MFA のアクティブ化、サポートされているメソッドおよびワークフロー

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • MFA は 2 ステップ検証とも呼ばれ、インスタンスにアクセスするためにユーザーは複数の資格情報セットを入力するというセキュリティ要件です。

    インスタンスに対する基本的な認証レベルは、ユーザーがユーザー名とパスワードの組み合わせを入力するローカルデータベース認証です。MFA により、管理者とユーザーは第 2 レベルの認証を要求できます。この 2 番目の認証は次のようになります。
    • 認証アプリからのパスコード
    • ハードウェアキー
    • 指紋リーダーや顔認識などの生体認証装置。
    • SMS またはメール

    MFA オプション

    管理者は、個々のユーザー、または特定ロールのユーザー全員に対して MFA を要求できます。ユーザーが MFA をオプトインして使用できるようにすることもできます。

    アクティブ化

    Integration - Multifactor Authentication (com.snc.integration.multifactor.authentication) プラグインはデフォルトでインスタンスにインストールされますが、管理者がシステムプロパティを使用して有効にする必要があります。詳細については、「マルチファクター認証システムプロパティ」を参照してください。

    注:
    インスタンスをクローンした後、クローンされたインスタンスで MFA を再度有効にする必要があります。詳細については、KB 記事 KB0657100KB0860689KB0825390KB0779908KB0717367KB0727991 を参照してください。

    サポートされている認証手法

    MFA は次の認証手法で使用できます。

    • ローカルデータベース認証 (ネイティブ ServiceNow 認証)
    • LDAP 統合
    • SSO SAML
    • SSO OIDC
    注:
    ユーザーは、ハードウェアキーまたは生体認証装置を設定する前に、認証アプリケーションを設定する必要があります。認証アプリケーションの設定の詳細については、「ユーザープロファイルでのマルチファクター認証のセットアップ」を参照してください。

    マルチファクター認証設定ワークフロー

    管理者によるマルチファクター認証の有効化

    Integration - Multifactor Authentication (com.snc.integration.multifactor.authentication) プラグインは、デフォルトでインスタンスでアクティブ化されています。MFA の使用を開始するには、管理者がシステムプロパティを使用して MFA を有効にする必要があります。有効にしたら、管理者は MFA ログインが必要なユーザーまたはロールを選択します。

    MFA 用に設定された管理者の詳細については、「マルチファクター認証 (MFA)」を参照してください。

    認証アプリを使用したユーザーのログイン

    ユーザーは、初回ログイン時に認証アプリを使用するように求められます。この手順は、ユーザーが生体認証またはハードウェアキーを使用する場合でも必要です。ログインしているユーザーには QR コードが表示され、これをスキャンすると認証アプリを簡単に設定できます。この初回ログインプロセスの詳細については、「ユーザープロファイルでのマルチファクター認証のセットアップ」を参照してください。

    認証アプリはモバイルアプリケーションとして利用できます。認証アプリの中には、モバイルデバイスへのアクセス権がないユーザー向けにデスクトップブラウザの拡張機能として利用できるものもあります。

    初回ログインの後にユーザーが追加の認証システムを設定可能

    初回ログインの後、ユーザーはハードウェアキーまたは生体認証装置を登録できます。

    これらの、または他のユーザー側 MFA 構成の詳細については、「マルチファクター認証 (MFA) の使用」を参照してください。

    Web 認証

    Integration - Web Authentication (com.snc.integration.webauthn) をアクティブ化して、インスタンスでハードウェアキーまたは生体認証リーダーの認証を許可します。


    ハードウェアキーアイコン

    ハードウェアキーは、認証に使用できる物理ハードウェアです。ハードウェアキーをデバイスのポートに挿入して認証します。ハードウェアキーの登録の詳細については、「ハードウェアセキュリティキーの登録」を参照してください。

    生体認証アイコン

    生体認証装置は、指紋または顔認識を使用してユーザーを識別します。ユーザーは、マルチファクターログインプロセスの一部としてデバイスでこれらの認証システムを使用できます。生体認証装置の登録の詳細については、「生体認証装置の登録」を参照してください。

    SMS またはメール (ワンタイムパスワード)

    ユーザーが外出先で ServiceNow インスタンスにログインし、よりスムーズなエクスペリエンスを実現できるように、SMS とメールによる MFA がサポートされています。


    SMS

    管理者は、インスタンスにログインしようとするユーザーに SMS ベースの OTP の使用を要求するように ServiceNow インスタンスを設定できます。

    ユーザーが ServiceNow にログインしようとすると、sys_user レコードに関連付けられた携帯電話番号に SMS OTP が送信されます。ユーザーは、モバイルデバイスに送信された 6 桁の検証コードを入力して本人確認を行うことができます。

    詳細については、「SMS を使用したマルチファクター認証」を参照してください。

    メール

    管理者は、インスタンスにログインしようとするユーザーにメールベースの OTP の使用を要求するように ServiceNow インスタンスを設定できます。

    ユーザーが ServiceNowにログインしようとすると、メール OTP がユーザーに関連付けられているメールアドレスに送信されます。ユーザーは、メールアドレスに送信された 6 桁の検証コードを入力して本人確認を行うことができます。

    詳細については、「メールを使用したマルチファクター認証」を参照してください。