ALTER SECURITY INTEGRATION (SAML2)

Modifica as propriedades de uma integração de segurança SAML2 existente. Para obter mais informações sobre a modificação de outros tipos de integrações de segurança (por exemplo, SCIM), consulte ALTER SECURITY INTEGRATION.

Consulte também:

CREATE SECURITY INTEGRATION (SAML2) , DROP INTEGRATION , SHOW INTEGRATIONS , DESCRIBE INTEGRATION

Sintaxe

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name> SET
    [ TYPE = SAML2 ]
    [ ENABLED = { TRUE | FALSE } ]
    [ SAML2_ISSUER = '<string_literal>' ]
    [ SAML2_SSO_URL = '<string_literal>' ]
    [ SAML2_PROVIDER = '<string_literal>' ]
    [ SAML2_X509_CERT = '<string_literal>' ]
    [ SAML2_SP_INITIATED_LOGIN_PAGE_LABEL = '<string_literal>' ]
    [ SAML2_ENABLE_SP_INITIATED = TRUE | FALSE ]
    [ SAML2_SNOWFLAKE_X509_CERT = '<string_literal>' ]
    [ SAML2_SIGN_REQUEST = TRUE | FALSE ]
    [ SAML2_REQUESTED_NAMEID_FORMAT = '<string_literal>' ]
    [ SAML2_POST_LOGOUT_REDIRECT_URL = '<string_literal>' ]
    [ SAML2_FORCE_AUTHN = TRUE | FALSE ]
    [ SAML2_SNOWFLAKE_ISSUER_URL = '<string_literal>' ]
    [ SAML2_SNOWFLAKE_ACS_URL = '<string_literal>' ]
    [ COMMENT = '<string_literal>' ]

ALTER [ SECURITY ] INTEGRATION [ IF EXISTS ] <name> UNSET {
    ENABLED |
    [ , ... ]
    }

ALTER [ SECURITY ] INTEGRATION <name> SET TAG <tag_name> = '<tag_value>' [ , <tag_name> = '<tag_value>' ... ]

ALTER [ SECURITY ] INTEGRATION <name> UNSET TAG <tag_name> [ , <tag_name> ... ]

ALTER [ SECURITY ] INTEGRATION <name> REFRESH SAML2_SNOWFLAKE_PRIVATE_KEY
Copy

Parâmetros

name

Identificador da integração a ser alterada. Se o identificador contiver espaços ou caracteres especiais, toda a cadeia de caracteres deverá ser delimitada por aspas duplas. Os identificadores delimitados por aspas duplas também diferenciam letras maiúsculas de minúsculas.

SET ...

Especifica uma ou mais propriedades/parâmetros a serem definidos para a integração (separados por espaços em branco, vírgulas ou novas linhas):

TYPE = SAML2

Especifique o tipo de integração:

  • SAML2: cria uma interface de segurança entre o Snowflake e o provedor da identidade.

ENABLED = TRUE | FALSE

Especifica se deve iniciar a operação da integração ou suspendê-la.

  • TRUE permite que a integração funcione com base nos parâmetros especificados na definição do canal.

  • FALSE suspende a integração para manutenção. Qualquer integração entre o Snowflake e um serviço de terceiro não funciona.

SAML2_ISSUER = 'string_literal'

cadeia de caracteres que contém o EntityID/emissor do IdP.

SAML2_SSO_URL = 'string_literal'

A cadeia de caracteres contendo o IdP SSO URL, onde o usuário deve ser redirecionado pelo Snowflake (o provedor de serviço) com uma mensagem SAML AuthnRequest.

SAML2_PROVIDER = 'string_literal'

A cadeia de caracteres que descreve o IdP.

Uma das seguintes opções: OKTA, ADFS, personalizado.

SAML2_X509_CERT = 'string_literal'

O certificado de assinatura IdP com codificação Base64 em uma linha única sem os marcadores -----BEGIN CERTIFICATE----- iniciais e -----END CERTIFICATE----- finais.

SAML2_SP_INITIATED_LOGIN_PAGE_LABEL = 'string_literal'

A cadeia de caracteres contendo a tag a ser exibida após o botão Log In With na página de login.

SAML2_ENABLE_SP_INITIATED = TRUE | FALSE

Booleano indicando se o botão Log In With será mostrado na página de login.

  • TRUE exibe o botão Log in With na página de login.

  • FALSE não exibe o botão Log in With na página de login.

SAML2_SNOWFLAKE_X509_CERT = 'string_literal'

O certificado de autoassinatura com codificação Base64 gerado pelo Snowflake para uso com Criptografia de asserções SAML e Envio de solicitações SAML assinadas.

Você deve ter pelo menos um destes recursos (asserções SAML codificadas ou respostas assinadas SAML) habilitado em sua conta Snowflake para acessar o valor do certificado.

SAML2_SIGN_REQUEST = TRUE | FALSE

O booleano indicando se as solicitações SAML são assinadas.

  • TRUE permite que as solicitações SAML sejam assinadas.

  • FALSE não permite que as solicitações SAML sejam assinadas.

SAML2_REQUESTED_NAMEID_FORMAT = 'string_literal'

O formato SAML NameID permite ao Snowflake definir uma expectativa do atributo de identificação do usuário (isto é, o assunto SAML) na asserção SAML do IdP para assegurar uma autenticação válida para o Snowflake. Se um valor não for especificado, o Snowflake enviará o valor urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress na solicitação de autenticação para o IdP.

