Authentification temporelle limitée par SMS : Twilio didacticiel

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Configurez une authentification limitée dans le temps avec des facteurs MFA tels que SMS à l’aide de Twilio.

    Avant de commencer

    Rôle requis : admin

    Modules d'extension requis :
    • com.snc.authenticate.time_limited_authentication (authentification limitée dans le temps)
    • com.snc.authentication.sms_mfa (authentification multifacteur avec SMS)
    Remarque :
    L’authentification limitée dans le temps (TLA) est très spécifique à l’instanceServiceNow, les liens personnalisés pour les utilisateurs ne peuvent être créés que dans .ServiceNow

    Les instructions du didacticiel fournies permettent à l’administrateur de fournir une connexion basée sur un lien avec SMS comme deuxième facteur (MFA) pour les utilisateurs ayant un rôle spécifique.

    Une fois la configuration réussie, le système génère un lien, puis le partage avec l’utilisateur via un canal de notification (e-mail/SMS). En cliquant sur le lien, l’utilisateur est invité à spécifier le facteur d’e-mail ou de SMS envoyé à l’OTP en fonction du rôle d’utilisateur (configuration).

    Remarque :
    • TLA doit toujours être suivi de MFA et MFA doit être activé par l’administrateur à l’aide de l’authentification adaptative pour la connexion TLA. Pour en savoir plus sur la configuration de la MFA avec l’authentification adaptative, reportez-vous à la section Contexte MFA (Multi-Factor Authentication).
    • Le TLA doit être utilisé pour les utilisateurs qui ont des privilèges limités.

    Procédure

    1. Création d’une Twilio configuration.
      1. Créez un Twilio compte de test. Pour plus d'informations, consultez Twilio.
      2. Accédez à la Tout > Notification > Administration > Configuration Twilio Direct.
      3. Fournissez le SID de compte et le jeton d’authentification (créé à partir de Twilio) et sauvegardez l’enregistrement.
      Remarque :
      Vous pouvez créer votre propre configuration de fournisseur et l’utiliser pour TLA. Dans cet exemple, il s’agit Twiliode . Pour en savoir plus sur la création d’une configuration de fournisseur MFA, reportez-vous à la section Configurer le fournisseur MFA.
    2. Configuration et activation de l’enregistrement d’authentification limitée dans le temps (TLA).
      1. Accédez à la Tout > Enregistrements de configuration de l’authentification temporelle limitée et cliquez sur Nouveau.
      2. Renseignez les champs du formulaire.
        Tableau 1. Propriétés d'authentification temporelle limitée
        Champ Description
        Nom Nom de l'enregistrement.
        Utilisation ponctuelle Activez pour utiliser le lien TLA une fois.
        Expiration Spécifiez les secondes d’expiration du lien. La valeur par défaut est de 45 minutes.
        Échec de la redirection Entrez l’URL pour rediriger des utilisateurs après un échec d’authentification.
        Script d'authentification unique Détails du script SSO que vous souhaitez utiliser.
        Actif Option permettant d’activer la configuration.
        Nombre maximal de tentatives de connexion Spécifiez le nombre de tentatives autorisées avec le lien TLA généré pour la connexion. Décochez la case Utilisation unique pour fournir le nombre maximal de tentatives.
        Redirection de déconnexion externe Saisissez l’URL pour rediriger les utilisateurs après la déconnexion.
      3. Cliquez sur Envoyer.
        Enregistrement TLA
      4. Accédez à la Tout > Authentification unique (SSO) de plusieurs fournisseurs > Administration > Propriétés et activez la propriété Authentification unique (SSO) de plusieurs fournisseurs et Enregistrer.
    3. Autoriser TLA uniquement pour un profil d’utilisateur spécifique à l’aide de la politique de contexte de post-authentification.
      1. Accédez à Rôles et créez un rôle. Par exemple : remote_worker.
      2. Créez un utilisateur avec un ID e-mail et un numéro de téléphone portable valides. Pour savoir comment créer un utilisateur, consultez Créer un utilisateur.
      3. Affectez le rôle à l’utilisateur. Pour savoir comment affecter le rôle à l’utilisateur, consultez Affecter un rôle à un utilisateur.
      4. Pour créer un critère de filtre de rôle, accédez à Tout > Authentification Adaptative > Critère de filtre de rôle, créer un nouveau filtre remoteworkerRôle et condition Le rôle est remote_worker.
        Critère de filtre de rôle
      5. Pour ajouter une condition de politique basée sur le contexte de politique de refus basée sur les critères d’IdP et de filtre de rôle, accédez à Tout > Authentification Adaptative > Contexte de post-authentification.
      6. Cliquez sur l’icône d’informations et ouvrez l’enregistrement.
        Refuser la politique
      7. Dans l’entrée Politique, cliquez sur Modifier et ajoutez le rôle (remoteworkerrole) et Enregistrer.
        Modifier les membres
      8. Dans la condition de politique, ajoutez la condition pour l’entrée de politique et soumettez l’enregistrement.
    4. Configuration de la politique d’authentification renforcée : contexte MFA.
      1. Accédez à la Tout > Critère multifacteur.
      2. Sélectionnez l’authentification multifacteur basée sur les rôles et ajoutez le rôle dans la section Rôles multifacteur et Mettre à jour. Dans cet exemple : remote_worker.
        MFA : critères de rôle
      3. Accédez à la Tout > Authentification Adaptative > Contexte MFA.
      4. Assurez-vous de ce qui suit :
        • Le champ Politique par défaut est Politique MFA ascendante
        • La politique MFA ascendante est une politique MFA ascendante
      5. Cliquez sur l’icône Informations et ouvrez l’enregistrement.
        Politique MFA ascendante
      6. Dans le formulaire Politique MFA ascendante, dans Entrées de politique, cliquez sur Modifier.
      7. Ajouter l’authentification multifacteur basée sur les rôles à la liste et enregistrer. Dans cet exemple, rôle remoteworker.
      8. Dans la condition de politique, cliquez sur Appliquer la MFA si les paramètres MFA basés sur le rôle ou basés sur l’utilisateur sont vrais.
      9. Sur la page Appliquer la MFA si les paramètres MFA basés sur les rôles ou basés sur l’utilisateur sont vrais, assurez-vous que MFA basé sur les rôles est vrai.
    5. Application de la MFA pour utiliser SMS comme politique de facteur MFA.
      1. Accédez à la Tout > Authentification Adaptative > Contexte MFA.
      2. Sur la page Contexte MFA, cliquez sur Politiques de facteur MFA , puis sur politique Afficher le mot de passe OTP SMS comme politique de facteur MFA.
      3. Cliquez sur Modifier et ajoutez le rôle remoteworker dans les entrées de politique.
      4. Cliquez sur Conditions de politique et créez une condition de politique.
        SMS : condition
      5. Cliquez sur Envoyer.

