN ENCRYPTED PRIVATE KEY----- MIIE6TAbBgkqhkiG9w0BBQMwDgQILYPyCppzOwECAggABIIEyLiGSpeeGSe3xHP1 wHLjfCYycUPennlX2bd8yX8xOxGSGfvB+99+PmSlex0FmY9ov1J8H1H9Y3lMWXbL ... -----END ENCRYPTED PRIVATE KEY-----
コマンドラインから、秘密キーを参照して公開キーを生成します。
$ openssl rsa -in rsa_key.p8 -pubout -out rsa_key.pub
サンプル PEM 公開キー
-----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy+Fw2qv4Roud3l6tjPH4 zxybHjmZ5rhtCz9jppCV8UTWvEXxa88IGRIHbJ/PwKW/mR8LXdfI7l/9vCMXX4mk ... -----END PUBLIC KEY-----
公開キーファイルと秘密キーファイルを保存用のローカルディレクトリにコピーします。ファイルへのパスを記録します。
秘密キーは PKCS#8(公開キー暗号化標準)形式を使用して格納され、前の手順で指定したパスフレーズを使用して暗号化されることに注意してください。ただし、オペレーティングシステムが提供するファイル許可メカニズムを使用して、ファイルを不正アクセスから保護する必要があります。ファイルが使用されていない場合、ファイルを保護するのはユーザーの責任です。
ALTER SECURITY INTEGRATION を使用して、公開キーを統合オブジェクトに割り当てます。例:
ALTER SECURITY INTEGRATION myint SET OAUTH_CLIENT_RSA_PUBLIC_KEY='MIIBIjANBgkqh...';
注釈
アカウント管理者のみが ALTER SECURITY INTEGRATION コマンドを実行できます。
コマンド内で公開キーのヘッダーとフッターを除外します。
DESCRIBE INTEGRATION を使用して、公開キーのフィンガープリントを確認します。
DESC SECURITY INTEGRATION myint; +----------------------------------+---------------+----------------------------------------------------------------------+------------------+ | property | property_type | property_value | property_default | |----------------------------------+---------------+----------------------------------------------------------------------+------------------| ... | OAUTH_CLIENT_RSA_PUBLIC_KEY_FP | String | SHA256:MRItnbO/123abc/abcdefghijklmn12345678901234= | | | OAUTH_CLIENT_RSA_PUBLIC_KEY_2_FP | String | | | ... +----------------------------------+---------------+----------------------------------------------------------------------+------------------+
注釈
OAUTH_CLIENT_RSA_PUBLIC_KEY_2_FPプロパティについては、このトピックの キーローテーション で説明しています。以下のサンプルコードを変更して実行します。コードは秘密キーファイルを復号化し、Snowflake認証サーバーに渡します。
セキュリティパラメーターを更新します。
<秘密キー>:テキストエディターでrsa_key.p8ファイルを開き、次の間の行をコピーします。-----BEGIN RSA PRIVATE KEY----- ... -----END RSA PRIVATE KEY-----
セッションパラメーターを更新します。
<account_identifier>:アカウントのフルネームを指定します(Snowflakeが提供)。
JSON ウェブトークン(JWT)フィールドを更新します。
-
post body 次の標準フィールド(「クレーム」)を持つ JSON オブジェクト:
属性
データ型
必須「
説明
issString
はい
クライアントID.公開キーフィンガープリントの形式で JWT をパブリッシュしたプリンシパルを指定します。クライアントIDは OAuth クライアント統合のクライアント ID および公開キーフィンガープリントは、確認中に使用される公開キーのフィンガープリントです。subString
はい
アカウント識別子.クライアントIDの形式の JWT のサブジェクト。アカウント識別子はSnowflakeアカウントの完全な名前で、クライアントIDは OAuth クライアント統合のクライアント ID です。アカウントがホストされているクラウドプラットフォーム(AWS またはAzure)およびリージョンによっては、完全なアカウント名に 追加 のセグメントが必要な場合があります。詳細については、 トークンエンドポイント のアカウント変数の説明をご参照ください。iatタイムスタンプ
いいえ
トークンがパブリッシュされた時刻。
expタイムスタンプ
はい
トークンの有効期限。この期間は比較的短くする必要があります(例:数分)。
-
サンプルコード
