SMS를 사용한 시간 제한 인증 - Twilio 자습서

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기6분

    • 를 사용하여 TwilioSMS와 같은 MFA 요소에 대한 시간 제한 인증을 설정합니다.

    시작하기 전에

    필요한 역할: admin

    필요한 플러그인:
    • com.snc.authenticate.time_limited_authentication (시간 제한 인증)
    • com.snc.authentication.sms_mfa (SMS를 통한 다단계 인증)
    주:
    TLA(시간 제한 인증)는 인스턴스에만 ServiceNow 해당되며, 사용자에 대한 사용자 지정 링크는 다음 내에서만 ServiceNow만들 수 있습니다.

    제공된 튜토리얼 지침을 통해 관리자는 특정 역할을 가진 사용자에게 SMS를 2차 인증(MFA)으로 사용하는 링크 기반 로그인을 제공할 수 있습니다.

    구성이 성공적으로 완료되면 시스템에서 링크를 생성한 다음 알림(이메일/SMS) 채널을 통해 사용자와 링크를 공유합니다. 링크를 선택하면 사용자 역할(구성)에 따라 이메일 또는 SMS 요소로 전송되는 OTP를 지정하라는 메시지가 표시됩니다.

    주:
    • TLA 다음에는 항상 MFA가 와야 하며 TLA 로그인을 위한 적응식 인증을 사용하는 관리자가 MFA를 활성화해야 합니다. 적응식 인증을 사용하여 MFA를 구성하는 방법에 대한 자세한 내용은 을 참조하십시오 MFA(Multi-factor Authentication) 컨텍스트.
    • TLA는 제한된 권한을 가진 사용자에게 사용해야 합니다.

    프로시저

    1. 구성 만들기 Twilio .
      1. Twilio 테스트 계정을 생성합니다.
        자세한 내용은 다음을 참조하십시오. Twilio레이블이 표시됩니다.
      2. 다음으로 이동 모두 > 알림 > 관리 > Twilio 직접 구성레이블이 표시됩니다.
      3. 계정 SID인증 토큰(에서 Twilio생성됨)을 제공하고 기록을 저장합니다.
      주:
      고유한 제공자 구성을 만들어 TLA에 사용할 수 있습니다. 이 예에서는 Twilio입니다. MFA 공급자 구성을 만드는 방법에 대한 자세한 내용은 을 참조하십시오 MFA 제공자 구성.
    2. 시간 제한 인증(TLA) 기록을 구성하고 활성화합니다.
      1. 다음으로 이동 모두 > 시간 제한 인증 구성 기록 을 클릭하고 새로 만들기를 선택합니다.
      2. 양식에서 필드를 채웁니다.
        표 1. 시간 제한 인증 속성
        필드 설명
        이름 기록의 이름입니다.
        1회용 TLA 링크를 한 번 사용하려면 선택하십시오.
        만료 링크 만료 시간(초)을 지정합니다. 기본값은 45분입니다.
        실패한 리디렉션 인증 실패 후 사용자를 리디렉션할 URL을 입력합니다.
        1회 사용자 인증(SSO) 스크립트 사용하려는 SSO 스크립트의 상세 정보입니다.
        활성 구성을 활성화하는 옵션입니다.
        최대 로그인 시도 로그인을 위해 생성된 TLA 링크에 허용되는 시도 횟수를 지정합니다. 최대 시도 횟수를 제공하려면 일회성 사용 확인란의 선택을 취소합니다.
        외부 로그아웃 리디렉션 로그아웃 후 사용자를 리디렉션할 URL을 입력합니다.
      3. 제출을 선택합니다.
        TLA 기록
      4. 다음으로 이동 모두 > 복수 제공자 SSO > 관리 > 속성 을 클릭하고 복수 제공자 SSO 사용 속성을 활성화하고 저장합니다.
    3. 사후 인증 컨텍스트 정책을 사용하여 특정 사용자 가상 사용자에게만 TLA를 허용합니다.
      1. 역할로 이동하여 역할을 생성합니다.
        예: remote_worker.
      2. 유효한 이메일 ID와 휴대폰 번호를 가진 사용자를 생성합니다.
        사용자를 만드는 방법에 대한 자세한 내용은 사용자 만들기를 참조하세요.
      3. 사용자에게 역할을 할당합니다.
        사용자에게 역할을 할당하는 방법에 대한 자세한 내용은 사용자에게 역할 할당을 참조하세요.
      4. 역할 필터 기준을 작성하려면 다음으로 이동합니다. 모두 > 적응식 인증 > 역할 필터 기준, 필터 remoteworkerrole 및 조건 Role is remote_worker를 만듭니다.
        역할 필터 기준
      5. IdP 및 역할 필터 기준에 따라 거부 정책 컨텍스트를 기반으로 정책 조건을 추가하려면 다음으로 이동합니다. 모두 > 적응식 인증 > 사후 인증 컨텍스트레이블이 표시됩니다.
      6. 정보 아이콘을 선택하고 기록을 엽니다.
        거부 정책
      7. 정책 입력에서 편집 을 선택하고 역할(remoteworkerrole)을 추가하고 저장을 선택합니다.
        구성원 편집
      8. 정책 조건에서 정책 입력에 대한 조건을 추가하고 기록을 제출 합니다.
    4. 스텝업 인증 정책 - MFA 컨텍스트를 구성합니다.
      1. 다음으로 이동 모두 > 다중요인 기준레이블이 표시됩니다.
      2. 역할 기반 다단계 인증을 선택하고 다단계 역할 섹션 및 업데이트에서 역할을 추가합니다.
        이 예시: remote_worker.

