Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SnowflakeとTableauでSSOと行アクセスポリシーを適用してみた話

Avatar for truestar truestar
December 16, 2024
Technology
0
35

 SnowflakeとTableauでSSOと行アクセスポリシーを適用してみた話

Avatar for truestar

truestar

December 16, 2024
Tweet

More Decks by truestar

See All by truestar
【大阪開催】関西弁チャットボットを作って体感!初心者から学べるStreamlit×Snowflake活用&事例セッション【Snonwflake WESTユーザー会】
Avatar for truestar truestar_marketing
0
210
飲食店に詳しい大阪のおばちゃんチャットボットを作ってみた​
Avatar for truestar truestar_marketing
0
78
Streamlit in Snowflakeで簡単商圏分析
Avatar for truestar truestar_marketing
0
28

Other Decks in Technology

See All in Technology
生成AI開発案件におけるClineの業務活用事例とTips
Avatar for Shinya Masadome(東京AI祭) shinya337
0
160
Should Our Project Join the CNCF? (Japanese Recap)
Avatar for whywaita whywaita
PRO
0
280
GeminiとNotebookLMによる金融実務の業務革新
Avatar for abenben abenben
0
240
GitHub Copilot の概要
Avatar for tomokusaba tomokusaba
1
140
OPENLOGI Company Profile
Avatar for OPENLOGI hr01
0
67k
AWS テクニカルサポートとエンドカスタマーの中間地点から見えるより良いサポートの活用方法
Avatar for kazzpapa3 kazzpapa3
2
570
AI専用のリンターを作る #yumemi_patch
Avatar for 弁護士ドットコム bengo4com
1
230
モバイル界のMCPを考える
Avatar for naoto33 naoto33
0
290
変化する開発、進化する体系時代に適応するソフトウェアエンジニアの知識と考え方(JaSST'25 Kansai)
Avatar for みずのり mizunori
1
260
製造業からパッケージ製品まで、あらゆる領域をカバー!生成AIを利用したテストシナリオ生成 / 20250627 Suguru Ishii
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
160
プロダクトエンジニアリング組織への歩み、その現在地 / Our journey to becoming a product engineering organization
Avatar for hiro-torii hiro_torii
0
130
論文紹介:LLMDet (CVPR2025 Highlight)
Avatar for tattaka tattaka
0
200

Featured

See All Featured
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.4k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
Building Applications with DynamoDB
Avatar for Matt Wood mza
95
6.5k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
271
27k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
54
11k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
55
5.6k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
63
7.8k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
329
21k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
51
8.5k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
5
230

Transcript

  1. SnowflakeとTableauでSSOと 行アクセスポリシーを適用してみた話 2024 truestar inc. All Rights Reserved. 1

  2. 自己紹介 2024 truestar inc. All Rights Reserved. 2 名 前:野城

    瑞穂(X:mizuho/@mizuhoruisui) 所 属:株式会社truestar データコンサルティング事業部 入 社:2020年12月 Snowflake歴:約3年半 SnowVillage歴:2年強

  3. 2024 truestar inc. All Rights Reserved. 3 最近、ユーザーからの要望で、Entra IDを使ってTableau・ SnowflakeとSSO(シングルサインオン)を構築、且つ

    行アクセスポリシーを使ってアクセス制限をつける、なんてことを やってみたので、そのことについてお話します

  4. 2024 truestar inc. All Rights Reserved. 4 ユーザーからの要望 どうやって実装したか? 理想通りにいかなかったところ・残課題

    目次

  5. 2024 truestar inc. All Rights Reserved. 5 ユーザーからの要望|Tableau – Snowflakeのアーキテクチャ

    ①. パスワードの入力とか煩わしいからナシにしたい ① ② ① ②. 人によって見えるデータは制御してね →Microsoft Entra IDのSAML認証でSSO構築 →行アクセスポリシー 行アクセスポリシー

  6. 2024 truestar inc. All Rights Reserved. 6 ユーザーからの要望|SSOの構築 ユーザー名とパスワード ・一般的なログイン方法で、ユーザーが入力した情報を基に認証

