Zeitlich begrenzte Authentifizierung mit SMS – Twilio Tutorial

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Richten Sie eine zeitlich begrenzte Authentifizierung mit MFA-Faktoren wie SMS mit ein Twilio.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Erforderliche Plugins:
    • com.snc.authenticate.time_limited_authentication (Zeitlich Begrenzte Authentifizierung)
    • com.snc.authentication.sms_mfa (Multifaktor-Authentifizierung mit SMS)
    Hinweis:
    Die zeitlich begrenzte Authentifizierung (TLA) ist sehr spezifisch für ServiceNow Instanz können die anwenderdefinierten Links für Anwender nur in erstellt werden ServiceNow.

    Die bereitgestellten Tutorial-Anweisungen ermöglichen es dem Administrator, Anwendern mit einer bestimmten Rolle eine linkbasierte Anmeldung mit SMS als Zweitfaktor (MFA) bereitzustellen.

    Nach einer erfolgreichen Konfiguration generiert das System einen Link und gibt den Link dann über den Benachrichtigungskanal (E-Mail/SMS) für den Anwender frei. Wenn Sie auf den Link klicken, wird der Anwender aufgefordert, den Faktor „an E-Mail gesendete OTP“ oder „SMS“ basierend auf der Anwenderrolle (Konfiguration) anzugeben.

    Hinweis:
    • TLA muss immer von MFA gefolgt werden, und MFA sollte vom Administrator mithilfe der adaptiven Authentifizierung für die TLA-Anmeldung aktiviert werden. Weitere Informationen zur Konfiguration von MFA mit adaptiver Authentifizierung finden Sie unter Multifaktor-Authentifizierungskontext.
    • TLA sollte für Anwender mit eingeschränkten Berechtigungen verwendet werden.

    Prozedur

    1. Wird erstellt Twilio Konfiguration.
      1. Erstellen Sie einen Twilio Test-Account. Weitere Informationen finden Sie unter Twilioan.
      2. Navigieren zu Alle > Benachrichtigen > Administration > Twilio Direct-Konfigurationan.
      3. Geben Sie an Account-SID Und Authentifizierungstoken (Erstellt aus Twilio) Und speichern Sie den Datensatz.
      Hinweis:
      Sie können eine eigene Anbieterkonfiguration erstellen und diese für TLA verwenden. In diesem Beispiel ist es Twilio. Weitere Informationen zum Erstellen einer MFA-Anbieterkonfiguration finden Sie unter Konfigurieren Sie den MFA-Provider.
    2. Konfigurieren und Aktivieren des Datensatzes für die zeitlich begrenzte Authentifizierung (TLA).
      1. Navigieren zu Alle > Konfigurationsdatensätze für zeitlich begrenzte Authentifizierung Und klicken Sie auf Neu .
      2. Füllen Sie die Felder im Formular aus.
        Tabelle : 1. Eigenschaften der zeitlich begrenzten Authentifizierung
        Feld Beschreibung
        Name Name des Datensatzes.
        Einmalige Nutzung Aktivieren Sie diese Option, um den TLA-Link einmal zu verwenden.
        Ablauf Geben Sie die Sekunden für den Ablauf des Links an. Der Standardwert ist 45 Minuten.
        Fehlerhafte Umleitung Geben Sie die URL ein, um Anwender nach einer fehlgeschlagenen Authentifizierung umzuleiten.
        Single Sign-on-Skript Details des SSO-Skripts, das Sie verwenden möchten.
        Aktiv Option zum Aktivieren der Konfiguration.
        Max. Anmeldeversuche Geben Sie die Anzahl der Versuche an, die mit dem generierten TLA-Link für die Anmeldung zulässig sind. Deaktivieren Sie Einmalige Verwendung Kontrollkästchen zur Angabe der maximalen Anzahl von Versuchen.
        Weiterleitung für externe Abmeldung Geben Sie die URL ein, um Anwender nach der Abmeldung umzuleiten.
      3. Klicken Sie auf Absenden.
        TLA-Datensatz
      4. Navigieren zu Alle > Mehrfachanbieter-SSO > Administration > Eigenschaften Und aktivieren Sie Aktivieren Sie SSO für mehrere Anbieter Eigenschaft und Speichern .
    3. Zulassen, dass TLA nur für eine bestimmte Anwenderpersona mithilfe der Kontextrichtlinie nach der Authentifizierung verwendet wird.
      1. Navigieren Sie zu Rollen Und erstellen Sie eine Rolle. Beispiel: Remote_Worker.
      2. Erstellen Sie einen Anwender mit einer gültigen E-Mail-ID und Mobiltelefonnummer. Informationen zum Erstellen eines Anwenders finden Sie unter . Erstellen Sie einen Anwender .
      3. Weisen Sie dem Anwender die Rolle zu. Informationen zum Zuweisen der Rolle zum Anwender finden Sie unter Weisen Sie einem Anwender eine Rolle zu .
      4. Navigieren Sie zum Erstellen eines Rollenfilterkriteriums zu Alle > Adaptive Authentifizierung > Rollen-Filterkriterien, Erstellen Sie einen neuen Filter Remoteworkerrole Und-Bedingung Rolle ist Remote_Worker .
        Rollenfilterkriterien
      5. Um Richtlinienbedingung basierend auf dem Deny-Richtlinienkontext basierend auf den IdP- und Rollenfilterkriterien hinzuzufügen, navigieren Sie zu Alle > Adaptive Authentifizierung > Kontext nach der Authentifizierungan.
      6. Klicken Sie auf das Informationssymbol und Öffnen Sie den Datensatz .
        Richtlinie Ablehnen
      7. Klicken Sie in der Richtlinieneingabe auf Bearbeiten Und fügen Sie die Rolle (remoteworkerrole) und hinzu Speichern .
        Bearbeiten Sie Mitglieder
      8. Fügen Sie in der Richtlinienbedingung die Bedingung für die Richtlinieneingabe und hinzu Übermitteln Der Datensatz.
    4. Konfigurieren der Step-up-Authentifizierungsrichtlinie – MFA-Kontext.
      1. Navigieren zu Alle > Multifaktor-Kriterienan.
      2. Wählen Sie aus Rollenbasierte Multifaktor-Authentifizierung Und fügen Sie die Rolle im Abschnitt Multifaktor-Rollen und hinzu Aktualisieren . In diesem Beispiel: Remote_Worker .
        MFA: Rollenkriterien
      3. Navigieren zu Alle > Adaptive Authentifizierung > MFA-Kontextan.
      4. Stellen Sie Folgendes sicher:
        • Standardrichtlinienfeld ist STEP-up-MFA-Richtlinie
        • STEP-up-MFA-Richtlinie ist STEP-up-MFA-Richtlinie
      5. Klicken Sie auf das Informationssymbol und Öffnen Sie Den Datensatz .
        STEP-up-MFA-Richtlinie
      6. Klicken Sie im Formular „Step-up MFA-Richtlinie“ in den Richtlinieneingaben auf Bearbeiten .
      7. Fügen Sie hinzu Rollenbasierte Multifaktor-Authentifizierung In die Liste und Speichern . In diesem Beispiel Remoteworkerrole .
      8. Klicken Sie in der Richtlinienbedingung auf MFA erzwingen, wenn rollenbasierte oder anwenderbasierte MFA-Einstellungen auf „wahr“ festgelegt sind .
      9. Stellen Sie auf der Seite „MFA erzwingen, wenn rollenbasierte oder anwenderbasierte MFA-Einstellungen auf „wahr“ festgelegt sind, sicher, dass Sie dies tun Rollenbasierte MFA Ist Wahr .
    5. MFA wird erzwungen, SMS als MFA-Faktorrichtlinie zu verwenden.
      1. Navigieren zu Alle > Adaptive Authentifizierung > MFA-Kontextan.
      2. Klicken Sie auf der MFA-Kontextseite auf MFA-Faktorrichtlinien Und klicken Sie auf Richtlinie SMS-OTP als MFA-Faktorrichtlinie anzeigen .
      3. Klicken Sie Auf Bearbeiten Und hinzufügen Remoteworkerrole In Richtlinieneingaben .
      4. Klicken Sie Auf Richtlinienbedingungen Und erstellen Sie eine Richtlinienbedingung.
        SMS: Bedingung
      5. Klicken Sie auf Absenden.