import datetime import json import urllib import jwt import requests private_key = """ -----BEGIN RSA PRIVATE KEY----- <private_key> -----END RSA PRIVATE KEY-----""" public_key_fp = "SHA256:MR..." def _make_request(payload, encoded_jwt_token): token_url = "https://<account_identifier>.snowflakecomputing.com/oauth/token-request" headers = { u'Authorization': "Bearer %s" % (encoded_jwt_token), u'content-type': u'application/x-www-form-urlencoded' } r = requests.post( token_url, headers=headers, data=urllib.urlencode(payload)) return r.json() def make_request_for_access_token(oauth_az_code, encoded_jwt_token): """ Given an Authorization Code, make a request for an Access Token and a Refresh Token.""" payload = { 'grant_type': 'authorization_code', 'code': oauth_az_code } return _make_request(payload, encoded_jwt_token) def make_request_for_refresh_token(refresh_token, encoded_jwt_token): """ Given a Refresh Token, make a request for another Access Token.""" payload = { 'grant_type': 'refresh_token', 'refresh_token': refresh_token } return _make_request(payload, encoded_jwt_token) def main(): account_identifier = "<account_identifier>" client_id = "1234" # found by running DESC SECURITY INTEGRATION issuer = "{}.{}".format(client_id, public_key_fp) subject = "{}.{}".format(account_identifier, client_id) payload = { 'iss': issuer, 'sub': subject, 'iat': datetime.datetime.utcnow(), 'exp': datetime.datetime.utcnow() + datetime.timedelta(seconds=30) } encoded_jwt_token = jwt.encode( payload, private_key, algorithm='RS256') data = make_request_for_access_token(oauth_az_code, encoded_jwt_token) refresh_token = data['refresh_token'] data = make_request_for_refresh_token(refresh_token, encoded_jwt_token) access_token = data['access_token'] if __name__ == '__main__': main()
トークンが作成されたら、トークンエンドポイントにリクエストで送信します。リクエストでは、次のように、通常クライアント ID およびクライアントシークレットに使用される基本認証形式の代わりに、認証ヘッダーとしてベアラー認証形式が必要です。
"Authorization: Bearer JWT_TOKEN"
キーローテーション¶
Snowflakeは、複数のアクティブキーをサポートして、連続したローテーションを可能にします。内部的に従う有効期限のスケジュールに基づいて、公開キーと秘密キーをローテーションして交換します。
現在、 ALTER SECURITY INTEGRATION の OAUTH_CLIENT_RSA_PUBLIC_KEY および OAUTH_CLIENT_RSA_PUBLIC_KEY_2 パラメーターを使用して、最大2個の公開キーを1人のユーザーに関連付けることができます。
キーをローテーションするには:
このトピックの キーペア認証の使用 の次の手順を完了します。
新しい秘密キーと公開キーのセットを生成します。
統合に公開キーを割り当てます。公開キーの値を
OAUTH_CLIENT_RSA_PUBLIC_KEYまたはOAUTH_CLIENT_RSA_PUBLIC_KEY_2(現在使用されていないキーの値)に設定します。例:alter integration myint set oauth_client_rsa_public_key_2='JERUEHtcve...';
Snowflakeに接続するようにコードを更新します。新しい秘密キーを指定します。
Snowflakeは、送信された秘密キーに基づいて、認証のための正しいアクティブな公開キーを確認します。
統合から古い公開キーを削除します。例:
alter integration myint unset rsa_public_key;
エラーコード¶
OAuth に関連付けられたエラーコードのリスト、および認証フロー、トークンのリクエストまたは交換中、または OAuth フロー完了後のSnowflakeセッション作成時に JSON BLOBで返されるエラーについては、 OAuth エラーコード をご参照ください。
ロールの事前認証ユーザーの同意¶
セキュリティ管理者(つまり、 SECURITYADMIN ロールを持つユーザー)以上は、指定されたロールと統合を使用してユーザーのセッションを開始するクライアントの同意を事前認証できます。この同意は、 ADD DELEGATED AUTHORIZATION のキーワードで ALTER USER を使用して付与されます。この委任された認証がない場合、ユーザーは認証後にロールの同意を認証する必要があります。この委任された認証も取り消すことができます。
詳細については、 OAuth のユーザー同意の管理 をご参照ください。