マルチファクター認証 (MFA) の実装 - Support and Troubleshooting

マルチファクター認証 (MFA) の実装 Summary .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #7057C7; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: block; max-width: ; width: auto; height: auto; } } Yokohama リリース以降、マルチファクター認証 (MFA) はデフォルトで有効になり、必須になっています。これは、顧客データを保護し、業界標準とベストプラクティスに合わせるという当社のコミットメントを反映しています。

既存の顧客 :インスタンスにアクティブな 適応認証 - MFA コンテキストポリシー がない場合、デフォルトの MFA ポリシーが自動的に有効になります。 新規顧客: Yokohama 以降で新しくプロビジョニングされたインスタンスは、MFA によって自動的に有効になります。 内部非 SSO ユーザー (ローカル認証と LDAP 認証を使用):MFA に登録する必要があります。この変更は、snc_external ロールを持つユーザーには適用されません。 MFA は以下に適用されます。

新しいインスタンス (zBoot) Yokohama 以降にアップグレードされたインスタンス 本番、準本番、開発、およびテストインスタンス ローカル認証および LDAP 認証 (ユーザー名とパスワード) を使用するインスタンス Web およびモバイルアプリケーション MFA は以下には適用されません。

SAML、OIDC (OpenID Connect)、証明書ベースの認証などのシングルサインオン (SSO) 統合と API サインイン クローンセットアッププロセス 更新セットの取得 アクティブな 適応認証 – MFA コンテキストポリシーを使用するインスタンス この記事の内容 登録タイムライン

登録通知

アドミンカスタマイズオプション

MFA 免除

ユーザーの MFA をリセット

登録タイムライン 次の基準は、ローカル認証または LDAP 認証でサインインし、snc_external ロールを持たない内部ユーザーに適用されます。

Yokohama 以降の新しくプロビジョニングされたインスタンスでは 新規ユーザーは次のことを行います。

初めてサインインするときに登録する必要があります Yokohama にアップグレードしてから 90 日以内に、既存のユーザーは次のことを実行できます。

登録通知のリマインダーを表示する 最初のサインイン成功から 30 日以内に登録する必要があります 30 日間は、ユーザー名とパスワードでサインインできます Yokohama にアップグレードしてから 90 日後、既存のユーザーは次のことを行います。

MFA にすぐに登録する必要があります 30日間の自己登録期間がない

注: アドミンについては、「 アドミンカスタマイズオプション 」を参照してください。

登録通知 画面の上部にある登録通知は、MFA 要件をユーザーに通知し、そのユーザーの MFA セットアップが完了するまで表示され続けます。

注: アドミン以外の SSO ユーザーには、登録通知は表示されません。

ユーザーへの登録通知の例 メイン UI ページから:

ユーザーのプロファイルから:

アドミンの登録通知の例 サインイン方法に関係なく、すべてのアドミンに対して次の登録通知が表示されます。確認応答があるまで表示され続けます。

更新を確認するには:

画面の右上隅にある 確認 リンクを選択します。 次の 値 フィールドを true に設定します: glide.authenticate.multifactor.enforcement.acknowledged

アドミンカスタマイズオプション 自己登録期間 デフォルトの 30 日間の自己登録タイムラインは、システムプロパティ [ glide.authenticate.multifactor.self_enrolment_period] を使用して制御されます。

最小設定は 0 です。初めてサインインするときに MFA セットアップを完了する必要があります。 最大設定は 90 日です。

アップグレード後の適用期間 デフォルトのアップグレード後 90 日間のタイムライン (アップグレード後 90 日以内にサインインしないユーザーの場合) は、システムプロパティ glide.authenticate.multifactor.enforcement.max_relaxation_period を使用して制御されます。

この値を更新することで、アドミニストレーターは Yokohama 以降のリリースにアップグレードしてから何日後に MFA 自己登録ウィンドウに表示されるかを決定できます。 これは、最大 270 日間まで延長できます。 登録通知 アドミニストレーターは、次の通知プロパティを変更できます。

ユーザー通知をオフにするには 次のシステムプロパティを false に設定します。 Glide.authenticate.multifactor.enforcement.show_user_info_message

アドミン通知をオフにするには 次のシステムプロパティを true に設定します。 Glide.authenticate.multifactor.enforcement.acknowledged

MFA 免除 Yokohama リリースの一環として、新しいユーザーグループ MFA 免除ユーザーグループ が作成されました。このグループに追加されたユーザーには、MFA が適用されません。このグループにユーザーを追加する方法の詳細については、 この FAQ 記事 のセクション 5 を参照してください。

ユーザーの MFA をリセット システムアドミニストレーターは、次の手順に従ってユーザーの MFA をリセットできます。

ステップ 1:認証アプリのセットアップをクリアします。

マルチファクター認証 > ユーザーマルチファクターセットアップ に移動します。 テーブルでユーザーを検索します。 関連付けられたユーザーレコードを削除します。 ステップ2:FIDO2認証システムとパスキーをクリアします。