        Der TLA-Link wurde generiert und für die Anwender freigegeben, die zugewiesen sind Remoteworkerrole Als Rolle wird heraufgestuft, um den SMS-Code als zweiten Faktor zum Anmelden der Instanz zu verwenden.

    6. Aktivieren der anderen erforderlichen Eigenschaften.
      1. Navigieren zu Alle > Multi-Faktor-Authentifizierung > Eigenschaftenan.
      2. Aktivieren Sie die folgenden Kontrollkästchen.
        • Multi-Faktor-Authentifizierung aktivieren
        • Aktivieren Sie die Multifaktor-Authentifizierung mit SSO
      3. Speichern Sie den Datensatz.
      4. Navigieren zu Alle > Adaptive Authentifizierung > Authentifizierungsrichtlinien > Eigenschaftenan.
      5. Aktivieren Sie Aktivieren Sie Die Authentifizierungsrichtlinie Kontrollkästchen.
      6. Speichern Sie den Datensatz.
    7. TLA-Link wird generiert – Beispiel.
      1. Navigieren zu Alle > Systemdefinition > Skripts: Hintergrundan.
      2. Verwenden Sie die folgende API, indem Sie die SYS-ID und die Konfigurations-ID des Anwenders angeben
        VAR tla=New global.TimeLimitedAuthentication(); gs.info(tla.generateNonce("user_sysid", „config1_sys_ID“,„IAR2“);
        Hinweis:
        Die Quelle (IAR2) ist kein obligatorischer Parameter.
      3. Abfrageparameter wird wie gezeigt zurückgegeben:
        Nonce=VCeinfboDt0M&Glide_sso_ID=b3277f1b4351110f879b5a2d9909f3&user=3b0277d344351110f879b5a2d99099a&Source=IAR2
      4. Erstellen Sie eine URL im folgenden Format:
        https://<instance-url> /login_with_sso.do?URI=<encoded url>& nonce=2olIQSxdgkjs&Glide_sso_ID=0c15bf09c3711110c5ec4e483c40dd7a&user=62826bf0371020004e0bfc8bcbe5df1&Source=IAR  
    8. Klicken Sie auf die URL. Der folgende MFA-Bildschirm wird für die Anmeldung angezeigt.