        MFA - 역할 기준

      3. 다음으로 이동 모두 > 적응식 인증 > MFA 컨텍스트레이블이 표시됩니다.
      4. 이러한 필드가 다음과 같이 설정되어 있는지 확인합니다.
        • 기본 정책 필드는 스텝업 MFA 정책입니다.
        • 스텝업 MFA 정책은 스텝업 MFA 정책입니다.
      5. 정보 아이콘을 선택하고 기록을 엽니다.
        스텝업 MFA 정책
      6. [Step-Up MFA Policy] 양식의 [Policy Inputs]에서 [Edit]를 선택합니다.
      7. 역할 기반 다단계 인증을 목록에 추가하고 저장합니다.
        이 예제에서는 remoteworkerrole입니다.
      8. 정책 조건에서 역할 기반 또는 사용자 기반 MFA 설정이 true인 경우 MFA 적용을 선택합니다.
      9. 역할 기반 또는 사용자 기반 MFA 설정이 true인 경우 MFA 적용 페이지에서 역할 기반 MFAtrue인지 확인합니다.
    5. SMS를 MFA 요소 정책으로 사용하도록 MFA를 적용합니다.
      1. 다음으로 이동 모두 > 적응식 인증 > MFA 컨텍스트레이블이 표시됩니다.
      2. MFA 컨텍스트(MFA Context) 페이지에서 MFA 요인 정책(MFA Factor Policies )을 선택하고 SMS OTP를 MFA 요인 정책으로 표시(Display SMS OTP as an MFA Factor Policy)를 선택합니다.
      3. 정책 입력에서 편집을 선택하고 remoteworkerrole을 추가합니다.
      4. 정책 조건을 선택하고 정책 조건을 생성합니다.
        SMS - 조건
      5. 제출을 선택합니다.

        remoteworkerrole을 역할로 사용하여 생성된 및 사용자에게 공유된 TLA 링크는 SMS 코드를 두 번째 요소로 사용하여 인스턴스에 로그인하도록 승격됩니다.

    6. 다른 필수 속성을 사용하도록 설정합니다.
      1. 다음으로 이동 모두 > Multi-factor Authentication > 속성레이블이 표시됩니다.
      2. 다음 확인란을 선택합니다.
        • 다단계 인증 사용
        • SSO를 통한 다단계 인증 사용
      3. 기록을 저장합니다.
      4. 다음으로 이동 모두 > 적응식 인증 > 인증 정책 > 속성레이블이 표시됩니다.
      5. Enable Authentication Policy(인증 정책 사용) 확인란을 선택합니다.
      6. 기록을 저장합니다.
    7. TLA 링크 생성 – 예.
      1. 다음으로 이동 모두 > 시스템 정의 > 스크립트 – 백그라운드레이블이 표시됩니다.
      2. 사용자 sys_id 및 구성 ID를 제공하여 다음 API를 사용합니다.
        var tla=new global입니다. TimeLimitedAuthentication()을 호출합니다. gs.info(tla.generateNonce("user_sysid", "config1_sys_id","IAR2"));
        주:
        원본(IAR2)은 필수 매개변수가 아닙니다.
      3. 쿼리 매개변수는 다음과 같이 반환됩니다.
        nonce=VCeinfboDt0M&glide_sso_id=b3277f1b44351110f8779b5a2d9909f3&user=3b0277d344351110f8779b5a2d99099a&source=IAR2
      4. 다음 형식으로 URL을 생성합니다.
        https://<instance-url> /login_with_sso.do?uri=<encoded url>& nonce=2olIQSxdgkjs&glide_sso_id=0c15bf09c3711110c5ec4e483c40dd7a&user=62826bf03710200044e0bfc8bcbe5df1&source=IAR
    8. URL을 선택하면 로그인을 위해 다음과 같은 MFA 화면이 표시됩니다.