Authentification temporelle limitée avec SMS - Twilio Tutoriel

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Configurez une authentification limitée dans le temps avec des facteurs MFA tels que SMS à l’aide de Twilio.

    Avant de commencer

    Rôle requis : admin

    Modules d'extension requis :
    • com.snc.authenticate.time_limited_authentication (authentification temporelle limitée)
    • com.snc.authentication.sms_mfa (authentification multifacteur par SMS)
    Remarque :
    L’authentification temporelle limitée (TLA) est spécifique à l’instanceServiceNow. Les liens personnalisés pour les utilisateurs ne peuvent être créés que dans .ServiceNow

    Les instructions du didacticiel fournies permettent à l’administrateur de fournir une connexion basée sur un lien avec SMS comme deuxième facteur (MFA) pour les utilisateurs ayant un rôle spécifique.

    Une fois la configuration correcte, le système génère un lien, puis partage ce lien avec l’utilisateur via le canal de notification (e-mail/SMS). En sélectionnant le lien, l’utilisateur est invité à spécifier le facteur OTP envoyé par e-mail ou SMS en fonction du rôle d’utilisateur (configuration).

    Remarque :
    • Le TLA doit toujours être suivi de MFA et le MFA doit être activé par un administrateur qui utilise Adaptive Authentication pour la connexion TLA. Pour en savoir plus sur la configuration de l’authentification MFA avec Adaptive Authentication, reportez-vous à Contexte MFA (Multi-Factor Authentication).
    • TLA doit être utilisé pour les utilisateurs qui ont des privilèges limités.

    Procédure

    1. Création d’une Twilio configuration.
      1. Créez un Twilio compte de test.
        Pour plus d'informations, consultez Twilio.
      2. Accédez à la Tous > Notification > Administration > Configuration Twilio Direct.
      3. Fournissez le SID de compte et le jeton d’authentification (origine de Twiliocréation ), puis sauvegardez l’enregistrement.
      Remarque :
      Vous pouvez créer votre propre configuration de fournisseur et l’utiliser pour TLA. Dans cet exemple, il s’agit de Twilio. Pour en savoir plus sur la création d’une configuration de fournisseur MFA, reportez-vous à Configurer le fournisseur MFA.
    2. Configurez et activez l’enregistrement d’authentification limitée dans le temps (TLA).
      1. Accédez à la Tous > Enregistrements de configuration de l’authentification temporelle limitée et sélectionnez Nouveau.
      2. Renseignez les champs du formulaire.
        Tableau 1. Propriétés d'authentification temporelle limitée
        Champ Description
        Nom Nom de l'enregistrement.
        Utilisation ponctuelle Sélectionnez cette option pour utiliser le lien TLA une seule fois.
        Expiration Spécifiez les secondes pour l’expiration du lien. La valeur par défaut est de 45 minutes.
        Échec de la redirection Entrez l’URL vers laquelle rediriger les utilisateurs après un échec d’authentification.
        Script d'authentification unique Détails du script SSO que vous souhaitez utiliser.
        Actif Option permettant d’activer la configuration.
        Nombre maximal de tentatives de connexion Spécifiez le nombre de tentatives autorisées avec le lien TLA généré pour la connexion. Décochez la case Utilisation unique pour fournir le nombre maximal de tentatives.
        Redirection de déconnexion externe Entrez l’URL pour rediriger les utilisateurs après la déconnexion.
      3. Sélectionnez Envoyer.
        Enregistrement TLA
      4. Accédez à la Tous > Authentification unique (SSO) de plusieurs fournisseurs > Administration > Propriétés et activez la propriété Activer l’authentification unique de plusieurs fournisseurs et cliquez sur Enregistrer.
    3. Autoriser TLA uniquement à un profil d’utilisateur spécifique à l’aide de la politique de contexte post-authentification.
      1. Accédez à Rôles et créez un rôle.
        Par exemple : remote_worker.
      2. Créez un utilisateur avec un ID d’e-mail et un numéro de téléphone mobile valides.
        Pour savoir comment créer un utilisateur, consultez Créer un utilisateur.
      3. Affectez le rôle à l’utilisateur.
        Pour savoir comment affecter le rôle à l’utilisateur, consultez Affecter un rôle à un utilisateur.
      4. Pour créer des critères de filtre de rôle, accédez à Tous > Authentification Adaptative > Critère de filtre de rôle, créer un filtre remoteworkerrole, et condition Role is remote_worker.
        Critère de filtre de rôle
      5. Pour ajouter une condition de politique basée sur le contexte de la politique de refus en fonction des critères de filtre d’IdP et de rôle, accédez à Tous > Authentification Adaptative > Contexte de post-authentification.
      6. Sélectionnez l’icône d’information et ouvrez l’enregistrement.
        Refuser la politique
      7. Dans l’entrée Politique, sélectionnez Modifier et ajoutez le rôle (remoteworkerrole), puis cliquez sur Enregistrer.
        Modifier les membres
      8. Dans la condition de politique, ajoutez la condition pour l’entrée de politique et envoyez l’enregistrement.
    4. Configurer la politique d’authentification ascendante - Contexte MFA.
      1. Accédez à la Tous > Critère multifacteur.
      2. Sélectionnez l’authentification multifacteur basée sur les rôles et ajoutez le rôle sous la section Rôles multifacteur et mettre à jour.
        Dans cet exemple : remote_worker.