        Le lien TLA généré et partagé avec les utilisateurs affectés au rôle remoteworkerrole sera promu pour utiliser le code SMS comme deuxième facteur pour se connecter à l’instance.

    6. Activation des autres propriétés requises.
      1. Accédez à la Tout > Authentification multifacteur > Propriétés.
      2. Cochez les cases suivantes.
        • Activer l'authentification multifacteur
        • Activer l’authentification multifacteur avec SSO
      3. Enregistrez l'enregistrement.
      4. Accédez à la Tout > Authentification Adaptative > Politiques d'authentification > Propriétés.
      5. Cochez la case Activer la politique d’authentification .
      6. Enregistrez l'enregistrement.
    7. Génération d’un lien TLA – Exemple.
      1. Accédez à la Tout > Définition du système > Scripts – Contexte.
      2. Utilisez l’API suivante en fournissant un sysid et un ID de configuration de l’utilisateur.
        var tla=new global. TimeLimitedAuthentication() ; gs.info(tla.generateNonce(« user_sysid », « config1_sys_id »,"IAR2 »)) ;
        Remarque :
        La source (IAR2) n’est pas un paramètre obligatoire.
      3. Le paramètre de requête est renvoyé comme indiqué :
        nonce=VCeinfboDt0M&glide_sso_id=b3277f1b44351110f8779b5a2d9909f3&user=3b0277d344351110f8779b5a2d99099a&source=IAR2
      4. Créez une URL au format ci-dessous :
        https://<instance-url> /login_with_sso.do ?uri=<encoded url>& nonce=2olIQSxdgkjs&glide_sso_id=0c15bf09c3711110c5ec4e483c40dd7a&user=62826bf03710200044e0bfc8bcbe5df1&source=IAR
    8. Cliquez sur l’URL, l’écran MFA suivant s’affiche pour la connexion.