Autenticação com limite de tempo com SMS - Tutorial da Twilio

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 5 min. de leitura

    • Configure a autenticação com limite de tempo com fatores de MFA, como SMS usando Twilio.

    Antes de Iniciar

    Função necessária: administrador

    Plug-ins necessários:
    • com.snc.authenticate.time_limited_authentication (Autenticação com limite de tempo)
    • com.snc.authentication.sms_mfa (Autenticação multifator com SMS)
    Nota:
    A TLA (time limited authentication, autenticação com limite de tempo) é muito específica para a instância da ServiceNow. Os links personalizados para usuários só podem ser criados na ServiceNow.

    As instruções do tutorial fornecidas permitem que o administrador forneça um login baseado em link com SMS como segundo fator (MFA) para usuários com uma função específica.

    Após uma configuração bem-sucedida, o sistema gera um link e, em seguida, compartilha o link com o usuário por meio do canal de notificação (e-mail/SMS). Ao clicar no link, o usuário é solicitado a especificar o fator de OTP enviado para e-mail ou SMS com base na função do usuário (configuração).

    Nota:
    • A TLA deve ser sempre seguida por MFA e a MFA deve ser habilitada pelo administrador usando a Autenticação adaptável para login de TLA. Para saber mais sobre como configurar a MFA com Autenticação adaptável, consulte Contexto de MFA (autenticação multifator).
    • A TLA deve ser usada para os usuários que têm privilégios limitados.

    Procedimento

    1. Criar uma configuração da Twilio.
      1. Crie uma conta de teste na Twilio. Para obter mais informações, consulte Twilio.
      2. Navegar até Todos > Notificar > Administração > Configuração da Twilio Direct.
      3. Forneça o SID da conta e o Token de autenticação (criado a partir da Twilio) e salve o registro.
      Nota:
      Você pode criar sua própria configuração de provedor e usá-la para a TLA. Neste exemplo, é Twilio. Para saber mais sobre como criar uma configuração de provedor de MFA, consulte Configuração de provedor MFA.
    2. Configurar e habilitar o registro de autenticação com limite de tempo (TLA).
      1. Navegar até Todos > Registros de configuração de autenticação com limite de tempo e clique em Novo.
      2. No formulário, preencha os campos.
        Tabela 1. Propriedades da autenticação com limite de tempo
        Campo Descrição
        Nome Nome do registro.
        Uso único Habilite para usar o link da TLA uma vez.
        Vencimento Especifique os segundos para a expiração do link. O padrão é 45 minutos.
        Falha no redirecionamento Insira o URL para redirecionar os usuários após uma autenticação com falha.
        Script de Single Sign-on Detalhes do script SSO que você deseja usar.
        Ativo Opção para ativar a configuração.
        Máximo de tentativas de login Especifique o número de tentativas permitidas com o link de TLA gerado para login. Desmarque a caixa de seleção Uso único para fornecer o número máximo de tentativas.
        Redirecionamento de logout externo Insira o URL para redirecionar os usuários após o logout.
      3. Clique em Enviar.
        Registro de TLA
      4. Navegar até Todos > SSO Multiprovedor > Administração > Propriedades e habilite a propriedade Habilitar SSO de vários provedores e Salvar.
    3. Permitir TLA somente para uma persona de usuário específica usando a política de contexto de pós-autenticação.
      1. Navegue até Funções e crie uma função. Por exemplo: remote_worker.
      2. Crie um usuário com id de e-mail e número de celular válidos. Para saber como criar um usuário, consulte Criar um usuário.
      3. Atribua a função ao usuário. Para saber como atribuir a função ao usuário, consulte Atribuir uma função a um usuário.
      4. Para criar critérios de filtro por função, navegue até Todos > Autenticação adaptável > Critérios de filtro por função, crie um novo filtro remoteworkerrole e a condição Role is remote_worker.
        Critérios de filtro por função
      5. Para adicionar a condição de política com base no contexto da política de negação com base nos critérios de filtro de função e IdP, navegue até Todos > Autenticação adaptável > Contexto de pós-autenticação.
      6. Clique no ícone de informações e Abrir o registro.
        Política de negação
      7. Na Entrada de política, clique em Editar, adicione a função (remotworkerrole) e clique em Salvar.
        Editar membros
      8. Na Condição de política, adicione a condição para a entrada de política e envie o registro.
    4. Configurar a política de autenticação em etapas - Contexto de MFA.
      1. Navegar até Todos > Critérios multifatores.
      2. Selecione a Autenticação multifator baseada em função, adicione a função na seção Funções multifator e clique em Atualizar. Neste exemplo: remote_worker.
        MFA - Critérios de função
      3. Navegar até Todos > Autenticação adaptável > Contexto de MFA.
      4. Verifique o seguinte:
        • O campo Política padrão é Política de MFA em etapa crescente
        • Política de MFA em etapa crescente é Política de MFA em etapa crescente
      5. Clique no ícone de informações e em Abrir registro.
        Política de MFA em etapa crescente
      6. No formulário Política de MFA em etapa crescente, nas Entradas de política, clique em Editar.
      7. Adicione a Autenticação multifator baseada em função à lista e clique em Salvar. Neste exemplo, remotworkerrole.
      8. Na Condição de política, clique em Impor MFA se as configurações de MFA baseada na função ou no usuário forem verdadeiras.
      9. Na página Impor MFA se as configurações de MFA baseada na função ou no usuário forem verdadeiras, certifique-se de que a MFA baseada na função seja verdadeira.
    5. Impor a MFA para usar SMS como uma política de fator de MFA.
      1. Navegar até Todos > Autenticação adaptável > Contexto de MFA.
      2. Na página Contexto MFA, clique em Políticas de fator de MFA e na política Exibir OTP de SMS como uma Política de fator de MFA.
      3. Clique em Editar e adicione remoteworkerrole em Entradas de política.
      4. Clique em Condições de política e crie uma condição de Política.
        SMS - condição
      5. Clique em Enviar.