Opcional.

Se você optar por especificar o formato SAML NameID, use um dos seguintes valores:

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

  • urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName

  • urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName

  • urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos

  • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

SAML2_POST_LOGOUT_REDIRECT_URL = '<string_literal>'

O ponto de extremidade para o qual Snowflake redireciona os usuários após clicar no botão Log Out no Classic Console.

O Snowflake encerra a sessão do Snowflake ao ser redirecionado para o ponto de extremidade especificado.

SAML2_FORCE_AUTHN = TRUE | FALSE

O booleano indica se os usuários, durante o fluxo inicial de autenticação, são forçados a se autenticar novamente para acessar o Snowflake. Quando ajustado para TRUE, o Snowflake define o parâmetro ForceAuthn SAML como TRUE na solicitação de saída do Snowflake para o provedor de identidade.

  • TRUE força os usuários a se autenticarem novamente para acessar o Snowflake, mesmo que exista uma sessão válida com o provedor da identidade.

  • FALSE não força os usuários a se autenticarem novamente para acessar o Snowflake.

Padrão: FALSE.

SAML2_SNOWFLAKE_ISSUER_URL = '<string_literal>'

A cadeia de caracteres contendo o EntityID / Issuer do provedor de serviços Snowflake.

Se um valor incorreto for especificado, o Snowflake retorna uma mensagem de erro indicando os valores aceitáveis a serem usados.

O valor dessa propriedade deve corresponder à conta Snowflake URL especificada no IdP. Seu valor padrão é a URL de legado. Portanto, se você definir um formato de URL diferente no IdP, certifique-se de definir essa propriedade adequadamente.

SAML2_SNOWFLAKE_ACS_URL = '<string_literal>'

A cadeia de caracteres contendo o URL do Snowflake Assertion Consumer Service para o qual o IdP enviará sua resposta de autenticação SAML de volta ao Snowflake. Esta propriedade será definida na solicitação de autenticação de SAML gerada pelo Snowflake ao iniciar uma operação SAML SSO com o IdP.

Se um valor incorreto for especificado, o Snowflake retorna uma mensagem de erro indicando os valores aceitáveis a serem usados.

O valor dessa propriedade deve corresponder à conta Snowflake URL especificada no IdP. Seu valor padrão é a URL de legado. Portanto, se você definir um formato de URL diferente no IdP, certifique-se de definir essa propriedade adequadamente.

Padrão: https://<localizador_conta>.<região>.snowflakecomputing.com/fed/login

COMMENT = 'string_literal'

Adiciona um comentário ou substitui um comentário existente para a integração.

Padrão: sem valor

TAG tag_name = 'tag_value' [ , tag_name = 'tag_value' , ... ]

Especifica o nome da tag e o valor da cadeia de caracteres dela.

O valor de tag é sempre uma cadeia de caracteres, e o número máximo de caracteres do valor da tag é 256.

Para obter mais detalhes sobre como especificar tags em uma instrução, consulte Cotas de tags para objetos e colunas.

UNSET ...

Especifica uma ou mais propriedades/parâmetros a serem desativados para a integração de segurança, o que os restaura aos seus padrões:

  • ENABLED

  • TAG tag_name [ , tag_name ... ]

REFRESH SAML2_SNOWFLAKE_PRIVATE_KEY

Gera uma nova chave privada e um certificado autoassinado para uma integração de segurança SAML2. A chave privada antiga e o certificado autoassinado são substituídos pelos novos. Para obter mais informações sobre práticas recomendadas para rotação de chaves, consulte Gerenciamento de sua integração de segurança SAML2.

Notas de uso

  • Os clientes devem garantir que nenhum dado pessoal (exceto para um objeto do usuário), dados sensíveis, dados controlados por exportação ou outros dados regulamentados sejam inseridos como metadados ao usar o serviço Snowflake. Para obter mais informações, consulte Campos de metadados no Snowflake.

  • Depois de alternar seu SAML2_SNOWFLAKE_PRIVATE_KEY usando o comando REFRESH, você precisa carregar o novo valor SAML2_SNOWFLAKE_X509_CERT para seu IdP, caso contrário, a autenticação SAML deixará de funcionar. Para obter mais informações sobre as práticas recomendadas em relação à alternância de chaves, consulte Gerenciamento de sua integração de segurança SAML2.

Exemplos

  • O exemplo a seguir inicia a operação de uma integração suspensa:

    ALTER SECURITY INTEGRATION myint SET ENABLED = TRUE;
    
    Copy
  • O exemplo a seguir alterna a chave privada e gera um novo certificado autoassinado para uma integração de segurança SAML2 chamada my_idp:

    Cuidado

    Depois de executar o comando abaixo, a autenticação SAML para de funcionar porque seu IdP ainda usa seu certificado SAML2_SNOWFLAKE_X509_CERT antigo. Para minimizar interrupções, você deve executar este comando quando os usuários não estiverem tão ativos. Para obter mais informações, consulte Gerenciamento de sua integração de segurança SAML2.

    alter security integration my_idp refresh SAML2_SNOWFLAKE_PRIVATE_KEY;
    
    Copy