MFA の構成、サポートされているメソッド、ワークフロー

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:4分

    • MFA は 2 ステップ検証とも呼ばれ、インスタンスにアクセスするためにユーザーは複数の認証情報セットを入力するというセキュリティ要件です。

    インスタンスに対する基本的な認証レベルは、ユーザーがユーザー名とパスワードを入力するローカルデータベース認証です。MFA により、アドミニストレーターとユーザーは第 2 レベルの認証を要求できます。

    第 2 レベルの認証は、以下に基づいて行うことができます。

    • 認証アプリからのパスコード
    • ハードウェアキー
    • 指紋リーダーや顔認識などの生体認証装置。
    • SMS またはメール

    MFA オプション

    アドミニストレーターは、個々のユーザー、または特定ロールのユーザー全員に対して MFA をセットアップできます。ユーザーが MFA をオプトインして使用できるようにすることもできます。

    アクティベーション

    Integration - Multifactor Authentication (com.snc.integration.multifactor.authentication) プラグインはデフォルトでインスタンスにインストールされますが、アドミニストレーターがシステムプロパティを使用して有効にする必要があります。詳細については、「マルチファクター認証システムプロパティ」を参照してください。

    注:
    インスタンスをクローンした後、クローンされたインスタンスで MFA を再度有効にする必要があります。詳細については、KB 記事 KB0657100KB0860689KB0825390KB0779908KB0717367KB0727991 を参照してください。

    サポートされている認証手法

    MFA は次の認証手法で使用できます。

    • ローカルデータベース認証 (ネイティブ ServiceNow 認証)
    • LDAP 統合
    • SSO SAML
    • SSO OIDC

    マルチファクター認証設定ワークフロー

    アドミニストレーターによるマルチファクター認証の有効化

    Integration - マルチファクター認証 (MFA) (com.snc.integration.multifactor.authentication) プラグインは、デフォルトでインスタンスでアクティブ化されています。MFA の使用を開始するには、アドミニストレーターがシステムプロパティを使用して MFA を有効にする必要があります。有効にしたら、アドミニストレーターは MFA ログインが必要なユーザーまたはロールを選択します。

    MFA 用に設定されたアドミニストレーターの詳細については、「マルチファクター認証 (MFA)」を参照してください。

    認証アプリを使用したユーザーのログイン

    ユーザーは、ログインに MFA オプションを使用するように求められます。ユーザーはどのオプションを選択しても MFA を実行することができ、ユーザーが 1 つの要素を使用してセットアップを完了した場合でも、そうしたいと思えば、自分のプロファイルページに移動して残りの要素をセットアップできます。

    Web 認証

    Integration - Web Authentication (com.snc.integration.webauthn) をアクティブ化して、インスタンスでハードウェアキーまたは生体認証リーダーの認証を許可します。


    ハードウェアキーアイコン

    ハードウェアキーは、認証に使用できる物理ハードウェアです。ハードウェアキーをデバイスのポートに挿入して認証します。ハードウェアキーの登録の詳細については、「ハードウェアセキュリティキーの登録」を参照してください。

    生体認証アイコン

    生体認証装置は、指紋または顔認識を使用してユーザーを識別します。ユーザーは、マルチファクターログインプロセスの一部としてデバイスでこれらの認証システムを使用できます。生体認証装置の登録の詳細については、「生体認証装置の登録」を参照してください。

    SMS またはメール (ワンタイムパスワード)

    ユーザーが外出先で ServiceNow インスタンスにログインし、よりスムーズなエクスペリエンスを実現できるように、SMS とメールによる MFA がサポートされています。


    SMS

    アドミニストレーターは、インスタンスにログインしようとするユーザーに SMS ベースの OTP の使用を要求するように ServiceNow インスタンスを設定できます。

    ユーザーが ServiceNow にログインしようとすると、sys_user レコードに関連付けられた携帯電話番号に SMS OTP が送信されます。ユーザーは、モバイルデバイスに送信された 6 桁の検証コードを入力して本人確認を行うことができます。

    詳細については、「SMS を使用したマルチファクター認証」を参照してください。

    メール

    admin は、インスタンスにログインしようとするユーザーにメールベースの OTP の使用を要求するように ServiceNow インスタンスを設定できます。

    ユーザーが ServiceNowにログインしようとすると、メール OTP がユーザーに関連付けられているメールアドレスに送信されます。ユーザーは、メールアドレスに送信された 6 桁の検証コードを入力して本人確認を行うことができます。

    詳細については、「メールを使用したマルチファクター認証」を参照してください。