Zeitlich begrenzte Authentifizierung mit SMS – Twilio Tutorial

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Richten Sie die zeitlich begrenzte Authentifizierung mit MFA-Faktoren wie SMS mit Twilioein.

    Vorbereitungen

    Erforderliche Rolle: admin

    Erforderliche Plugins:
    • com.snc.authenticate.time_limited_authentication (zeitlich begrenzte Authentifizierung)
    • com.snc.authentication.sms_mfa (Multifaktor-Authentifizierung mit SMS)
    Hinweis:
    Die zeitlich begrenzte Authentifizierung (TLA) ist spezifisch für die Instanz ServiceNow, die benutzerdefinierten Links für Benutzer können nur innerhalb von ServiceNowerstellt werden.

    Die bereitgestellten Tutorial-Anweisungen ermöglichen es dem Administrator, eine linkbasierte Anmeldung mit SMS als zweiten Faktor (MFA) für Benutzer mit einer bestimmten Rolle bereitzustellen.

    Nach einer erfolgreichen Konfiguration generiert das System einen Link und gibt den Link dann über den Benachrichtigungskanal (E-Mail/SMS) für den Benutzer frei. Wenn der Benutzer auf den Link klickt, wird er aufgefordert, die an die E-Mail gesendete Einmalpasswort oder den SMS-Faktor basierend auf der Benutzerrolle (Konfiguration) anzugeben.

    Hinweis:
    • Auf TLA muss immer MFA folgen, und MFA muss von einem Administrator mithilfe der adaptiven Authentifizierung für die TLA-Anmeldung aktiviert werden. Weitere Informationen zur Konfiguration von MFA mit adaptiver Authentifizierung finden Sie unter MFA-Kontext (Multifaktor-Authentifizierung)..
    • TLA sollte für Benutzer mit eingeschränkten Berechtigungen verwendet werden.

    Prozedur

    1. Erstellen einer Twilio -Konfiguration.
      1. Erstellen Sie ein Testkonto Twilio.
        Weitere Informationen finden Sie unter Twilio.
      2. Navigieren zu Alle > Benachrichtigen > Administration > Twilio Direct-Konfiguration.
      3. Geben Sie die Account-SID und das Auth-Token (erstellt aus Twilio) an, und speichern Sie den Datensatz.
      Hinweis:
      Sie können eine eigene Provider-Konfiguration erstellen und diese für TLA verwenden. In diesem Beispiel ist dies Twilio. Weitere Informationen zum Erstellen einer MFA-Provider-Konfiguration finden Sie unter Konfigurieren Sie den MFA-Provider.
    2. Konfigurieren und aktivieren Sie den TLA-Datensatz (Time Limited Authentication).
      1. Navigieren zu Alle > Konfigurationsdatensätze für zeitlich begrenzte Authentifizierung und wählen Sie Neu.
      2. Füllen Sie die Felder im Formular aus.
        Tabelle : 1. Eigenschaften der zeitlich begrenzten Authentifizierung
        Feld Beschreibung
        Name Name des Datensatzes.
        Einmalige Nutzung Wählen Sie diese Option aus, um den TLA-Link einmal zu verwenden.
        Ablauf Geben Sie die Sekunden für den Linkablauf an. Der Standardwert beträgt 45 Minuten.
        Fehlerhafte Umleitung Geben Sie die URL ein, um Benutzer nach einer fehlgeschlagenen Authentifizierung umzuleiten.
        Single Sign-on-Skript Details des SSO-Skripts, das Sie verwenden möchten.
        Aktiv Option zum Aktivieren der Konfiguration.
        Max. Anmeldeversuche Geben Sie die Anzahl der mit dem generierten TLA-Link für die Anmeldung zulässigen Versuche an. Deaktivieren Sie die Checkbox Einmalig verwenden, um die maximale Anzahl von Versuchen anzugeben.
        Weiterleitung für externe Abmeldung Geben Sie die URL ein, um Benutzer nach der Abmeldung umzuleiten.
      3. Wählen Sie Absenden.
        TLA-Datensatz
      4. Navigieren zu Alle > Mehrfachanbieter-SSO > Administration > Eigenschaften und aktivieren Sie die Eigenschaft SSO für mehrere Anbieter aktivieren, und klicken Sie auf Speichern.
    3. Zulassen von TLA nur für eine bestimmte Benutzerpersona mithilfe der Kontextrichtlinie nach der Authentifizierung.
      1. Navigieren Sie zu Rollen, und erstellen Sie eine Rolle.
        Beispiel: remote_worker.
      2. Erstellen Sie einen Benutzer mit einer gültigen E-Mail-ID und Mobiltelefonnummer.
        Informationen zum Erstellen eines Benutzers finden Sie unter Benutzer erstellen.
      3. Weisen Sie die Rolle dem Benutzer zu.
        Informationen zum Zuweisen der Rolle an den Benutzer finden Sie unter Einem Benutzer eine Rollezuweisen.
      4. Um Rollenfilterkriterien zu erstellen, navigieren Sie zu Alle > Adaptive Authentifizierung > Rollen-Filterkriterien, erstellen Sie einen Filter remoteworkerrole, und stellen Sie die Bedingung Rolle auf remote_worker.
        Rollenfilterkriterien
      5. Um eine Richtlinienbedingung basierend auf dem Deny-Richtlinienkontext basierend auf den IdP- und Rollenfilterkriterien hinzuzufügen, navigieren Sie zu Alle > Adaptive Authentifizierung > Kontext nach der Authentifizierung.
      6. Klicken Sie auf das Informationssymbol, und öffnen Sie den Datensatz.
        Deny-Richtlinie
      7. Wählen Sie in der Richtlinieneingabe die Option Bearbeiten aus, fügen Sie die Rolle (remoteworkerrole) hinzu, und klicken Sie auf Speichern.
        Bearbeiten Sie Mitglieder
      8. Fügen Sie in der Richtlinienbedingung die Bedingung für die Richtlinieneingabe hinzu, und übermitteln Sie den Datensatz.
    4. Konfigurieren Sie die Step-up-Authentifizierungsrichtlinie – MFA-Kontext.
      1. Navigieren zu Alle > Multifaktor-Kriterien.
      2. Wählen Sie die rollenbasierte Multifaktor-Authentifizierung aus, fügen Sie die Rolle im Abschnitt „Multifaktor-Rollen“ hinzu, und klicken Sie auf Aktualisieren.
        In diesem Beispiel: remote_worker.

