特定IPからはSSO、それ以外のIPからはMFAにてServiceNowにログインしたい

okamit
Tera Contributor

‎01-21-2022 03:55 AM

特定IPからはSSO、それ以外のIPからはMFAにてServiceNow(UI16、ServicePortal)にログインできる方法を知りたいです。

<実現したいこと>

端末ServiceNowSSO/MFA
IP(X)UI16SSO
IP(X)Service PortalSSO
IP(X以外)UI16MFA
IP(X以外)Service PortalMFA

 

<試したこと>

①SSO設定(非Auto Redirect IdP)+MFA Context設定

  • Auto Redirect IdP=FalseとしてSSO設定
  • Adaptive Authentication > Policies > Step-Down MFA Policyにて、Policy Inputsに「IP(X)」を設定
  • Adaptive Authentication > MFA Contextにて、Conditionに「IP(X) is true」を設定
端末ServiceNowSSO/MFA
IP(X)UI16SSO
IP(X)Service Portal未ログイン状態でアクセスするとService Portalのログイン画面が表示される(SSOされない)
IP(X以外)UI16MFA
IP(X以外)Service PortalMFA

 

②SSO設定(Auto Redirect IdP)+MFA Context設定

  • Auto Redirect IdP=TrueとしてSSO設定
  • Adaptive Authentication > Policies > Step-Down MFA Policyにて、Policy Inputsに「IP(X)」を設定
  • Adaptive Authentication > MFA Contextにて、Conditionに「IP(X) is true」を設定
端末ServiceNowSSO/MFA
IP(X)UI16SSO
IP(X)Service PortalSSO
IP(X以外)UI16強制的にIdPに飛ばされ、IP(X以外)はIdPとNW疎通できないためエラー
IP(X以外)Service Portal強制的にIdPに飛ばされ、IP(X以外)はIdPとNW疎通できないためエラー

 

③SSO設定(非Auto Redirect IdP)+MFA Context設定+glide.entry.first.page.script設定

  • Auto Redirect IdP=FalseとしてSSO設定
  • Adaptive Authentication > Policies > Step-Down MFA Policyにて、Policy Inputsに「IP(X)」を設定
  • Adaptive Authentication > MFA Contextにて、Conditionに「IP(X) is true」を設定
  • sys_propertiesに「glide.entry.first.page.script=new SPEntryPage().getFirstPageURL()」として設定
端末ServiceNowSSO/MFA
IP(X)UI16ログイン後強制的にService Portalに飛ばされ、その後UI16に遷移できなくなった
IP(X)Service PortalSSO
IP(X以外)UI16ログイン後強制的にService Portalに飛ばされ、その後UI16に遷移できなくなった
IP(X以外)Service PortalMFA

 

これ以外に<実現したいこと>を実現させる方法や概念について教えていただきたいです。

0 件の賞賛
  • 1,009件の閲覧回数
5件の返信5

okamit
Tera Contributor

‎02-04-2022 12:01 AM

調査している中で一つ解を見つけたので共有します。

試したこと③の設定をしたうえで、「/login_redirect.do」を開けばUI16に遷移できるようです。

https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB0777699

ただし、ブラウザのURLバーにUI16のURLを直接入力して開こうとすると予期せぬ動作をする場合があり、これが制約になります。

 

0 件の賞賛