MFA（多重身份验证）¶

使用 MFA 令牌缓存，最大限度地减少身份验证过程中的提示次数 – 可选¶

MFA 令牌缓存有助于减少在连接和验证 Snowflake 时必须确认的提示次数，尤其是在相对较短的时间间隔内进行多次连接尝试时。

缓存的 MFA 令牌的有效期最长为四个小时。

如果满足以下任何条件，缓存的 MFA 令牌将无效：

1. 账户的 ALLOW_CLIENT_MFA_CACHING 参数设置为 FALSE。

2. 身份验证方法发生变化。

3. 身份验证凭证（即用户名和/或密码）更改。

4. 身份验证凭据无效。

5. 缓存的令牌已过期或加密无效。

6. 与缓存令牌相关的账户名称发生变化。

Snowflake 用于缓存 MFA 令牌的整体流程与用于缓存基于浏览器的联合 单点登录 的连接令牌的流程类似。客户端应用程序将 MFA 令牌存储在客户端操作系统的密钥库中。用户可以随时从密钥库中删除缓存的 MFA 令牌。

Snowflake 在 macOS 和 Windows 上使用以下驱动程序和连接器支持 MFA 令牌缓存。Linux 不支持此功能。

• ODBC 驱动程序 2.23.0 版本（或更高版本）

• JDBC 驱动程序 3.12.16 版本（或更高版本）

• Python Connector for Snowflake 2.3.7 版本（或更高版本）。

Snowflake 建议在启用 MFA 令牌缓存之前咨询内部安全和合规管理人员。

要启用 MFA 令牌缓存，请完成以下步骤：

1. 作为账户管理员（即具有 ACCOUNTADMIN 系统角色的用户），使用 ALTER ACCOUNT 命令将账户的 ALLOW_CLIENT_MFA_CACHING 参数设置为 true。

   ALTER ACCOUNT SET ALLOW_CLIENT_MFA_CACHING = TRUE;
   

   Copy

2. 在客户端连接字符串中，将身份验证器值更新为 authenticator = username_password_mfa。

3. 添加驱动程序或连接器所需的包或库：

   • 如果您使用的是 Snowflake Connector for Python，请运行以下命令来安装可选的 keyring 包：

     pip install "snowflake-connector-python[secure-local-storage]"
     

     Copy

     必须输入方括号（[ 和 ]），如命令中所示。方括号指定应该安装的 包的额外部分 (https://www.python.org/dev/peps/pep-0508/#extras)。

     如图所示，使用引号将包名称括起来，以防止系统将方括号解释为通配符。

     如果您需要安装其他附加内容（例如，安装 pandas，以 使用 Python Connector APIs for Pandas，请使用逗号分隔多个附加内容。

     pip install "snowflake-connector-python[secure-local-storage,pandas]"
     

     Copy

   • 对于 Snowflake JDBC 驱动程序，请参阅 将 JNA 类添加到类路径。

要禁用 MFA 令牌缓存，请取消设置 ALLOW_CLIENT_MFA_CACHING 参数：

ALTER ACCOUNT UNSET ALLOW_CLIENT_MFA_CACHING;

要查找使用 MFA 令牌缓存作为第二因素身份验证进行登录的所有用户，可以账户管理员（具有 ACCOUNTADMIN 角色的用户）身份执行以下 SQL 语句：

SELECT EVENT_TIMESTAMP,
       USER_NAME,
       IS_SUCCESS
  FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
  WHERE SECOND_AUTHENTICATION_FACTOR = 'MFA_TOKEN';

将 MFA 与 Snowsight 配合使用¶

要使用 MFA 登录 Snowsight，请执行以下操作：

1. 登录 Snowsight。

2. 输入您的凭据（用户登录名和密码）。

3. 如果启用了 Duo Push，您可以选择通知方式。如果选择 Send Me a Push，推送通知将发送到您的 Duo Mobile 应用程序。收到通知时选择 Approve，您将登录到 Snowflake。

