Configurer OAuth pour les connexions Snowflake

Lorsque vous vous connectez à vos données Snowflake, vous avez le choix entre trois options d’authentification. Dans la plupart des cas, nous vous recommandons d’utiliser OAuth. Cette option offre la meilleure combinaison de fonctionnalité et de sécurité.

Avec OAuth, vous pouvez :

  • Utiliser un fournisseur d’identités (IdP) pour faciliter l’accès.
  • Le configurer pour fournir une expérience d’authentification unique (SSO).
  • Appliquer l’authentification multifacteur (AMF).

OAuth 2.0 est un protocole d’autorisation standard de l’industrie. Il est configuré au niveau du navigateur et affiche une boîte de dialogue de connexion dans une fenêtre de navigateur à l’attention de l’utilisateur.

Remarque : veillez à ne pas confondre cette option avec l’option d’authentification Fournisseur d'identités SAML de Tableau dans la boîte de dialogue de connexion. Vous devez vous connecter à l’aide de l’option Se connecter avec OAuth.

Lorsque vous utilisez OAuth, une considération clé consiste à maintenir l’accès au contenu publié sur Tableau Server ou Tableau Online. Lorsque le contenu Tableau se connecte en direct à Snowflake via OAuth, les propriétaires doivent réauthentifier la connexion du classeur chaque fois que le jeton d’accès expire (tous les 90 jours par défaut).

Consultez la rubrique d’aide Snowflake, Configurer Snowflake OAuth pour les applications partenaires(Le lien s’ouvre dans une nouvelle fenêtre), pour plus d’informations sur la définition de la limite d’expiration du jeton d’accès. Si votre entreprise a besoin de prolonger cette période pour éviter les erreurs dans votre contenu Tableau, contactez le support Snowflake(Le lien s’ouvre dans une nouvelle fenêtre)pour obtenir de l’aide. Si vous n’actualisez pas votre contenu manuellement avant cette période, une erreur risque d'avoir lieu lors de la tentative de chargement du classeur Tableau.

Configurer OAuth entre Snowflake et Tableau

Dans une connexion entre Tableau et Snowflake, OAuth doit être configuré sur chacun d’eux.

Remarque : depuis la version 2020.4, votre connexion OAuth peut utiliser AWS PrivateLink ou Azure Private Link. Pour plus d'informations, consultez Modifier OAuth Snowflake en un lien privé avec informations d’identification enregistrées(Le lien s’ouvre dans une nouvelle fenêtre).

À propos de l’utilisation de SSO avec OAuth

L’authentification unique (SSO) ajoute une autre couche de sécurité en plus de l’authentification OAuth. Un fournisseur d'identités distinct configuré pour SSO gère l’authentification pour toutes les activités d’accès dans toutes les applications de votre entreprise. Toutes les demandes de connexion sont acheminées vers le serveur SSO, qui affiche une boîte de dialogue de connexion commune et vérifie les informations d’identification de l’utilisateur par rapport à une base de données centralisée.

Conseil : vous pouvez utiliser les informations d’identification enregistrées pour éviter d’être invité à nouveau à saisir votre mot de passe. Pour plus d’informations, consultez Gérer les informations d'identification enregistrées pour les connexions de données(Le lien s’ouvre dans une nouvelle fenêtre).

Configurer OAuth entre Okta et Snowflake

Snowflake utilise Okta comme fournisseur d’identités (IdP) par défaut pour l’émission de jetons d’accès et l’authentification des identités. Vous devrez configurer les paramètres dans les fonctionnalités Snowflake et Okta pour OAuth et les fonctionnalités d’authentification unique (SSO).

Dans Okta, vous définirez Okta comme un serveur d’authentification OAuth et identifierez Snowflake comme une ressource OAuth. Suivez les étapes de cette rubrique d’aide Snowflake : Configuration d’un fournisseur d’identités pour Snowflake(Le lien s’ouvre dans une nouvelle fenêtre).

À propos de l’utilisation de l’AMF avec OAuth

L’authentification multifacteur (AMF) introduit une nouvelle couche supplémentaire de sécurité. Elle exige au moins deux méthodes d’identification différentes avant que l’utilisateur puisse accéder à une ressource. Les méthodes peuvent inclure :

  • Un mot de passe
  • Un jeton d’un deuxième appareil
  • Biométrie (empreinte digitale ou balayage oculaire, par exemple)
  • Réponse à une question de sécurité

Vous pouvez éventuellement configurer l’authentification multifacteur (AMF) avec Okta ou un autre fournisseur d’identités pour vos connexions entre Tableau et Snowflake. Pour en savoir plus sur la configuration de l’AMF avec Okta, consultez l’Aide d’Okta(Le lien s’ouvre dans une nouvelle fenêtre).

Autres options de connexion

Lorsque vous vous connectez à Snowflake depuis Tableau Desktop, vous avez deux autres options :

  • Fournisseur d'identités SAML
  • Nom d’utilisateur et mot de passe

L’option Fournisseur d'identités SAML ne fonctionne que si Okta est votre fournisseur d’identités et si que l’AMF est désactivée pour les utilisateurs dans Okta. L'option Fournisseur d'identités SAML prend en charge l’authentification SSO mais ne prend pas en charge l’AMF. Dans ce cas, la publication avec des informations d’identification intégrées utilisera un utilisateur spécifique, mais vous ne pouvez pas utiliser les « informations d’identification du Viewer » par utilisateur lorsque vous utilisez Okta SAML.

Remarque : dans le passé, certains clients ont utilisé l’option « navigateur externe(Le lien s’ouvre dans une nouvelle fenêtre) » avec le fournisseur d'identités SAML comme solution de contournement pour réaliser SSO entre Tableau Desktop et Snowflake. Cette option ne fonctionnera pas pour Tableau Server. Nous vous recommandons d’utiliser la connexion OAuth à la place.

L’option Nom d’utilisateur et mot de passe utilise le mot de passe stocké par Snowflake. Cette option exige que les utilisateurs se ré-authentifient avec leurs informations d’identification chaque fois qu’ils se connectent à Snowflake ou qu’ils intègrent ces informations d’identification.

Questions fréquemment posées

Pourquoi mes extraits Snowflake publiés échouent-ils après un certain temps ?

Il se peut que votre jeton d’accès OAuth ait expiré. Vous devrez vous ré-authentifier manuellement à la source de données pour actualiser le jeton. Si vous avez besoin de prolonger la durée de vie de ces jetons à l’avenir, vous pouvez contacter le support Snowflake(Le lien s’ouvre dans une nouvelle fenêtre).

Comment choisir entre les options « Utilisateur rapide » et « Intégrer les informations d’identification » lors de la publication d’une source de données Snowflake ?

Si vous souhaitez que tout utilisateur accédant à la source de données utilise ses propres informations d’identification lors de la connexion à la source de données et au contenu associé, utilisez Inviter l’utilisateur. Vous pouvez choisir d’intégrer des informations d’identification afin que tous ceux qui accèdent à cette source de données utilisent ces informations d’identification spécifiques. On désigne souvent ce compte sous le nom de « compte de service ».

Comment puis-je tirer parti de la sécurité au niveau des lignes que j’ai configurée sur Snowflake ?

Lorsque les utilisateurs sont invités à entrer leurs propres informations d’identification pour accéder à Snowflake à partir de Tableau, ces informations d’identification sont associés aux privilèges dont ils disposent sur le compte Snowflake.

Voir également

Merci de vos commentaires !