Zeitlich begrenzte Authentifizierung mit SMS – Twilio Lernprogramm

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Richten Sie eine zeitlich begrenzte Authentifizierung mit MFA-Faktoren wie SMS mithilfe von Twilioein.

    Vorbereitungen

    Erforderliche Rolle: admin

    Erforderliche Plugins:
    • com.snc.authenticate.time_limited_authentication (Zeitlich begrenzte Authentifizierung)
    • com.snc.authentication.sms_mfa (Mehrstufige Authentifizierung mit SMS)
    Hinweis:
    Die zeitlich begrenzte Authentifizierung (Time begrenzte Authentifizierung, TLA) ist sehr spezifisch für die Instanz ServiceNow, die anwenderdefinierten Links für Anwender können nur innerhalb von ServiceNowerstellt werden.

    Die bereitgestellten Tutorial-Anweisungen ermöglichen es dem Administrator, eine linkbasierte Anmeldung mit SMS als zweiten Faktor (MFA) für Benutzer mit einer bestimmten Rolle bereitzustellen.

    Nach einer erfolgreichen Konfiguration generiert das System einen Link und gibt den Link dann über den Benachrichtigungskanal (E-Mail/SMS) für den Benutzer frei. Durch Klicken auf den Link wird der Anwender aufgefordert, das OTP anzugeben, das an den Faktor „E-Mail“ oder „SMS“ gesendet wird, basierend auf der Anwenderrolle (Konfiguration).

    Hinweis:
    • Auf TLA muss immer MFA folgen, und MFA muss vom Administrator mithilfe der adaptiven Authentifizierung für die TLA-Anmeldung aktiviert werden. Weitere Informationen zum Konfigurieren von MFA mit adaptiver Authentifizierung finden Sie unter MFA-Kontext (Multifaktor-Authentifizierung)..
    • TLA sollte für Anwender mit eingeschränkten Berechtigungen verwendet werden.

    Prozedur

    1. Eine Twilio -Konfiguration wird erstellt.
      1. Erstellen Sie einen Twilio -Test-Account. Weitere Informationen finden Sie unter Twilioan.
      2. Navigieren zu Alle > Benachrichtigen > Administration > Twilio Direct-Konfigurationan.
      3. Geben Sie die Account-SID und das Auth-Token (erstellt aus Twilio) an, und speichern Sie den Datensatz.
      Hinweis:
      Sie können Ihre eigene Anbieterkonfiguration erstellen und diese für TLA verwenden. In diesem Beispiel ist dies Twilio. Weitere Informationen zum Erstellen einer MFA-Anbieterkonfiguration finden Sie unter Konfigurieren Sie den MFA-Anbieter.
    2. Zeitbegrenzte Authentifizierung (TLA) wird konfiguriert und aktiviert.
      1. Navigieren zu Alle > Konfigurationsdatensätze für zeitlich begrenzte Authentifizierung und klicken Sie auf Neu.
      2. Füllen Sie die Felder im Formular aus.
        Tabelle : 1. Eigenschaften der zeitlich begrenzten Authentifizierung
        Feld Beschreibung
        Name Name des Datensatzes.
        Einmalige Nutzung Aktivieren Sie diese Option, um den TLA-Link einmal zu verwenden.
        Ablauf Geben Sie die Sekunden für den Linkablauf an. Der Standardwert ist 45 Minuten.
        Fehlerhafte Umleitung Geben Sie die URL ein, um Anwender nach einer fehlgeschlagenen Authentifizierung umzuleiten.
        Single Sign-on-Skript Details des SSO-Skripts, das Sie verwenden möchten.
        Aktiv Option zum Aktivieren der Konfiguration.
        Max. Anmeldeversuche Geben Sie die Anzahl der Versuche an, die mit dem generierten TLA-Link für die Anmeldung zulässig sind. Deaktivieren Sie das Kontrollkästchen Einmalige Verwendung, um die maximale Anzahl von Versuchen anzugeben.
        Weiterleitung für externe Abmeldung Geben Sie die URL ein, um Anwender nach der Abmeldung umzuleiten.
      3. Klicken Sie auf Absenden.
        TLA-Datensatz
      4. Navigieren zu Alle > Mehrfachanbieter-SSO > Administration > Eigenschaften und aktivieren Sie die Eigenschaft SSO mit mehreren Providern aktivieren und anschließend Speichern.
    3. Mithilfe der Kontextrichtlinie der Nachauthentifizierung wird TLA nur für eine bestimmte Benutzerpersona zugelassen.
      1. Navigieren Sie zu Rollen und erstellen Sie eine Rolle. Beispiel: remote_worker.
      2. Erstellen Sie einen Anwender mit einer gültigen E-Mail-ID und Mobiltelefonnummer. Informationen zum Erstellen eines Benutzers finden Sie unter Benutzer erstellen.
      3. Weisen Sie dem Anwender die Rolle zu. Informationen zum Zuweisen der Rolle an den Benutzer finden Sie unter Einem Benutzer eine Rollezuweisen .
      4. Um ein Rollenfilterkriterium zu erstellen, navigieren Sie zu Alle > Adaptive Authentifizierung > Rollen-Filterkriterien, erstellen Sie einen neuen Filter remoteworkerrole und die Bedingung Rolle lautet remote_worker.
        Rollenfilterkriterien
      5. Um eine Richtlinienbedingung basierend auf dem Ablehnungsrichtlinienkontext basierend auf den IdP- und Rollenfilterkriterien hinzuzufügen, navigieren Sie zu Alle > Adaptive Authentifizierung > Kontext nach der Authentifizierungan.
      6. Klicken Sie auf das Informationssymbol, und öffnen Sie den Datensatz.
        Ablehnungsrichtlinie
      7. Klicken Sie in der Richtlinieneingabe auf Bearbeiten, fügen Sie die Rolle hinzu (remoteworkerrole) und klicken Sie auf Speichern.
        Bearbeiten Sie Mitglieder
      8. Fügen Sie in Richtlinienbedingung die Bedingung für die Richtlinieneingabe hinzu, und übermitteln Sie den Datensatz.
    4. Konfigurieren der Richtlinie für die Step-Up-Authentifizierung – MFA-Kontext.
      1. Navigieren zu Alle > Multifaktor-Kriterienan.
      2. Wählen Sie die Rollenbasierte Multifaktor-Authentifizierung aus, und fügen Sie die Rolle im Abschnitt Multifaktor-Rollen und unter Aktualisierenhinzu. In diesem Beispiel: remote_worker.
        MFA: Rollenkriterien
      3. Navigieren zu Alle > Adaptive Authentifizierung > MFA-Kontextan.
      4. Stellen Sie Folgendes sicher:
        • Das Feld „Standardrichtlinie“ ist Step-up-MFA-Richtlinie
        • Die Step-Up-MFA-Richtlinie ist die Step-Up-MFA-Richtlinie
      5. Klicken Sie auf das Informationssymbol und auf Datensatz öffnen.
        Step-Up-MFA-Richtlinie
      6. Klicken Sie im Formular „Step-Up-MFA-Richtlinie“ unter Richtlinieneingaben auf Bearbeiten.
      7. Fügen Sie der Liste die rollenbasierte Multifaktor-Authentifizierung hinzu, und speichern Sie. In diesem Beispiel die Rolle remoteworker.
      8. Klicken Sie in der Richtlinienbedingung auf MFA erzwingen, wenn rollenbasierte oder anwenderbasierte MFA-Einstellungen auf true festgelegt sind.
      9. Stellen Sie auf der Seite MFA erzwingen, wenn rollenbasierte oder anwenderbasierte MFA-Einstellungen „wahr“ sind, stellen Sie sicher, dass rollenbasierte MFA auf „ wahr“ festgelegt ist.
    5. MFA wird erzwungen, um SMS als MFA-Faktorrichtlinie zu verwenden.
      1. Navigieren zu Alle > Adaptive Authentifizierung > MFA-Kontextan.
      2. Klicken Sie auf der Seite „MFA-Kontext“ auf MFA-Faktorrichtlinien und anschließend auf die Richtlinie SMS OTP als MFA-Faktorrichtlinie anzeigen.
      3. Klicken Sie auf Bearbeiten, und fügen Sie in den Richtlinieneingaben die Rolle remoteworkerhinzu.
      4. Klicken Sie auf Richtlinienbedingungen, und erstellen Sie eine Richtlinienbedingung.
        SMS: Bedingung
      5. Klicken Sie auf Absenden.