   

   如上所示，除了使用推送通知之外，您还可以选择以下选项：

   • 选择 Call Me，通过拨打已注册移动设备的电话来接收登录指令。

   • 选择 Enter a Passcode，通过手动输入 Duo Mobile 应用程序提供的密码来登录。

将 MFA 与 Classic Console Web 界面配合使用¶

使用 MFA 登录 Classic Console：

1. 将浏览器指向您 账户 的 URL。例如：https://myorg-account1.snowflakecomputing.cn。

2. 输入您的凭据（用户登录名和密码）。

3. 如果启用了 Duo Push，推送通知将发送到您的 Duo Mobile 应用程序。收到通知时选择 Approve，您将登录到 Snowflake。

   

   如上图所示，除了使用推送通知之外，您还可以选择以下选项：

   • 选择 Call Me，通过拨打已注册移动设备的电话来接收登录指令。

   • 选择 Enter a Passcode，通过手动输入 Duo Mobile 应用程序提供的密码来登录。

将 MFA 与 SnowSQL 配合使用¶

MFA 可用于通过 SnowSQL 连接到 Snowflake。默认情况下，用户注册 MFA 时会使用 Duo Push 身份验证机制。

要使用 Duo 生成的密码而不是推送机制，登录参数必须包含以下连接选项之一：

--mfa-passcode <string> OR --mfa-passcode-in-password

有关更多详细信息，请参阅 SnowSQL（CLI 客户端）。

将 MFA 与 JDBC 配合使用¶

MFA 可用于通过 Snowflake JDBC 驱动程序连接到 Snowflake。默认情况下，当用户注册 MFA 时将使用 Duo Push 身份验证机制；无需更改 JDBC 连接字符串。

要使用 Duo 生成的密码而不是推送机制，必须在 JDBC 连接字符串中包含以下参数之一：

passcode=<passcode_string> OR passcodeInPassword=on

其中：

• passcode_string 是 Duo 为正在连接的用户生成的密码。它可以是 Duo Mobile 应用程序生成的密码，也可以是 SMS 密码。

• 如果 passcodeInPassword=on，那么密码和密码将以 <password_string><passcode_string> 的形式连接起来。

有关更多详细信息，请参阅 JDBC 驱动程序。

将 MFA 与 ODBC 配合使用¶

MFA 可用于通过 Snowflake ODBC 驱动程序连接到 Snowflake。默认情况下，当用户注册 MFA 时将使用 Duo Push 身份验证机制；无需更改 ODBC 设置。

要使用 Duo 生成的密码而不是推送机制，必须为驱动程序指定以下参数之一：

passcode=<passcode_string> OR passcodeInPassword=on

其中：

• passcode_string 是 Duo 为正在连接的用户生成的密码。它可以是 Duo Mobile 应用程序生成的密码，也可以是 SMS 密码。

• 如果 passcodeInPassword=on，那么密码和密码将以 <password_string><passcode_string> 的形式连接起来。

有关更多详细信息，请参阅 ODBC 驱动程序。

将 MFA 与 Python 配合使用¶

MFA 可用于通过 Snowflake Python Connector 连接到 Snowflake。默认情况下，当用户注册 MFA 时将使用 Duo Push 身份验证机制；无需更改 Python API 调用。

要使用 Duo 生成的密码而不是推送机制，必须在 connect() 方法中为驱动程序指定以下参数之一：

passcode=<passcode_string> OR passcode_in_password=True

其中：

• passcode_string 是 Duo 为正在连接的用户生成的密码。它可以是 Duo Mobile 应用程序生成的密码，也可以是 SMS 密码。

• 如果 passcode_in_password=True，那么密码和密码将以 <password_string><passcode_string> 的形式连接起来。

更多详情，请参阅 Python Connector API 文档中 函数 部分对 connect() 方法的描述。