Authentification temporelle limitée par SMS - Twilio Tutoriel

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Configurez une authentification temporelle limitée à l’aide de facteurs MFA tels que SMS à l’aide de Twilio.

    Avant de commencer

    Rôle requis : administrateur

    Modules d'extension requis :
    • com.snc.authenticate.time_limited_authentication (authentification temporelle limitée)
    • com.snc.authentication.sms_mfa (authentification multifacteur par SMS)
    Remarque :
    L’authentification temporelle limitée (TLA) est très spécifique à l’instanceServiceNow. Les liens personnalisés pour les utilisateurs ne peuvent être créés que dans .ServiceNow

    Les instructions du didacticiel fournies permettent à l’administrateur de fournir une connexion basée sur un lien avec SMS comme deuxième facteur (MFA) pour les utilisateurs ayant un rôle spécifique.

    Une fois la configuration réussie, le système génère un lien, puis le partage avec l’utilisateur via le canal de notification (e-mail/SMS). En cliquant sur le lien, l’utilisateur est invité à spécifier le facteur OTP envoyé à E-mail ou SMS en fonction du rôle d’utilisateur (configuration).

    Remarque :
    • TLA doit toujours être suivi par MFA et MFA doit être activé par l’administrateur à l’aide de l’authentification adaptative pour la connexion TLA. Pour en savoir plus sur la configuration de l’authentification MFA avec Adaptive Authentication, reportez-vous à la section Contexte MFA (Multi-Factor Authentication).
    • TLA doit être utilisé pour les utilisateurs qui ont des privilèges limités.

    Procédure

    1. Création d’une Twilio configuration.
      1. Créez un Twilio compte test. Pour plus d'informations, consultez Twilio.
      2. Accédez à la Tout > Notification > Administration > Configuration Twilio Direct.
      3. Fournissez le SID de compte et le jeton d’authentification (créé à partir de Twilio) et enregistrez l’enregistrement.
      Remarque :
      Vous pouvez créer votre propre configuration de fournisseur et l’utiliser pour TLA. Dans cet exemple, il s’agit de Twilio. Pour en savoir plus sur la création d’une configuration de fournisseur MFA, reportez-vous à la section Configurer le fournisseur MFA.
    2. Configuration et activation de l’enregistrement d’authentification limitée en temps (TLA).
      1. Accédez à la Tout > Enregistrements de configuration de l’authentification temporelle limitée et cliquez sur Nouveau.
      2. Renseignez les champs du formulaire.
        Tableau 1. Propriétés d'authentification temporelle limitée
        Champ Description
        Nom Nom de l'enregistrement.
        Utilisation ponctuelle Activez cette option pour utiliser le lien TLA une seule fois.
        Expiration Spécifiez les secondes avant l’expiration du lien. La valeur par défaut est de 45 minutes.
        Échec de la redirection Entrez l’URL pour rediriger les utilisateurs après un échec d’authentification.
        Script d'authentification unique Détails du script SSO que vous souhaitez utiliser.
        Actif Option permettant d’activer la configuration.
        Nombre maximal de tentatives de connexion Spécifiez le nombre de tentatives autorisées avec le lien TLA généré pour la connexion. Décochez la case Utilisation unique pour indiquer le nombre maximal de tentatives.
        Redirection de déconnexion externe Entrez l’URL pour rediriger les utilisateurs après la déconnexion.
      3. Cliquez sur Envoyer.
        Enregistrement TLA
      4. Accédez à la Tout > Authentification unique (SSO) de plusieurs fournisseurs > Administration > Propriétés et activez la propriété Activer l’authentification unique de plusieurs fournisseurs et cliquez sur Enregistrer.
    3. Autoriser TLA uniquement à un profil d’utilisateur spécifique en utilisant la politique de contexte post-authentification.
      1. Accédez à Rôles et créez un rôle. Par exemple : remote_worker.
      2. Créez un utilisateur avec un ID d’e-mail et un numéro de téléphone portable valides. Pour savoir comment créer un utilisateur, consultez Créer un utilisateur.
      3. Affectez le rôle à l’utilisateur. Pour savoir comment attribuer le rôle à l’utilisateur, consultez Affecter un rôle à un utilisateur.
      4. Pour créer un critère de filtre de rôle, accédez à Tout > Authentification Adaptative > Critère de filtre de rôle, créez un nouveau filtre remoteworkerrole et condition Le rôle est remote_worker.
        Critère de filtre de rôle
      5. Pour ajouter une condition de politique basée sur le contexte de politique de refus basé sur les critères IdP et de filtre de rôle, accédez à Tout > Authentification Adaptative > Contexte de post-authentification.
      6. Cliquez sur l’icône d’informations et ouvrez l’enregistrement.
        Refuser la politique
      7. Dans l’entrée Politique, cliquez sur Modifier et ajoutez le rôle (remoteworkerrole) et cliquez sur Enregistrer.
        Modifier les membres
      8. Dans la Condition de politique, ajoutez la condition de l’entrée de politique et soumettez l’enregistrement.
    4. Configuration de la politique d’authentification ascendante : contexte MFA.
      1. Accédez à la Tout > Critère multifacteur.
      2. Sélectionnez l’authentification multifacteur basée sur les rôles et ajoutez le rôle dans la section Rôles multifacteur et mettez à jour. Dans cet exemple : remote_worker.
        MFA - Critère de rôle
      3. Accédez à la Tout > Authentification Adaptative > Contexte MFA.
      4. Assurez-vous des points suivants :
        • Le champ Politique par défaut est Politique MFA ascendante
        • La politique MFA ascendante est une politique MFA ascendante
      5. Cliquez sur l’icône Informations et ouvrez l’enregistrement.
        Politique MFA ascendante
      6. Dans le formulaire Politique de MFA ascendante, dans les entrées de politique, cliquez sur Modifier.
      7. Ajoutez l’authentification multifacteur basée sur les rôles à la liste et enregistrez. Dans cet exemple, remoteworkerrole.
      8. Dans la condition de politique, cliquez sur Appliquer la MFA si les paramètres MFA basés sur le rôle ou l’utilisateur sont vrais.
      9. Sur la page Appliquer la MFA si les paramètres MFA basés sur le rôle ou l’utilisateur sont vrais, assurez-vous que MFA basé sur les rôles est défini sur vrai.
    5. L’application de la MFA pour utiliser SMS comme politique de facteur MFA.
      1. Accédez à la Tout > Authentification Adaptative > Contexte MFA.
      2. Sur la page Contexte MFA, cliquez sur Politiques de facteur MFA , puis sur Politique Afficher le mot de passe à usage unique du SMS en tant que politique de facteur MFA.
      3. Cliquez sur Modifier et ajoutez remoteworkerrole dans les entrées de politique.
      4. Cliquez sur Conditions de politique et créez une condition de politique.
        SMS : condition
      5. Cliquez sur Envoyer.

