페더레이션 인증을 위해 여러 ID 공급자 사용하기

사용자가 여러 ID 공급자(IdP)를 통해 인증할 수 있도록 Snowflake를 구성할 수 있습니다.

여러 IdP를 사용하는 페더레이션 환경 구현은 다음 단계로 구성됩니다.

  1. (이 항목에서) 식별자 우선 로그인 흐름 을 활성화합니다.

  2. 각각의 ID 공급자를 구성합니다.

  3. 각 IdP에 대해 하나씩 여러 개의 SAML 보안 통합을 만듭니다.

  4. (이 항목에서) 사용자를 IdP와 연결합니다.

참고

여러 IdP를 사용하여 환경을 구현할 때 다음 사항에 유의하십시오.

  • 각 IdP에는 해당하는 SAML 보안 통합이 있어야 합니다. 더 이상 사용되지 않는 SAML_IDENTITY_PROVIDER 매개 변수를 사용하는 기존 단일 IdP 환경이 있는 경우 SYSTEM$MIGRATE_SAML_IDP_REGISTRATION 함수를 사용하여 이 환경을 SAML 보안 통합으로 마이그레이션해야 합니다.

  • 현재, Snowflake 드라이버 중 일부만 여러 ID 공급자의 사용을 지원합니다. 이러한 드라이버에는 JDBC, ODBC 및 Python이 포함됩니다.

식별자 우선 로그인 활성화하기

계정의 페더레이션 환경에서 여러 IdP를 사용하는 경우 Snowflake는 사용자에게 인증 옵션을 제시하기 전에 사용자와 연결된 IdP를 확인할 수 있어야 합니다. 이 흐름에서 Snowflake는 사용자에게 이메일 주소나 사용자 이름만 입력하라는 메시지를 표시한 다음, 사용자가 식별되면 인증 방법을 표시합니다. 사용자와 연결된 IdP만 인증 옵션으로 나타납니다.

여러 IdP를 사용 중이라면 식별자 우선 로그인 흐름을 활성화해야 합니다. 식별자 우선 로그인을 활성화하려면 ENABLE_IDENTIFIER_FIRST_LOGIN 매개 변수를 TRUE 로 설정하십시오.

식별자 우선 로그인 흐름에 대한 자세한 내용은 식별자 우선 로그인 섹션을 참조하십시오.

사용자를 IdP와 연결하기

여러 IdP가 있는 환경에서는 사용자를 IdP와 연결하려는 방법을 선택할 수 있습니다. 인증 정책인 IdP와 연결된 보안 통합을 사용하거나 두 가지 방법을 결합할 수 있습니다.

보안 통합:

각 IdP와 연결된 SAML2 보안 통합의 ALLOWED_USER_DOMAINSALLOWED_EMAIL_PATTERNS 속성을 사용합니다. 이 구성에서는 EMAIL 이 보안 통합의 이메일 주소 도메인 또는 패턴과 일치하는 경우 사용자에게 IdP만 인증 옵션으로 표시됩니다.

인증 정책:

사용자가 사용할 수 있는 보안 통합을 지정하려면 인증 정책SECURITY_INTEGRATIONS 속성을 사용하십시오. 이 구성에서는 인증 정책이 전체 계정 또는 개별 사용자에게 할당됩니다. 사용자는 인증 정책에 지정된 보안 통합과 연결된 IdP로만 인증할 수 있습니다.

사용자가 사용이 허용된 ID 공급자만 볼 수 있도록 하려면 여러 인증 정책을 생성한 다음 적절한 정책을 사용자에게 할당하십시오.

여러 IdP를 구현하기 위해 인증 정책을 사용하는 예는 한 계정에서 여러 ID 공급자의 인증 허용하기 섹션을 참조하십시오.

결합됨:

보안 통합과 인증 정책 방법을 결합하여 여러 IdP가 있는 환경에서 사용자의 인증 방법을 더욱 구체화할 수 있습니다.

두 가지 방법을 모두 사용하는 경우 Snowflake는 먼저 사용자 로그인을 관리하는 인증 정책과 연결된 보안 통합을 평가합니다. Snowflake가 보안 통합을 식별하면 사용자의 EMAILALLOWED_USER_DOMAINSALLOWED_EMAIL_PATTERNS 속성을 기반으로 통합 중 하나와 일치됩니다. Snowflake는 사용자의 EMAIL 과 일치하는 보안 통합에 대해 IdP 옵션만 표시합니다.

언어: 한국어