Problembehandlung bei der MFA-Erzwingung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Informationen zur Problembehandlung aufgrund der MFA-Erzwingung.

    ServiceNow erzwingt MFA standardmäßig nach dem Yokohama-Upgrade und macht es für Nicht-SSO-Anmeldungen (Anwender, die sich nur mit Anwendername und Passwort anmelden, oder LDAP-basierte Authentifizierung) obligatorisch, um eine bessere Sicherheitslage zu gewährleisten und das Risiko von Verstößen zu reduzieren.

    Die MFA-Erzwingung erfolgt über eine MFA-Richtlinie, die standardmäßig ab Yokohama oder beim Upgrade auf Yokohama aktiviert wird. Im Folgenden finden Sie einige Problembehandlungsaufgaben, die Sie ausführen können, wenn sich das MFA-Verhalten ändert:

    • Debuggen Sie mit den Problembehandlungstools
    • Navigieren Sie zu den Eigenschaften Protokollspeicherort und Debuggen
    • Verstehen Sie die MFA-Szenarien basierend auf der Experience Ihrer Anwender bei der Verwendung von MFA
    • MFA-Problem aufgrund eines Upgrades von einem früheren Release verstehen

    MFA debuggen

    Verwenden Sie eines der folgenden Tools oder eine Kombination davon, um die Debug-Informationen zu verstehen:

    • Splunk – zum Anzeigen der Debug-Protokolle.
    • Systemprotokolle oder Knotenprotokolle.
    • HAR -Protokolle zur Analyse der Debug-Protokolle für die MFA.

    Protokollspeicherort und Debug-Eigenschaften

    Navigieren Sie zum folgenden Ort, um mehr über Protokolle zu erfahren:
    • Für Systemprotokolle navigieren Sie zu Alle > Systemprotokoll > Systemprotokolle.
    • Navigieren Sie für Knotenprotokolle zu Alle > Systemprotokolle > Dienstprogramme > Knoten-Protokolldateibrowser.

    Die System-Debug-Protokolle und Instanzknotenprotokolle sind für den Debugging-Zweck erforderlich. Im Folgenden sind die Debug-Eigenschaften aufgeführt, die aktiviert werden müssen:

    • glide.webauthn.debug.enabled
    • glide.log.default_log_debug
    • glide.authenticate.policy.debug
    • glide.authenticate.hybrid_user_tracking.debug

    MFA-Problem basierend auf Szenarien

    Szenario 1: Der Anwender kann sich mit keinem seiner zweiten Faktoren anmelden
    Setzen Sie die MFA für Ihre Anwender zurück, und löschen Sie die alten Anwenderdatensätze aus den folgenden Tabellen:
    • user_multifactor_auth
    • sys_user_public_credential
    • sys_user_multi_factor_setup
    Szenario 2: Der Administrator kann sich mit keinem der zweiten Faktoren anmelden
    Ein anderer Anwender mit Administratorzugriff kann die MFA für jeden blockierten Administratoranwender zurücksetzen. Wenn das Problem weiterhin besteht, wenden Sie sich an den Support von ServiceNow.
    Szenario 3: Während des MFA-Setups oder der Validierung wurde ein Fehler beobachtet
    Überprüfen Sie die Warnung „Zugehörige Fehlercodes/Warnung: Ihr sechsstelliger Verifizierungscode ist falsch“. Versuchen Sie es erneut mit dem richtigen Code.
    Führen Sie die nachfolgenden Schritte durch:
    • Wenn im Falle der Einmalpasswort-Authentifikator-App Datum und Uhrzeit des Authentifikator-MFA-Geräts und der Instanz nicht synchron sind (±30 Sek.), wird der Einmalpasswort-Code nicht akzeptiert. Überprüfen Sie das Gerät sowie Datum und Uhrzeit der Instanz.
    • Im Falle von E-Mails konfigurieren Sie die Benachrichtigung auf Benutzerebene, die Konfiguration für ausgehende E-Mails und den Anwender in der Tabelle „sys_user“ richtig.
    • Im Falle von SMS konfigurieren Sie Twilio oder die Integration eines anderen SMS-Service Providers richtig, und aktivieren Sie die Option. Überprüfen Sie, ob die Mobiltelefonnummer des Benutzers in der Tabelle „sys_user“ richtig konfiguriert ist.

    Problem aufgrund von Upgrade

    TBD.