Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SnowflakeとTableauでSSOと行アクセスポリシーを適用してみた話

Avatar for truestar truestar
December 16, 2024
Technology
0
40

 SnowflakeとTableauでSSOと行アクセスポリシーを適用してみた話

Avatar for truestar

truestar

December 16, 2024
Tweet

More Decks by truestar

See All by truestar
【大阪開催】関西弁チャットボットを作って体感!初心者から学べるStreamlit×Snowflake活用&事例セッション【Snonwflake WESTユーザー会】
Avatar for truestar truestar_marketing
0
250
飲食店に詳しい大阪のおばちゃんチャットボットを作ってみた​
Avatar for truestar truestar_marketing
0
85
Streamlit in Snowflakeで簡単商圏分析
Avatar for truestar truestar_marketing
0
32

Other Decks in Technology

See All in Technology
スプリントレビューを効果的にするために
Avatar for Miho Nagase miholovesq
9
1.5k
手動からの解放!!Strands Agents で実現する総合テスト自動化
Avatar for 井手亮太 ideaws
2
250
Autify Company Deck
Avatar for Autify autifyhq
2
44k
データ戦略部門 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.3k
室長の逆襲 :データ活用の陣地を増やすためのヒント
Avatar for 阿部 昌利 masatoshi0205
0
180
今だから言えるセキュリティLT_Wordpress5.7.2未満を一斉アップデートせよ
Avatar for CUEBiC Inc. cuebic9bic
2
200
ゼロから始めるSREの事業貢献 - 生成AI時代のSRE成長戦略と実践 / Starting SRE from Day One
Avatar for Shinichi Nakagawa shinyorke
PRO
0
220
The Madness of Multiple Gemini CLIs Developing Simultaneously with Jujutsu
Avatar for Gunther Brunner gunta
1
2.3k
"Découvrir le Liberland"
Avatar for Renaud Lifchitz rlifchitz
0
130
Microsoft Fabric ガバナンス設計の一歩目を考える
Avatar for Ryoma Nagata ryomaru0825
1
240
スプリントゴール未達症候群に送る処方箋
Avatar for KAKEHASHI kakehashi
PRO
1
180
Step Functions First - サーバーレスアーキテクチャの新しいパラダイム
Avatar for Taiki Sugawara taikis
1
260

Featured

See All Featured
Code Review Best Practice
Avatar for Trisha Gee trishagee
69
19k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
507
140k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
23
3.6k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.8k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
15
1.6k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
1k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
70
11k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.7k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
181
54k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.9k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
282
13k

Transcript

  1. SnowflakeとTableauでSSOと 行アクセスポリシーを適用してみた話 2024 truestar inc. All Rights Reserved. 1

  2. 自己紹介 2024 truestar inc. All Rights Reserved. 2 名 前:野城

    瑞穂(X:mizuho/@mizuhoruisui) 所 属:株式会社truestar データコンサルティング事業部 入 社:2020年12月 Snowflake歴:約3年半 SnowVillage歴:2年強

  3. 2024 truestar inc. All Rights Reserved. 3 最近、ユーザーからの要望で、Entra IDを使ってTableau・ SnowflakeとSSO(シングルサインオン)を構築、且つ

    行アクセスポリシーを使ってアクセス制限をつける、なんてことを やってみたので、そのことについてお話します

  4. 2024 truestar inc. All Rights Reserved. 4 ユーザーからの要望 どうやって実装したか? 理想通りにいかなかったところ・残課題

    目次

  5. 2024 truestar inc. All Rights Reserved. 5 ユーザーからの要望|Tableau – Snowflakeのアーキテクチャ

    ①. パスワードの入力とか煩わしいからナシにしたい ① ② ① ②. 人によって見えるデータは制御してね →Microsoft Entra IDのSAML認証でSSO構築 →行アクセスポリシー 行アクセスポリシー

