Escopo de imposição da MFA

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Perguntas frequentes relacionadas ao escopo de imposição da MFA e por que isso é importante.

    1. Quais tipos de usuário, login e ambiente exigem a MFA?

      A partir da versão Yokohama, com a nova política de MFA segura padrão, a MFA é imposta nos seguintes cenários:

      • Todos os usuários, exceto aqueles com a função snc_external.
      • Todos os usuários que realizam a autenticação local ou LDAP (Lightweight Directory Access Protocol) baseada em nome de usuário e senha.
      • Todas as instâncias do cliente, incluindo instâncias de produção, subprodução e teste, que ainda não tinham uma política de MFA ativa antes do upgrade.

      O administrador da instância pode modificar o escopo de imposição alterando a política de contexto da MFA, os critérios ou as condições dela.

    2. A MFA é necessária para logins com SSO (Single-Sign-On)?

      Não. Com a política de MFA segura padrão, a MFA não é necessária para logins com SSO (SAML, OIDC, autenticação baseada em certificado).

      Os clientes podem colaborar com o provedor (IdP) de Single Sign-On (SSO) para impor a autenticação multifator (MFA) no lado do IdP. Se não é viável impor a MFA no lado do IdP, os clientes também têm a opção de habilitar a MFA da plataforma ServiceNow para logins com SSO seguindo as instruções fornecidas Configuração da autenticação multifator com Single Sign-On.

    3. A MFA é necessária para usuários externos?

      Não. Com a política de MFA segura padrão, a MFA não é necessária para usuários com a função snc_external.

      • Os administradores podem modificar esse comportamento e impor a MFA aos usuários externos atualizando as condições da política de MFA.
      • Os usuários externos que já passaram pela MFA antes do upgrade para a versão Yokohama ou outra posterior continuam a ter a MFA.
      • Os usuários externos podem visitar o próprio perfil e se inscrever automaticamente na MFA.
    4. A MFA é necessária para login no aplicativo para celular?

      Sim. A política de MFA é aplicada ao login na Web e no aplicativo para celular com o login não SSO baseado em nome de usuário e senha.

    5. A MFA é necessária para ambientes de teste e de não produção?

      Sim. A MFA é imposta para todas as instâncias do cliente, incluindo ambientes de produção, não produção, desenvolvimento e teste, caso não haja uma política de MFA ativa na instância antes do upgrade para a versão Yokohama ou outras posteriores.

    6. A MFA é necessária para instâncias de desenvolvedor?

      Sim. A MFA é imposta para todas as instâncias de desenvolvedor que estão na versão Yokohama ou em outras posteriores.

    7. A MFA é necessária para a autenticação de APIs?

      Não. A partir da versão Yokohama ou em outras posteriores, a MFA só é necessária para logins de usuário interativos com base em nome de usuário e senha. Isso significa que a autenticação básica de APIs funciona normalmente sem exigir a MFA. É recomendável que os clientes usem métodos alternativos de autenticação de APIs que sejam seguros, como OAuth ou mTLS. Confira mais detalhes aqui.

      1. Clonar
      2. Recuperação do conjunto de atualizações
      3. RPA
    8. Há algum impacto no processo de configuração de clone devido à MFA?

      Não, o processo de configuração de clone continua a funcionar com nome de usuário e senha e não requer a MFA.

    9. Há algum impacto na recuperação de conjuntos de atualizações devido à MFA?

      Não, a recuperação de conjuntos de atualizações continua a funcionar com nome de usuário e senha e não requer a MFA.

    10. Houve algum impacto nos bots de RPA que acessam as instâncias da ServiceNow?

      Sim, se o bot de RPA usar o login interativo com nome de usuário e senha para acessar a instância da ServiceNow, ele deverá realizar a MFA. Os administradores podem adicionar contas de bot de RPA ao grupo de usuários isentos da MFA se quiserem flexibilizar a MFA para as contas de bot de RPA.

    11. A MFA é necessária para integrações baseadas em OAuth?

      A credencial de senha do proprietário do recurso (ROPC) OAuth funciona com nome de usuário e senha e não exige a MFA. Para o tipo de concessão de código de autorização, a MFA é necessária como parte do fluxo de login do usuário antes do consentimento do OAuth.