ALTER SECURITY INTEGRATION (SAML2)¶
Modifica as propriedades de uma integração de segurança SAML2 existente. Para obter mais informações sobre a modificação de outros tipos de integrações de segurança (por exemplo, SCIM), consulte ALTER SECURITY INTEGRATION.
- Consulte também:
CREATE SECURITY INTEGRATION (SAML2) , DROP INTEGRATION , SHOW INTEGRATIONS , DESCRIBE INTEGRATION
Sintaxe¶
ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name> SET
[ TYPE = SAML2 ]
[ ENABLED = { TRUE | FALSE } ]
[ SAML2_ISSUER = '<string_literal>' ]
[ SAML2_SSO_URL = '<string_literal>' ]
[ SAML2_PROVIDER = '<string_literal>' ]
[ SAML2_X509_CERT = '<string_literal>' ]
[ ALLOWED_USER_DOMAINS = ( '<string_literal>' [ , '<string_literal>' , ... ] ) ]
[ ALLOWED_EMAIL_PATTERNS = ( '<string_literal>' [ , '<string_literal>' , ... ] ) ]
[ SAML2_SP_INITIATED_LOGIN_PAGE_LABEL = '<string_literal>' ]
[ SAML2_ENABLE_SP_INITIATED = TRUE | FALSE ]
[ SAML2_SNOWFLAKE_X509_CERT = '<string_literal>' ]
[ SAML2_SIGN_REQUEST = TRUE | FALSE ]
[ SAML2_REQUESTED_NAMEID_FORMAT = '<string_literal>' ]
[ SAML2_POST_LOGOUT_REDIRECT_URL = '<string_literal>' ]
[ SAML2_FORCE_AUTHN = TRUE | FALSE ]
[ SAML2_SNOWFLAKE_ISSUER_URL = '<string_literal>' ]
[ SAML2_SNOWFLAKE_ACS_URL = '<string_literal>' ]
[ COMMENT = '<string_literal>' ]
ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name> UNSET {
ENABLED |
[ , ... ]
}
ALTER [ SECURITY ] INTEGRATION <name> SET TAG <tag_name> = '<tag_value>' [ , <tag_name> = '<tag_value>' ... ]
ALTER [ SECURITY ] INTEGRATION <name> UNSET TAG <tag_name> [ , <tag_name> ... ]
ALTER [ SECURITY ] INTEGRATION <name> REFRESH SAML2_SNOWFLAKE_PRIVATE_KEY
Parâmetros¶
name
Identificador da integração a ser alterada. Se o identificador contiver espaços ou caracteres especiais, toda a cadeia de caracteres deverá ser delimitada por aspas duplas. Os identificadores delimitados por aspas duplas também diferenciam letras maiúsculas de minúsculas.
SET ...
Especifica uma ou mais propriedades/parâmetros a serem definidos para a integração (separados por espaços em branco, vírgulas ou novas linhas):
ALLOWED_USER_DOMAINS = ( 'string_literal' [ , 'string_literal' , ... ] )
Especifica uma lista de domínios de e-mail que podem ser autenticados com uma integração de segurança SAML2. Por exemplo,
ALLOWED_USER_DOMAINS = ("example.com", "example2.com", ...)
.This parameter can be used to associate a user with an IdP for configurations that use multiple IdPs. For details, see Uso de vários provedores de identidade para autenticação federada.
ALLOWED_EMAIL_PATTERNS = ( 'string_literal' [ , 'string_literal' , ... ] )
Especifica uma lista de expressões regulares com as quais os endereços de e-mail são comparados para autenticação com uma integração de segurança SAML2. Por exemplo,
ALLOWED_EMAIL_PATTERNS = ("^(.+dev)@example.com$", "^(.+dev)@example2.com$", ... )
.This parameter can be used to associate a user with an IdP for configurations that use multiple IdPs. For details, see Uso de vários provedores de identidade para autenticação federada.