        MFA – Rollenkriterien

      3. Navigieren zu Alle > Adaptive Authentifizierung > MFA-Kontext.
      4. Stellen Sie sicher, dass diese Felder wie folgt festgelegt sind:
        • Das Feld Standardrichtlinie ist Step-up-MFA-Richtlinie
        • Step-Up-MFA-Richtlinie ist Step-Up-MFA-Richtlinie
      5. Klicken Sie auf das Informationssymbol und auf Datensatz öffnen.
        Step-Up-MFA-Richtlinie
      6. Wählen Sie im Formular „Step-Up-MFA-Richtlinie“ in den Richtlinieneingaben die Option Bearbeitenaus.
      7. Fügen Sie der Liste die rollenbasierte Multifaktor-Authentifizierung hinzu, und klicken Sie auf Speichern.
        In diesem Beispiel remoteworkerrole.
      8. Wählen Sie in der Richtlinienbedingung MFA erzwingen, wenn rollenbasierte oder benutzerbasierte MFA-Einstellungen true sind.
      9. Stellen Sie auf der Seite MFA erzwingen, wenn rollen- oder benutzerbasierte MFA-Einstellungen wahr sind sicher, dass rollenbasierte MFA auf wahrgesetzt ist.
    5. Erzwingen Sie die Verwendung von SMS als MFA-Faktorrichtlinie für MFA.
      1. Navigieren zu Alle > Adaptive Authentifizierung > MFA-Kontext.
      2. Wählen Sie auf der Seite „MFA-Kontext“ MFA-Faktorrichtlinien und dann eine Richtlinie SMS-OTP als MFA-Faktorrichtlinie anzeigen aus.
      3. Wählen Sie Bearbeiten aus, und fügen Sie die Rolle remoteworker in den Richtlinieneingabenhinzu.
      4. Wählen Sie Richtlinienbedingungen aus, und erstellen Sie eine Richtlinienbedingung.
        SMS – Bedingung
      5. Wählen Sie Absenden.

        Der TLA-Link, der generiert und für die Benutzer freigegeben wird, denen die Rolle „ remoteworkerrole “ zugewiesen ist, wird heraufgestuft, um den SMS-Code als zweiten Faktor für die Anmeldung bei der Instanz zu verwenden.

    6. Aktivieren Sie die anderen erforderlichen Eigenschaften.
      1. Navigieren zu Alle > Multi-Faktor-Authentifizierung > Eigenschaften.
      2. Aktivieren Sie die folgenden Checkboxen.
        • Multi-Faktor-Authentifizierung aktivieren
        • Aktivieren Sie die Multifaktor-Authentifizierung mit SSO
      3. Speichern Sie den Datensatz.
      4. Navigieren zu Alle > Adaptive Authentifizierung > Authentifizierungsrichtlinien > Eigenschaften.
      5. Aktivieren Sie das Kontrollkästchen Authentifizierungsrichtlinie aktivieren.
      6. Speichern Sie den Datensatz.
    7. TLA-Link generieren – Beispiel.
      1. Navigieren zu Alle > Systemdefinition > Skripts – Hintergrund.
      2. Verwenden Sie die folgende API, indem Sie die Benutzer-sys_id und die Konfigurations-ID angeben.
        var tla=new global.TimeLimitedAuthentication(); gs.info(tla.generateNonce("user_sysid", "config1_sys_id","IAR2"));
        Hinweis:
        Die Quelle (IAR2) ist kein erforderlicher Parameter.
      3. Der Abfrageparameter wird wie gezeigt zurückgegeben:
        nonce=VCeinfboDt0M&glide_sso_id=b3277f1b44351110f8779b5a2d9909f3&user=3b0277d344351110f8779b5a2d99099a&source=IAR2
      4. Erstellen Sie eine URL im folgenden Format:
        https://<instance-url> /login_with_sso.do?uri=<encoded url> & nonce=2olIQSxdgkjs&glide_sso_id=0c15bf09c3711110c5ec4e483c40dd7a&user=62826bf03710200044e0bfc8bcbe5df1&source=IAR
    8. Wählen Sie die URL aus, und der folgende MFA-Bildschirm wird für die Anmeldung angezeigt.