  6. 2024 truestar inc. All Rights Reserved. 6 ユーザーからの要望|SSOの構築 ユーザー名とパスワード ・一般的なログイン方法で、ユーザーが入力した情報を基に認証

    → MFAが必須になるよって言われてるヤツ キーペア認証 ・公開鍵と秘密鍵の組み合わせを使った認証 ・主にサーバー間通信やAPIアクセスで利用 OAuth認証 ・Microsoft Entra IDやGoogle認証などを用いたSaaS間の認可プロトコル ・ユーザーが他のアプリケーションにリソースへのアクセス権を付与する際に使用 ・ FacebookやGoogleのアカウントを使って他のアプリにログインできるのはこれ SAML認証 ・Entra IDなどのアイデンティティプロバイダによるフェデレーション認証 ・一度のログインで複数のサービスにアクセス可能

  7. どうやって実装したか?|Snowflake – Entra ID 間のSSO 2024 truestar inc. All Rights

    Reserved. 7 ②Snowflakeでセキュリティ統合の作成 ①Entra IDでアプリの登録&SAML証明書の発行(有効期限:3年) ① ②

  8. 自動プロビジョニングとは… Microsoft Entra IDのユーザー情報から、Snowflakeユーザーを自動生成してくれる機能 Entra IDのグループ情報を、ロールとして設定することもできる ※今回Tableau&Snowflakeユーザーが数千人単位だったため、自動プロピジョニングは必須 どうやって実装したか?|Snowflake – Entra

    ID 間の自動プロビジョニング 2024 truestar inc. All Rights Reserved. 8 自動プロビジョニング有効化の手順 ②Entra IDでプロビジョニングを設定 以下の情報を入力 ・Snowflake URL ・Snowflakeで発行したアクセストークン ①Snowflakeでセキュリティ統合の作成&アクセストークンの発行(有効期限:6ヶ月)

  9. どうやって実装したか?|Tableau Cloud – Entra ID 間のSSO 2024 truestar inc. All

    Rights Reserved. 9 Snowflakeと同様に、Entra IDとTableauのユーザー情報を 紐づけることでSSOが可能 ワークブックはOAuthでパブリッシュしておく

  10. Snowflakeの行アクセスポリシーって? どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 10 ・ユーザーの属性に基づいてアクセス制御を行う仕組み

    ・特定の条件に応じてデータの一部または全部をユーザーごとに非表示にしたり、制限を設定可能

  11. どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 11 当初の想定:ロールによる制御 →

    Entra IDのグループ設定と、制御したいグループのミスマッチ → Entra IDグループ設定の変更はNG → “マッピングテーブル”を使った制御で対応

  12. どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 12 ②行アクセスポリシーの作成 ①マッピングテーブルの準備

  13. どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 13 ③制限をかけたいテーブルまたはビューに適用

  14. どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 14 ④Snowflake上で適用されているか確認 元のデータ(各都道府県入っている)

    適用後のデータ(新潟県のみ表示)

  15. どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 15 Tableau Cloudからの挙動を確認

  16. うまくいかなかったところ・残課題 2024 truestar inc. All Rights Reserved. 16 ・Entra IDからのデフォルトロールの設定(みんなPUBLICのまま…)

    ・Snowflakeユーザーの削除(定期的な棚卸しは必須) ・証明書やトークンの更新手順の整理(ものによって期限が違うので要注意!) ・Tableauデータソースの抽出更新の自動実行ユーザーの設定

  17. 『Snowflake、2025年11月までに単一要素パスワード認証をブロック』 https://www.snowflake.com/ja/blog/blocking-single-factor-password-authentification/ うまくいかなかったところ・残課題 2024 truestar inc. All Rights Reserved. 17

    →ユーザー名とパスワードのログインはMFA(多要素認証)が必須に →Tableauの自動更新の抽出に埋め込みユーザー認証をしている場合は対策が必須!

  18. アドベントカレンダー 公開中 2024 truestar inc. All Rights Reserved. 18 おわりに

    ご清聴ありがとうございました!