Autenticação OAuth mudança no comportamento da política de redes (adiado)¶

Autenticação OAuth do Snowflake: alteração na política de redes utilizada para uma solicitação do cliente para o Snowflake¶

O OAuth do Snowflake permite usar uma política de redes para restringir o tráfego de rede do cliente OAuth e do usuário que está autenticando. Pode haver três políticas de redes diferentes restringindo esse tráfego:

• Uma política de redes que controla as solicitações do cliente OAuth. Essa política de redes está associada à integração de segurança que permite que o cliente interaja com o Snowflake.

• Uma política de redes que controla as solicitações do usuário que está autenticando. Essa política de redes está associada ao usuário.

• Uma política de redes em nível de conta que rege quando não há uma política de redes em nível de integração ou de usuário.

Essa alteração de comportamento afeta qual política de redes rege uma solicitação do cliente OAuth para o Snowflake. O diagrama a seguir destaca a solicitação afetada pela alteração:

Antes da mudança:

A política de redes em nível de usuário, e não a política de redes em nível de integração, rege uma solicitação que envia um token de acesso do cliente OAuth para o Snowflake como servidor de recursos.

Após a mudança:

A política de redes em nível de integração, se especificada, controla uma solicitação que envia um token de acesso do OAuth do cliente para Snowflake como o servidor de recursos. Se não houver uma política de redes em nível de integração, a política de redes em nível de conta prevalecerá.

As políticas de redes que regem outras solicitações ao Snowflake não foram alteradas:

• As solicitações de autorização e consentimento do usuário enviadas pelo usuário ao Snowflake ainda são regidas pela política de redes em nível de usuário, se especificada.

• A solicitação de token de acesso enviada do cliente OAuth para o Snowflake ainda é regida pela política de redes em nível de integração, se especificada.

OAuth externo: A política de redes em nível de integração tem precedência¶

Quando esse pacote estiver ativado, você poderá associar uma política de redes a uma integração de segurança OAuth externa. Anteriormente, apenas uma integração de segurança OAuth do Snowflake podia ser associada a uma política de redes.

Como parte dessa mudança, Snowflake não considerará mais políticas de redes em nível de usuário ao restringir o tráfego de rede do. OAuth Cliente. Snowflake aplicará essa alteração de forma incremental de acordo com o seguinte cronograma:

• ** Quando a alteração é Ativada por padrão**, Snowflake considera a política de redes em nível de usuário e a política de redes em nível de integração ao restringir solicitações de OAuth Cliente.

  Para evitar falhas durante este período, anexe a política de redes de nível de usuário atual à integração de segurança. O código a seguir mostra como determinar a política de redes que é atribuída ao usuário e, em seguida, atribuir essa mesma política à integração.

  Encontre a política de redes anexada ao usuário:

  SHOW PARAMETERS LIKE 'network_policy' IN USER <user_name>;
  

  Copy

  Anexe a política de redes retornada pelo comando anterior à integração de segurança do OAuth externo:

  ALTER SECURITY INTEGRATION <external_oauth_integration_name>
    SET NETWORK_POLICY = <network_policy_attached_to_user>;
  

  Copy

• quando a alteração é geralmente ativada, uma política de redes em nível de usuário não tem efeito sobre as solicitações do cliente OAuth para Snowflake. O Snowflake verifica essas solicitações em relação à política de redes em nível de integração e, em seguida, verifica a política em nível de conta. Como a política de redes no nível de usuário não tem efeito, você deve removê-la do usuário executando o seguinte comando:

  ALTER USER <user_name> UNSET NETWORK_POLICY;
  

  Copy

Ref: 2094