Escopo de imposição de MFA

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Perguntas frequentes relacionadas ao escopo de imposição da MFA e por que ela é importante.

    1. Quais tipos de usuário, login e ambiente exigem MFA?

      A partir da versão Yokohama, com a nova política de MFA segura padrão, a MFA é aplicada para os seguintes cenários:

      • Todos os usuários, exceto os usuários com a função snc_external.
      • Todos os usuários que executam autenticação local baseada em nome de usuário e senha ou LDAP (Lightweight Directory Access Protocol).
      • Todas as instâncias do cliente, incluindo instâncias de produção, subprodução e teste, que ainda não tinham uma política de MFA ativa antes do upgrade.

      O administrador da instância pode modificar o escopo de imposição alterando a política de contexto da MFA, os critérios da política ou as condições da política.

    2. A MFA é necessária para logins de Single-Sign-On (SSO)?

      Não. Com a política de MFA segura padrão, a MFA não é necessária para o login do SSO (SAML, OIDC, Autenticação baseada em certificados).

      Os clientes podem colaborar com seu provedor de Single Sign-On (SSO) (Identity Provider, ou IdP) para impor a autenticação multifator (MFA) no lado do IdP. Se não for viável impor a MFA no lado do IdP, os clientes também terão a opção de habilitar a MFA da plataforma ServiceNow para logins do SSO seguindo as instruções fornecidas em Configurar autenticação multifator com Single Sign-On.

    3. A MFA é necessária para usuários externos?

      Não. Com a política de MFA segura padrão, a MFA não é necessária para usuários com a função snc_external.

      • Os administradores podem modificar esse comportamento e impor a MFA para usuários externos atualizando as condições da política de MFA.
      • Usuários externos que já estavam passando pela MFA antes do upgrade para o Yokohama ou versão posterior continuam a ter a MFA.
      • Usuários externos podem visitar seu perfil e se inscrever automaticamente na MFA.
    4. A MFA é necessária para login no aplicativo para celular?

      Sim. A política de MFA é aplicada ao login do aplicativo da Web e para celular com login não SSO baseado em nome de usuário e senha.

    5. A MFA é necessária para ambientes de teste e de não produção?

      Sim. A MFA é imposta para todas as instâncias do cliente, incluindo ambientes de produção, não produção, desenvolvimento e teste, se não houver uma política de MFA ativa na instância antes do upgrade para o Yokohama ou versões posteriores.

    6. A MFA é necessária para instâncias de desenvolvedor?

      Sim. A MFA é imposta para todas as instâncias de desenvolvedor que estão no Yokohama ou em versões posteriores.

    7. A MFA é necessária para autenticação de API?

      Não. A partir do Yokohama ou de uma versão posterior, a MFA só é necessária para logins de usuário interativos baseados em nome de usuário e senha. Isso significa autenticação de API com autenticação básica com trabalho sem exigir MFA. É recomendável que os clientes usem métodos alternativos de autenticação de API seguros, como OAuth ou mTLS. Mais detalhes aqui.

      1. Clonar
      2. Recuperação do conjunto de atualizações
      3. RPA
    8. Há algum impacto no processo de configuração do clone devido à MFA?

      Não, o processo de configuração do clone continua a funcionar com nome de usuário e senha e não requer MFA.

    9. Há algum impacto na recuperação do conjunto de atualizações devido à MFA?

      Não, a recuperação do conjunto de atualizações continua a funcionar com nome de usuário e senha e não requer MFA.

    10. Houve algum impacto nos bots de RPA que acessam ServiceNow instâncias?

      Sim, se o bot de RPA usar o login interativo de nome de usuário e senha para acessar a instância ServiceNow, ele deverá executar a MFA. Os administradores podem adicionar contas de bot de RPA ao grupo de usuários isentos de MFA se quiserem amenizar a MFA para contas de bot de RPA.

    11. A MFA é necessária para as integrações baseadas em OAuth?

      A credencial de senha do proprietário do recurso OAuth (ROPC) funciona com nome de usuário e senha sem exigir MFA. Para o tipo de concessão de código de autorização, a MFA é necessária como parte do fluxo de login do usuário antes de dar o consentimento do OAuth.