TYPE = SAML2
Especifique o tipo de integração:
SAML2
: cria uma interface de segurança entre o Snowflake e o provedor da identidade.
ENABLED = TRUE | FALSE
Especifica se deve iniciar a operação da integração ou suspendê-la.
TRUE
permite que a integração funcione com base nos parâmetros especificados na definição do canal.FALSE
suspende a integração para manutenção. Qualquer integração entre o Snowflake e um serviço de terceiro não funciona.
SAML2_ISSUER = 'string_literal'
cadeia de caracteres que contém o EntityID/emissor do IdP.
SAML2_SSO_URL = 'string_literal'
A cadeia de caracteres contendo o IdP SSO URL, onde o usuário deve ser redirecionado pelo Snowflake (o provedor de serviço) com uma mensagem SAML
AuthnRequest
.SAML2_PROVIDER = 'string_literal'
A cadeia de caracteres que descreve o IdP.
Uma das seguintes opções: OKTA, ADFS, personalizado.
SAML2_X509_CERT = 'string_literal'
O certificado de assinatura IdP com codificação Base64 em uma linha única sem os marcadores
-----BEGIN CERTIFICATE-----
iniciais e-----END CERTIFICATE-----
finais.SAML2_SP_INITIATED_LOGIN_PAGE_LABEL = 'string_literal'
A cadeia de caracteres contendo a tag a ser exibida após o botão Log In With na página de login.
SAML2_ENABLE_SP_INITIATED = TRUE | FALSE
Booleano indicando se o botão Log In With será mostrado na página de login.
TRUE
exibe o botão Log in With na página de login.FALSE
não exibe o botão Log in With na página de login.
SAML2_SNOWFLAKE_X509_CERT = 'string_literal'
O certificado de autoassinatura com codificação Base64 gerado pelo Snowflake para uso com Criptografia de asserções SAML e Envio de solicitações SAML assinadas.
Você deve ter pelo menos um destes recursos (asserções SAML codificadas ou respostas assinadas SAML) habilitado em sua conta Snowflake para acessar o valor do certificado.
SAML2_SIGN_REQUEST = TRUE | FALSE
O booleano indicando se as solicitações SAML são assinadas.
TRUE
permite que as solicitações SAML sejam assinadas.FALSE
não permite que as solicitações SAML sejam assinadas.
SAML2_REQUESTED_NAMEID_FORMAT = 'string_literal'
O formato SAML NameID permite ao Snowflake definir uma expectativa do atributo de identificação do usuário (isto é, o assunto SAML) na asserção SAML do IdP para assegurar uma autenticação válida para o Snowflake. Se um valor não for especificado, o Snowflake enviará o valor
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
na solicitação de autenticação para o IdP.Opcional.
Se você optar por especificar o formato SAML
NameID
, use um dos seguintes valores:urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
SAML2_POST_LOGOUT_REDIRECT_URL = '<string_literal>'
O ponto de extremidade para o qual Snowflake redireciona os usuários após clicar no botão Log Out no Classic Console.
O Snowflake encerra a sessão do Snowflake ao ser redirecionado para o ponto de extremidade especificado.
SAML2_FORCE_AUTHN = TRUE | FALSE
O booleano indica se os usuários, durante o fluxo inicial de autenticação, são forçados a se autenticar novamente para acessar o Snowflake. Quando ajustado para
TRUE
, o Snowflake define o parâmetroForceAuthn
SAML comoTRUE
na solicitação de saída do Snowflake para o provedor de identidade.TRUE
força os usuários a se autenticarem novamente para acessar o Snowflake, mesmo que exista uma sessão válida com o provedor da identidade.FALSE
não força os usuários a se autenticarem novamente para acessar o Snowflake.