    → MFAが必須になるよって言われてるヤツ キーペア認証 ・公開鍵と秘密鍵の組み合わせを使った認証 ・主にサーバー間通信やAPIアクセスで利用 OAuth認証 ・Microsoft Entra IDやGoogle認証などを用いたSaaS間の認可プロトコル ・ユーザーが他のアプリケーションにリソースへのアクセス権を付与する際に使用 ・ FacebookやGoogleのアカウントを使って他のアプリにログインできるのはこれ SAML認証 ・Entra IDなどのアイデンティティプロバイダによるフェデレーション認証 ・一度のログインで複数のサービスにアクセス可能

  7. どうやって実装したか?|Snowflake – Entra ID 間のSSO 2024 truestar inc. All Rights

    Reserved. 7 ②Snowflakeでセキュリティ統合の作成 ①Entra IDでアプリの登録&SAML証明書の発行(有効期限:3年) ① ②

  8. 自動プロビジョニングとは… Microsoft Entra IDのユーザー情報から、Snowflakeユーザーを自動生成してくれる機能 Entra IDのグループ情報を、ロールとして設定することもできる ※今回Tableau&Snowflakeユーザーが数千人単位だったため、自動プロピジョニングは必須 どうやって実装したか?|Snowflake – Entra

    ID 間の自動プロビジョニング 2024 truestar inc. All Rights Reserved. 8 自動プロビジョニング有効化の手順 ②Entra IDでプロビジョニングを設定 以下の情報を入力 ・Snowflake URL ・Snowflakeで発行したアクセストークン ①Snowflakeでセキュリティ統合の作成&アクセストークンの発行(有効期限:6ヶ月)

  9. どうやって実装したか?|Tableau Cloud – Entra ID 間のSSO 2024 truestar inc. All

    Rights Reserved. 9 Snowflakeと同様に、Entra IDとTableauのユーザー情報を 紐づけることでSSOが可能 ワークブックはOAuthでパブリッシュしておく

  10. Snowflakeの行アクセスポリシーって? どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 10 ・ユーザーの属性に基づいてアクセス制御を行う仕組み

    ・特定の条件に応じてデータの一部または全部をユーザーごとに非表示にしたり、制限を設定可能

  11. どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 11 当初の想定:ロールによる制御 →

    Entra IDのグループ設定と、制御したいグループのミスマッチ → Entra IDグループ設定の変更はNG → “マッピングテーブル”を使った制御で対応

  12. どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 12 ②行アクセスポリシーの作成 ①マッピングテーブルの準備

  13. どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 13 ③制限をかけたいテーブルまたはビューに適用

  14. どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 14 ④Snowflake上で適用されているか確認 元のデータ(各都道府県入っている)

    適用後のデータ(新潟県のみ表示)

  15. どうやって実装したか?|行アクセスポリシー 2024 truestar inc. All Rights Reserved. 15 Tableau Cloudからの挙動を確認

  16. うまくいかなかったところ・残課題 2024 truestar inc. All Rights Reserved. 16 ・Entra IDからのデフォルトロールの設定(みんなPUBLICのまま…)

    ・Snowflakeユーザーの削除(定期的な棚卸しは必須) ・証明書やトークンの更新手順の整理(ものによって期限が違うので要注意!) ・Tableauデータソースの抽出更新の自動実行ユーザーの設定

  17. 『Snowflake、2025年11月までに単一要素パスワード認証をブロック』 https://www.snowflake.com/ja/blog/blocking-single-factor-password-authentification/ うまくいかなかったところ・残課題 2024 truestar inc. All Rights Reserved. 17

    →ユーザー名とパスワードのログインはMFA(多要素認証)が必須に →Tableauの自動更新の抽出に埋め込みユーザー認証をしている場合は対策が必須!

  18. アドベントカレンダー 公開中 2024 truestar inc. All Rights Reserved. 18 おわりに

    ご清聴ありがとうございました!