        Le lien TLA généré et partagé avec les utilisateurs affectés avec remoteworkerrole en tant que rôle sera promu pour utiliser le code SMS comme deuxième facteur de connexion à l’instance.

    6. l’activation des autres propriétés requises.
      1. Accédez à la Tout > Authentification multifacteur > Propriétés.
      2. Cochez les cases suivantes.
        • Activer l'authentification multifacteur
        • Activer l’authentification multifacteur avec SSO
      3. Enregistrez l'enregistrement.
      4. Accédez à la Tout > Authentification Adaptative > Politiques d'authentification > Propriétés.
      5. Cochez la case Activer la politique d’authentification .
      6. Enregistrez l'enregistrement.
    7. Génération d’un lien TLA – Exemple.
      1. Accédez à la Tout > Définition du système > Scripts – Arrière-plan.
      2. Utilisez l’API suivante en fournissant le sysid et l’ID de configuration de l’utilisateur.
        var tla=new global. TimeLimitedAuthentication() ; gs.info(tla.generateNonce(« user_sysid », « config1_sys_id »,"IAR2 »)) ;
        Remarque :
        La source (IAR2) n’est pas un paramètre obligatoire.
      3. Le paramètre de requête est renvoyé comme indiqué :
        nonce=VCeinfboDt0M&glide_sso_id=b3277f1b44351110f8779b5a2d9909f3&user=3b0277d344351110f8779b5a2d99099a&source=IAR2
      4. Créez une URL dans le format ci-dessous :
        https://<instance-url> /login_with_sso.do ?uri=<url codée>& nonce=2olIQSxdgkjs&glide_sso_id=0c15bf09c3711110c5ec4e483c40dd7a&user=62826bf03710200044e0bfc8bcbe5df1&source=IAR
    8. Cliquez sur l’URL, l’écran MFA suivant s’affiche pour la connexion.