マルチファクター認証 > Web 認証 > ユーザー公開認証情報 に移動します。 テーブルでユーザーを検索します。 関連するユーザーレコードを削除します。 ステップ3:ユーザーに関連する他のマルチファクター設定をクリアします。

マルチファクター認証 > ユーザーが最近使用した要素 に移動します。 テーブルでユーザーを検索します。 関連するユーザーレコードを削除します。

Release .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #7057C7; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: block; max-width: ; width: auto; height: auto; } } Yokohama 以降のリリース

Instructions .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #7057C7; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: block; max-width: ; width: auto; height: auto; } } 既存の顧客の MFA 要件は何ですか? インスタンスを Yokohama 以降のリリースにアップグレードする 既存の顧客 の場合:

インスタンスで 適応認証 - MFA コンテキストポリシー がまだオンになっていない場合は、デフォルトの MFA ポリシーが自動的に有効になります。 つまり、ローカル認証または LDAP 認証を使用してログインするすべての内部ユーザー (snc_externalロールを持たないユーザー) は、最初のログイン成功から 30 日以内に MFA を設定する必要があります。この間、ユーザーは通常どおりログインできますが、ログイン時に MFA への登録を求めるメッセージが表示されます。 30 日が経過すると、デフォルトで MFA が要求され、ユーザーは MFA セットアップを完了しないとログインできなくなります。

Acme Corp のシナリオ 1 の例: 現在、インスタンスにはアクティブな MFA ポリシーがありません。Sarah がローカル認証を使用してインスタンスにアクセスするとします。Yokohama リリースにアップグレードすると、ログイン時に MFA の登録に関するメッセージが表示されます。彼女はこのセットアップを完了するために 30 日間の猶予があります。そうしない場合、30 日後、彼女のアカウントにログインするには MFA が必要になり、MFA が設定されるまでアクセスできなくなります。

Acme Corp のシナリオ 2 の例: 同じインスタンスで、Anita は既にローカル認証とともに MFA を使用していました。彼女は、30日間の自己登録期間なしでMFAを引き続き必要とします。

Acme Corp のシナリオ 3 の例: 同じインスタンスで、Olivia は認証に SSO を使用します。彼女のログインエクスペリエンスへの影響はなく、MFA は適用されません。

Globex Corp のシナリオ 4 の例: Globex ServiceNow インスタンスには、会社の信頼できるネットワーク外でのすべてのローカルログイン試行に対して MFA を要求する MFA ポリシーが既に存在します。Yokohama 以降のリリースにアップグレードすると、ユーザーログインの MFA 強制動作はアップグレード前と同じままです。

新規顧客の MFA 要件は何ですか? Yokohama 以降のリリースでプロビジョニングされたインスタンスでは、初日からローカル認証または LDAP 認証でログインするすべての内部ユーザー (snc_externalロールを持たないユーザー) に対して、デフォルトで MFA が有効になります。つまり、SSO なしでログインする内部ユーザーは、最初のログインから MFA を設定して使用する必要があります。

MFA の適用範囲: 新しいインスタンス (zBoot) と Yokohama 以降のリリースバージョンにアップグレードされたインスタンスの両方に適用されます。 すべての本番インスタンスと非本番インスタンスに適用されます。 すべての内部ユーザー (snc_externalロールを持たないユーザー) に適用されます。 非 SSO ログインにのみ適用されます。(ローカルおよび LDAP 認証) 統合と API ログインへの影響はありません。

How： デフォルトの安全な MFA ポリシーは、ローカル認証または LDAP 認証を実行するすべての非snc_externalユーザーに対して有効になります。 アドミニストレーターは、ポリシーを調整して、特定のユーザー、ロール、またはグループの MFA を適用対象外にすることができます。詳細な手順については、 FAQ記事 を参照してください。 Yokohama へのアップグレード後の最初の 90 日間は、ローカル認証または LDAP 認証を使用してログインするすべての内部ユーザー (snc_externalロールを持たないユーザー) は、最初のログイン成功から 30 日以内に MFA を設定する必要があります。 この期間中、ユーザーは通常どおりログインできますが、MFA への登録を求めるメッセージが表示されます。30 日を過ぎると、デフォルトで MFA が要求され、ユーザーは MFA セットアップが完了した後にのみログインできるようになります。 90 日後は、デフォルトで MFA が適用されます。初回ログイン時の自己登録期間はありません。アドミニストレーターは、この期間を最大 270 日間まで延長できます。 Related Links .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #7057C7; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: block; max-width: ; width: auto; height: auto; } } MFA (マルチファクター認証) コンテキスト

マルチファクター認証 (MFA) の適用に関する FAQ

適応認証:MFA コンテキストポリシー