        Der TLA-Link, der generiert und für die Anwender freigegeben wird, denen die Rolle remoteworker zugewiesen ist, wird so heraufgestuft, dass er den SMS-Code als zweiten Faktor für die Anmeldung bei der Instanz verwendet.

    6. Die anderen erforderlichen Eigenschaften werden aktiviert.
      1. Navigieren zu Alle > Multi-Faktor-Authentifizierung > Eigenschaftenan.
      2. Aktivieren Sie die folgenden Kontrollkästchen.
        • Multi-Faktor-Authentifizierung aktivieren
        • Aktivieren Sie die Multifaktor-Authentifizierung mit SSO
      3. Speichern Sie den Datensatz.
      4. Navigieren zu Alle > Adaptive Authentifizierung > Authentifizierungsrichtlinien > Eigenschaftenan.
      5. Aktivieren Sie das Kontrollkästchen Authentifizierungsrichtlinie aktivieren.
      6. Speichern Sie den Datensatz.
    7. Generieren eines TLA-Links – Beispiel.
      1. Navigieren zu Alle > Systemdefinition > Skripts: Hintergrundan.
      2. Verwenden Sie die folgende API, indem Sie die Anwender-Sys-ID und die Konfigurations-ID angeben.
        var tla = neu global.TimeLimitedAuthentication(); gs.info(tla.generateNonce("user_sysid", "config1_sys_id","IAR2"));
        Hinweis:
        Die Quelle (IAR2) ist kein obligatorischer Parameter.
      3. Der Abfrageparameter wird wie folgt zurückgegeben:
        Nonce=VCeinfboDt0M&glide_sso_id=b3277f1b44351110f8779b5a2d9909f3&user=3b0277d344351110f8779b5a2d99099a&source=IAR2
      4. Erstellen Sie eine URL im folgenden Format:
        https://<instance-url> /login_with_sso.do?uri=<encoded url> & Nonce=2olIQSxdgkjs&glide_sso_id=0c15bf09c3711110c5ec4e483c40dd7a&user=62826bf03710200044e0bfc8bcbe5df1&source=IAR
    8. Klicken Sie auf die URL. Der folgende MFA-Bildschirm wird zur Anmeldung angezeigt.