ALTER AUTHENTICATION POLICY¶

Sintaxe¶

ALTER AUTHENTICATION POLICY <name> RENAME TO <new_name>

ALTER AUTHENTICATION POLICY [ IF EXISTS ] <name> SET
  [ AUTHENTICATION_METHODS = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ MFA_AUTHENTICATION_METHODS = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ MFA_ENROLLMENT = { REQUIRED | OPTIONAL } ]
  [ CLIENT_TYPES = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ SECURITY_INTEGRATIONS = ( '<string_literal>' [ , '<string_literal>' , ...  ] ) ]
  [ COMMENT = '<string_literal>' ]

ALTER AUTHENTICATION POLICY [ IF EXISTS ] <name> UNSET
  [ CLIENT_TYPES ]
  [ AUTHENTICATION_METHODS ]
  [ SECURITY_INTEGRATIONS ]
  [ MFA_AUTHENTICATION_METHODS ]
  [ MFA_ENROLLMENT ]
  [ COMMENT ]

Parâmetros¶

name

Especifica o identificador para a política de autenticação a ser alterada. Se o identificador contiver espaços ou caracteres especiais, você deverá colocar a cadeia de caracteres entre aspas duplas. Os identificadores entre aspas duplas diferenciam maiúsculas de minúsculas. O identificador deve atender aos requisitos de identificador.

RENAME TO ...

Especifica um novo nome para uma política de autenticação existente.

SET ...

Especifica uma ou mais propriedades a serem definidas para a política de autenticação, separadas por espaços em branco, vírgulas ou novas linhas.

AUTHENTICATION_METHODS = ( 'string_literal' [ , 'string_literal' , ... ] )

Altera os métodos de autenticação permitidos durante o login. Este parâmetro aceita um ou mais dos seguintes valores:

Cuidado

A restrição por método de autenticação pode ter consequências indesejadas, como o bloqueio de conexões de driver ou integrações de terceiros.

ALL

Permitir todos os métodos de autenticação.

SAML

Permite integrações de segurança SAML2. Se SAML estiver presente, uma opção de login SSO será exibida. Se SAML não estiver presente, uma opção de login SSO não aparecerá.

PASSWORD

Permite que os usuários se autentiquem usando nome de usuário e senha.

OAUTH

Permite OAuth externo.

KEYPAIR

Permite autenticação do par de chaves.

Padrão: ALL.

MFA_AUTHENTICATION_METHODS = ( 'string_literal' [ , 'string_literal' , ... ] )

Uma lista de métodos de autenticação que impõem autenticação multifator (MFA) durante o login. Os métodos de autenticação não listados neste parâmetro não solicitam autenticação multifator.

Os seguintes métodos de autenticação são compatíveis com MFA:

• SAML

• PASSWORD

Este parâmetro aceita um ou mais dos seguintes valores:

SAML

Solicita MFA aos usuários, se estiverem inscritos em MFA, ao autenticar com integrações SAML2 de segurança.

PASSWORD

Solicita MFA aos usuários, caso estejam inscritos para MFA, ao autenticar com um nome de usuário e senha.

Padrão: ('PASSWORD', 'SAML').

MFA_ENROLLMENT = { REQUIRED | OPTIONAL }

Altera se um usuário deve se registrar para autenticação multifator.

REQUIRED

Obriga os usuários a se inscreverem para MFA. Se esse valor for usado, o parâmetro CLIENT_TYPES deverá incluir SNOWFLAKE_UI, visto que Snowsight é o único lugar onde os usuários podem se registrar na autenticação multifator (MFA).

OPTIONAL

Os usuários podem escolher se desejam se inscrever para MFA.

Padrão: OPTIONAL.

CLIENT_TYPES = ( 'string_literal' [ , 'string_literal' , ... ] )

Altera quais clientes podem autenticar com Snowflake.

The CLIENT_TYPES property of an authentication policy is a best effort method to block user logins based on specific clients. It should not be used as the sole control to establish a security boundary.

Esta propriedade aceita um ou mais dos seguintes valores:

ALL

Permitir que todos os clientes se autentiquem.

SNOWFLAKE_UI

Snowsight ou Classic Console, as interfaces da Web do Snowflake.

Cuidado

If SNOWFLAKE_UI is not included in the CLIENT_TYPES list, MFA enrollment does not work.

DRIVERS

Os drivers permitem acesso ao Snowflake a partir de aplicativos escritos em linguagens suportadas. Por exemplo, os drivers Go, JDBC, .NET e Snowpipe Streaming.

Cuidado

Se DRIVERS não estiver incluído na lista CLIENT_TYPES, a ingestão automatizada poderá parar de funcionar.

SNOWSQL

Um cliente de linha de comando para conexão com o Snowflake.

Se um cliente tentar se conectar e não for um dos CLIENT_TYPES válidos, a tentativa de login falhará. Se CLIENT_TYPES não estiver definido, qualquer cliente poderá se conectar.

Padrão: ALL.

SECURITY_INTEGRATIONS = ( 'string_literal' [ , 'string_literal' , ... ] )

Altera as integrações de segurança às quais a política de autenticação está associada. Este parâmetro não tem efeito quando SAML ou OAUTH não estão na lista AUTHENTICATION_METHODS.

Todos os valores da lista SECURITY_INTEGRATIONS devem ser compatíveis com os valores da lista AUTHENTICATION_METHODS. Por exemplo, se SECURITY_INTEGRATIONS contiver uma integração de segurança SAML e AUTHENTICATION_METHODS contiver OAUTH, não será possível criar a política de autenticação.

ALL

Permitir todas as integrações de segurança.

Padrão: ALL.

COMMENT = 'string_literal'

Altera o comentário da política de autenticação.

UNSET ...

Especifica as propriedades a serem removidas para a política de autenticação, o que as restaura para os padrões.

Requisitos de controle de acesso¶

Uma função usada para executar este comando SQL deve ter os seguintes privilégios no mínimo:

Observe que operar em qualquer objeto de um esquema também requer o privilégio USAGE no banco de dados e esquema principais.

Para instruções sobre como criar uma função personalizada com um conjunto específico de privilégios, consulte Criação de funções personalizadas.

Para informações gerais sobre concessões de funções e privilégios para executar ações de SQL em objetos protegíveis, consulte Visão geral do controle de acesso.

Notas de uso¶

• Se você quiser atualizar uma política de autenticação existente e precisar ver a definição da política, execute o comando DESCRIBE AUTHENTICATION POLICY ou a função GET_DDL.

Exemplos¶

Altere a lista de clientes permitidos em uma política de autenticação:

ALTER AUTHENTICATION POLICY restrict_client_types_policy SET CLIENT_TYPES = ('SNOWFLAKE_UI', 'SNOWSQL');