MFA除外グループに入れたメンバに対してMFAが有効化された

紗代近
Tera Contributor

MFA Exempted User Groupにadminロールを含むユーザをアサインしました。

これでMFAの設定が必要なくなる認識だったのですが、ID・PW入力後のログイン画面でMFAが強制されました。

ロールベースではなくグループベースのみで除外設定を実施したため、添付した画像のEnforce MFA for Username Password based UI Loginsの条件式に何かしら問題があるのかなと思っておりますがどこを是正すべきかわかりません。

MFAコンテキストの条件は以下の通りです
デフォルトポリシー:ステップアップMFAポリシー

ステップアップ MFA ポリシー:Enforce MFA for non-SSO logins

(添付画像二枚目をご参照ください)

3件の返信3

紗代近
Tera Contributor

【追記】
glide.authenticate.multifactorの値をtrue→falseに変更することですべてのユーザアカウントに対してMFAが設定不要になりますでしょうか

takshisan
Kilo Guru

紗代近さん
ACLを全て確認しないと断言はできませんが、きっと『何か』で引っかかっているとは思います。

まずは、ユーザー個別にMFAを無効化するのはいかがでしょうか。
それから『何か』を絞り込む方針を提案します。

ユーザー個別でMFA無効化するには↓
1.ServiceNowのActive Usersページに移動します。
2.対象のユーザーを選択し、MFAステータスをDisabledに設定します。
この設定により、個々のユーザーはMFAをスキップできます。
※注意点:ServiceNowでは、MFAの無効化は推奨されていません。

> glide.authenticate.multifactorの値をtrue→falseに変更することですべてのユーザアカウントに対してMFAが設定不要になりますでしょうか
はい、そうですね。

・Multi-factor authentication system properties バージョン:Xanadu
https://www.servicenow.com/docs/bundle/xanadu-platform-security/page/integrate/authentication/refere...

Property
Enable Multi-factor authentication (glide.authenticate.multifactor)

Description
Option that enables users and administrators to use this feature. The default is enabled. To learn more about this property, see in Instance Security Hardening Settings.

※ただ、バージョン[Yokohama]以降はMFAは必須のため、このプロパティは(紗代近
さんが何を使用されているか不明ですが、)将来的には表示可変できなくなると考えてください。

takshisan
Kilo Guru

Appendix 参考ドキュメントです
・MFA enforcement exception
https://www.servicenow.com/docs/bundle/yokohama-platform-security/page/integrate/authentication/conc...