        MFA - Critère de rôle

      3. Accédez à la Tous > Authentification Adaptative > Contexte MFA.
      4. Assurez-vous que ces champs sont définis comme suit :
        • Le champ Politique par défaut est Politique MFA ascendante
        • La politique MFA ascendante est une politique MFA ascendante
      5. Sélectionnez l’icône Information et ouvrez l’enregistrement.
        Politique MFA ascendante
      6. Dans le formulaire Politique MFA ascendante, dans les entrées de politique, sélectionnez Modifier.
      7. Ajoutez l’authentification multifacteur basée sur les rôles à la liste et enregistrez.
        Dans cet exemple, remoteworkerrole.
      8. Dans la condition de stratégie, sélectionnez Appliquer la MFA si les paramètres MFA basés sur le rôle ou l’utilisateur sont vrais.
      9. Sur la page Appliquer la MFA si les paramètres MFA basés sur le rôle ou l’utilisateur sont vrais, assurez-vous que MFA basé sur les rôles est défini sur true.
    5. Forcez la MFA pour utiliser SMS comme politique de facteur MFA.
      1. Accédez à la Tous > Authentification Adaptative > Contexte MFA.
      2. Sur la page Contexte MFA, sélectionnez Politiques de facteur MFA , puis sélectionnez une politique Afficher SMS OTP en tant que politique de facteur MFA.
      3. Sélectionnez Modifier et ajouter remoteworkerrole dans les entrées de politique.
      4. Sélectionnez Conditions de politique et créez une condition de politique.
        SMS : condition
      5. Sélectionnez Envoyer.

        Le lien TLA généré et partagé avec les utilisateurs affectés avec remoteworkerrole en tant que rôle est promu pour utiliser le code SMS comme deuxième facteur de connexion dans l’instance.

    6. Activez les autres propriétés requises.
      1. Accédez à la Tous > Authentification multifacteur > Propriétés.
      2. Cochez les cases suivantes.
        • Activer l'authentification multifacteur
        • Activer l’authentification multifacteur avec SSO
      3. Enregistrez l'enregistrement.
      4. Accédez à la Tous > Authentification Adaptative > Politiques d'authentification > Propriétés.
      5. Cochez la case Activer la politique d’authentification .
      6. Enregistrez l'enregistrement.
    7. Générer un lien TLA – Exemple.
      1. Accédez à la Tous > Définition du système > Scripts – Arrière-plan.
      2. Utilisez l’API suivante en fournissant l’sys_id d’utilisateur et l’ID de configuration.
        var tla=new global. TimeLimitedAuthentication() ; gs.info(tla.generateNonce(« user_sysid », « config1_sys_id »,"IAR2 »)) ;
        Remarque :
        La source (IAR2) n’est pas un paramètre obligatoire.
      3. Le paramètre de requête est renvoyé comme indiqué ci-dessous :
        nonce=VCeinfboDt0M&glide_sso_id=b3277f1b44351110f8779b5a2d9909f3&user=3b0277d344351110f8779b5a2d99099a&source=IAR2
      4. Créez une URL au format suivant :
        https://<instance-url> /login_with_sso.do ?uri=<url codée>& nonce=2olIQSxdgkjs&glide_sso_id=0c15bf09c3711110c5ec4e483c40dd7a&user=62826bf03710200044e0bfc8bcbe5df1&source=IAR
    8. Sélectionnez l’URL, et l’écran MFA suivant s’affiche pour la connexion.