Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SnowflakeとTableauでSSOと行アクセスポリシーを適用してみた話
Search
Mizuho
December 13, 2024
0
560
SnowflakeとTableauでSSOと行アクセスポリシーを適用してみた話
2024/12/13(金) Snowflake女子会LT資料
Mizuho
December 13, 2024
Tweet
Share
Featured
See All Featured
Side Projects
sachag
455
42k
Adopting Sorbet at Scale
ufuk
77
9.5k
What’s in a name? Adding method to the madness
productmarketing
PRO
23
3.5k
Thoughts on Productivity
jonyablonski
69
4.7k
Bash Introduction
62gerente
613
210k
The World Runs on Bad Software
bkeepers
PRO
69
11k
Art, The Web, and Tiny UX
lynnandtonic
299
21k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Reflections from 52 weeks, 52 projects
jeffersonlam
351
20k
Code Review Best Practice
trishagee
69
18k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
GraphQLとの向き合い方2022年版
quramy
49
14k
Transcript
SnowflakeとTableauでSSOと 行アクセスポリシーを適用してみた話 2024 truestar inc. All Rights Reserved. 1
自己紹介 2024 truestar inc. All Rights Reserved. 2 名 前:野城
瑞穂(X:mizuho/@mizuhoruisui) 所 属:株式会社truestar データコンサルティング事業部 入 社:2020年12月 Snowflake歴:約3年半 SnowVillage歴:2年強
2024 truestar inc. All Rights Reserved. 3 最近、ユーザーからの要望で、Entra IDを使ってTableau・ SnowflakeとSSO(シングルサインオン)を構築、且つ
行アクセスポリシーを使ってアクセス制限をつける、なんてことを やってみたので、そのことについてお話します
2024 truestar inc. All Rights Reserved. 4 ユーザーからの要望 どうやって実装したか? 理想通りにいかなかったところ・残課題
目次
2024 truestar inc. All Rights Reserved. 5 ユーザーからの要望|Tableau – Snowflakeのアーキテクチャ
①. パスワードの入力とか煩わしいからナシにしたい ① ② ① ②. 人によって見えるデータは制御してね →Microsoft Entra IDのSAML認証でSSO構築 →行アクセスポリシー 行アクセスポリシー
2024 truestar inc. All Rights Reserved. 6 ユーザーからの要望|SSOの構築 ユーザー名とパスワード ・一般的なログイン方法で、ユーザーが入力した情報を基に認証
→ MFAが必須になるよって言われてるヤツ キーペア認証 ・公開鍵と秘密鍵の組み合わせを使った認証 ・主にサーバー間通信やAPIアクセスで利用 OAuth認証 ・Microsoft Entra IDやGoogle認証などを用いたSaaS間の認可プロトコル ・ユーザーが他のアプリケーションにリソースへのアクセス権を付与する際に使用 ・ FacebookやGoogleのアカウントを使って他のアプリにログインできるのはこれ SAML認証 ・Entra IDなどのアイデンティティプロバイダによるフェデレーション認証 ・一度のログインで複数のサービスにアクセス可能
どうやって実装したか?|Snowflake – Entra ID 間のSSO 2024 truestar inc. All Rights
Reserved. 7 ②Snowflakeでセキュリティ統合の作成 ①Entra IDでアプリの登録&SAML証明書の発行(有効期限:3年) ① ②
自動プロビジョニングとは… Microsoft Entra IDのユーザー情報から、Snowflakeユーザーを自動生成してくれる機能 Entra IDのグループ情報を、ロールとして設定することもできる ※今回Tableau&Snowflakeユーザーが数千人単位だったため、自動プロピジョニングは必須 どうやって実装したか?|Snowflake – Entra
ID 間の自動プロビジョニング 2024 truestar inc. All Rights Reserved. 8 自動プロビジョニング有効化の手順 ②Entra IDでプロビジョニングを設定 以下の情報を入力 ・Snowflake URL ・Snowflakeで発行したアクセストークン ①Snowflakeでセキュリティ統合の作成&アクセストークンの発行(有効期限:6ヶ月)
どうやって実装したか?|Tableau Cloud – Entra ID 間のSSO 2024 truestar inc. All
Rights Reserved. 9 Snowflakeと同様に、Entra IDとTableauのユーザー情報を 紐づけることでSSOが可能 ワークブックはOAuthでパブリッシュしておく
Snowflakeの行アクセスポリシーって? どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 10 ・ユーザーの属性に基づいてアクセス制御を行う仕組み
・特定の条件に応じてデータの一部または全部をユーザーごとに非表示にしたり、制限を設定可能
どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 11 当初の想定:ロールによる制御 →
Entra IDのグループ設定と、制御したいグループのミスマッチ → Entra IDグループ設定の変更はNG → “マッピングテーブル”を使った制御で対応
どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 12 ②行アクセスポリシーの作成 ①マッピングテーブルの準備
どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 13 ③制限をかけたいテーブルまたはビューに適用
どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 14 ④Snowflake上で適用されているか確認 元のデータ(各都道府県入っている)
適用後のデータ(新潟県のみ表示)
どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 15 Tableau Cloudからの挙動を確認
うまくいかなかったところ・残課題 2024 truestar inc. All Rights Reserved. 16 ・Entra IDからのデフォルトロールの設定(みんなPUBLICのまま…)
・Snowflakeユーザーの削除(定期的な棚卸しは必須) ・証明書やトークンの更新手順の整理(ものによって期限が違うので要注意!) ・Tableauデータソースの抽出更新の自動実行ユーザーの設定
『Snowflake、2025年11月までに単一要素パスワード認証をブロック』 https://www.snowflake.com/ja/blog/blocking-single-factor-password-authentification/ うまくいかなかったところ・残課題 2024 truestar inc. All Rights Reserved. 17
→ユーザー名とパスワードのログインはMFA(多要素認証)が必須に →Tableauの自動更新の抽出に埋め込みユーザー認証をしている場合は対策が必須!
アドベントカレンダー 公開中 2024 truestar inc. All Rights Reserved. 18 おわりに
ご清聴ありがとうございました!