        O link para TLA gerado e compartilhado com os usuários atribuídos com a função remoteworkerrole será promovido para usar o código SMS como um segundo fator para fazer login na instância.

    6. Habilitar as outras propriedades necessárias.
      1. Navegar até Todos > Autenticação Multifator > Propriedades.
      2. Habilite as seguintes caixas de seleção.
        • Habilitar autenticação multifator
        • Habilitar a autenticação multifator com SSO
      3. Salve o registro.
      4. Navegar até Todos > Autenticação adaptável > Políticas de autenticação > Propriedades.
      5. Habilite a caixa de seleção Habilitar política de autenticação
      6. Salve o registro.
    7. Gerar um link de TLA - Exemplo.
      1. Navegar até Todos > Definição do Sistema > Scripts – Plano de fundo.
      2. Use a API a seguir, fornecendo o sysid e o id de config do usuário.
        var tla=new global.TimeLimitedAuthentication(); gs.info(tla.generateNonce("user_sysid", "config1_sys_id","IAR2"));
        Nota:
        A origem (IAR2) não é um parâmetro obrigatório.
      3. O parâmetro de consulta é retornado conforme mostrado:
        nonce=VCeinfboDt0M&glide_sso_id=b3277f1b44351110f8779b5a2d9909f3&user=3b0277d344351110f8779b5a2d99099a&source=IAR2
      4. Crie um URL no formato abaixo:
        https://<instance-url> /login_with_sso.do?uri=<encoded url>& nonce=2olIQSxdgkjs&glide_sso_id=0c15bf09c3711110c5ec4e483c40dd7a&user=62826bf03710200044e0bfc8bcbe5df1&source=IAR 
    8. Clique no URL, a tela da MFA a seguir será exibida para login.