Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SnowflakeとTableauでSSOと行アクセスポリシーを適用してみた話
Search
Mizuho
December 13, 2024
0
650
SnowflakeとTableauでSSOと行アクセスポリシーを適用してみた話
2024/12/13(金) Snowflake女子会LT資料
Mizuho
December 13, 2024
Tweet
Share
Featured
See All Featured
Stop Working from a Prison Cell
hatefulcrawdad
271
21k
Context Engineering - Making Every Token Count
addyosmani
5
180
Music & Morning Musume
bryan
46
6.8k
The Cost Of JavaScript in 2023
addyosmani
53
9k
Principles of Awesome APIs and How to Build Them.
keavy
127
17k
BBQ
matthewcrist
89
9.8k
Imperfection Machines: The Place of Print at Facebook
scottboms
269
13k
Six Lessons from altMBA
skipperchong
28
4k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
36
2.5k
How STYLIGHT went responsive
nonsquared
100
5.8k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
9
850
Transcript
SnowflakeとTableauでSSOと 行アクセスポリシーを適用してみた話 2024 truestar inc. All Rights Reserved. 1
自己紹介 2024 truestar inc. All Rights Reserved. 2 名 前:野城
瑞穂(X:mizuho/@mizuhoruisui) 所 属:株式会社truestar データコンサルティング事業部 入 社:2020年12月 Snowflake歴:約3年半 SnowVillage歴:2年強
2024 truestar inc. All Rights Reserved. 3 最近、ユーザーからの要望で、Entra IDを使ってTableau・ SnowflakeとSSO(シングルサインオン)を構築、且つ
行アクセスポリシーを使ってアクセス制限をつける、なんてことを やってみたので、そのことについてお話します
2024 truestar inc. All Rights Reserved. 4 ユーザーからの要望 どうやって実装したか? 理想通りにいかなかったところ・残課題
目次
2024 truestar inc. All Rights Reserved. 5 ユーザーからの要望|Tableau – Snowflakeのアーキテクチャ
①. パスワードの入力とか煩わしいからナシにしたい ① ② ① ②. 人によって見えるデータは制御してね →Microsoft Entra IDのSAML認証でSSO構築 →行アクセスポリシー 行アクセスポリシー
2024 truestar inc. All Rights Reserved. 6 ユーザーからの要望|SSOの構築 ユーザー名とパスワード ・一般的なログイン方法で、ユーザーが入力した情報を基に認証
→ MFAが必須になるよって言われてるヤツ キーペア認証 ・公開鍵と秘密鍵の組み合わせを使った認証 ・主にサーバー間通信やAPIアクセスで利用 OAuth認証 ・Microsoft Entra IDやGoogle認証などを用いたSaaS間の認可プロトコル ・ユーザーが他のアプリケーションにリソースへのアクセス権を付与する際に使用 ・ FacebookやGoogleのアカウントを使って他のアプリにログインできるのはこれ SAML認証 ・Entra IDなどのアイデンティティプロバイダによるフェデレーション認証 ・一度のログインで複数のサービスにアクセス可能
どうやって実装したか?|Snowflake – Entra ID 間のSSO 2024 truestar inc. All Rights
Reserved. 7 ②Snowflakeでセキュリティ統合の作成 ①Entra IDでアプリの登録&SAML証明書の発行(有効期限:3年) ① ②
自動プロビジョニングとは… Microsoft Entra IDのユーザー情報から、Snowflakeユーザーを自動生成してくれる機能 Entra IDのグループ情報を、ロールとして設定することもできる ※今回Tableau&Snowflakeユーザーが数千人単位だったため、自動プロピジョニングは必須 どうやって実装したか?|Snowflake – Entra
ID 間の自動プロビジョニング 2024 truestar inc. All Rights Reserved. 8 自動プロビジョニング有効化の手順 ②Entra IDでプロビジョニングを設定 以下の情報を入力 ・Snowflake URL ・Snowflakeで発行したアクセストークン ①Snowflakeでセキュリティ統合の作成&アクセストークンの発行(有効期限:6ヶ月)
どうやって実装したか?|Tableau Cloud – Entra ID 間のSSO 2024 truestar inc. All
Rights Reserved. 9 Snowflakeと同様に、Entra IDとTableauのユーザー情報を 紐づけることでSSOが可能 ワークブックはOAuthでパブリッシュしておく
Snowflakeの行アクセスポリシーって? どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 10 ・ユーザーの属性に基づいてアクセス制御を行う仕組み
・特定の条件に応じてデータの一部または全部をユーザーごとに非表示にしたり、制限を設定可能
どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 11 当初の想定:ロールによる制御 →
Entra IDのグループ設定と、制御したいグループのミスマッチ → Entra IDグループ設定の変更はNG → “マッピングテーブル”を使った制御で対応
どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 12 ②行アクセスポリシーの作成 ①マッピングテーブルの準備
どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 13 ③制限をかけたいテーブルまたはビューに適用
どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 14 ④Snowflake上で適用されているか確認 元のデータ(各都道府県入っている)
適用後のデータ(新潟県のみ表示)
どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 15 Tableau Cloudからの挙動を確認
うまくいかなかったところ・残課題 2024 truestar inc. All Rights Reserved. 16 ・Entra IDからのデフォルトロールの設定(みんなPUBLICのまま…)
・Snowflakeユーザーの削除(定期的な棚卸しは必須) ・証明書やトークンの更新手順の整理(ものによって期限が違うので要注意!) ・Tableauデータソースの抽出更新の自動実行ユーザーの設定
『Snowflake、2025年11月までに単一要素パスワード認証をブロック』 https://www.snowflake.com/ja/blog/blocking-single-factor-password-authentification/ うまくいかなかったところ・残課題 2024 truestar inc. All Rights Reserved. 17
→ユーザー名とパスワードのログインはMFA(多要素認証)が必須に →Tableauの自動更新の抽出に埋め込みユーザー認証をしている場合は対策が必須!
アドベントカレンダー 公開中 2024 truestar inc. All Rights Reserved. 18 おわりに
ご清聴ありがとうございました!