Padrão:
FALSE
.SAML2_SNOWFLAKE_ISSUER_URL = '<string_literal>'
A cadeia de caracteres contendo o
EntityID
/Issuer
do provedor de serviços Snowflake.Se um valor incorreto for especificado, o Snowflake retorna uma mensagem de erro indicando os valores aceitáveis a serem usados.
O valor dessa propriedade deve corresponder à conta Snowflake URL especificada no IdP. Seu valor padrão é a URL de legado. Portanto, se você definir um formato de URL diferente no IdP, certifique-se de definir essa propriedade adequadamente.
SAML2_SNOWFLAKE_ACS_URL = '<string_literal>'
A cadeia de caracteres contendo o URL do Snowflake Assertion Consumer Service para o qual o IdP enviará sua resposta de autenticação SAML de volta ao Snowflake. Esta propriedade será definida na solicitação de autenticação de SAML gerada pelo Snowflake ao iniciar uma operação SAML SSO com o IdP.
Se um valor incorreto for especificado, o Snowflake retorna uma mensagem de erro indicando os valores aceitáveis a serem usados.
O valor dessa propriedade deve corresponder à conta Snowflake URL especificada no IdP. Seu valor padrão é a URL de legado. Portanto, se você definir um formato de URL diferente no IdP, certifique-se de definir essa propriedade adequadamente.
Padrão:
https://<localizador_conta>.<região>.snowflakecomputing.com/fed/login
COMMENT = 'string_literal'
Adiciona um comentário ou substitui um comentário existente para a integração.
Padrão: sem valor
TAG tag_name = 'tag_value' [ , tag_name = 'tag_value' , ... ]
Especifica o nome da tag e o valor da cadeia de caracteres dela.
O valor de tag é sempre uma cadeia de caracteres, e o número máximo de caracteres do valor da tag é 256.
Para obter informações sobre como especificar tags em uma instrução, consulte Cotas de tags para objetos e colunas.
UNSET ...
Especifica uma ou mais propriedades/parâmetros a serem desativados para a integração de segurança, o que os restaura aos seus padrões:
ENABLED
TAG tag_name [ , tag_name ... ]
REFRESH SAML2_SNOWFLAKE_PRIVATE_KEY
Gera uma nova chave privada e um certificado autoassinado para uma integração de segurança SAML2. A chave privada antiga e o certificado autoassinado são substituídos pelos novos. Para obter mais informações sobre práticas recomendadas para rotação de chaves, consulte Gerenciamento de sua integração de segurança SAML2.
Notas de uso¶
Os clientes devem garantir que nenhum dado pessoal (exceto para um objeto do usuário), dados sensíveis, dados controlados por exportação ou outros dados regulamentados sejam inseridos como metadados ao usar o serviço Snowflake. Para obter mais informações, consulte Campos de metadados no Snowflake.
Depois de alternar seu
SAML2_SNOWFLAKE_PRIVATE_KEY
usando o comandoREFRESH
, você precisa carregar o novo valorSAML2_SNOWFLAKE_X509_CERT
para seu IdP, caso contrário, a autenticação SAML deixará de funcionar. Para obter mais informações sobre as práticas recomendadas em relação à alternância de chaves, consulte Gerenciamento de sua integração de segurança SAML2.
Exemplos¶
O exemplo a seguir inicia a operação de uma integração suspensa:
ALTER SECURITY INTEGRATION myint SET ENABLED = TRUE;
O exemplo a seguir alterna a chave privada e gera um novo certificado autoassinado para uma integração de segurança SAML2 chamada
my_idp
:Cuidado
Depois de executar o comando abaixo, a autenticação SAML para de funcionar porque seu IdP ainda usa seu certificado
SAML2_SNOWFLAKE_X509_CERT
antigo. Para minimizar interrupções, você deve executar este comando quando os usuários não estiverem tão ativos. Para obter mais informações, consulte Gerenciamento de sua integração de segurança SAML2.alter security integration my_idp refresh SAML2_SNOWFLAKE_PRIVATE_KEY;