MFA-Erzwingungsumfang

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Häufig gestellte Fragen zum Umfang der MFA-Erzwingung und warum er wichtig ist.

    1. Für welche Benutzer-, Anmelde- und Umgebungstypen ist MFA erforderlich?

      Ab Release Yokohama mit der neuen standardmäßigen sicheren MFA-Richtlinie wird MFA für die folgenden Szenarien erzwungen:

      • Alle Anwender mit Ausnahme der Anwender mit der Rolle snc_external.
      • Alle Benutzer, die eine anwendernamen- und kennwortbasierte lokale Authentifizierung oder LDAP-Authentifizierung (Leichtgewichtler Verzeichniszugriff) durchführen.
      • Alle Kundeninstanzen, einschließlich Produktions-, Sub-Prod- und Testinstanzen, die vor dem Upgrade noch keine aktive MFA-Richtlinie hatten.

      Der Instanzadministrator kann den Durchsetzungsbereich ändern, indem er die MFA-Kontextrichtlinie, die Richtlinienkriterien oder die Richtlinienbedingungen ändert.

    2. Ist MFA für Single-Sign-On-Anmeldungen (SSO) erforderlich?

      Nein. Mit der standardmäßigen sicheren MFA-Richtlinie ist MFA für die SSO-Anmeldung (SAML, OIDC, Certificate Based Authentication) nicht erforderlich.

      Kunden können mit ihrem Single Sign-on-Anbieter (SSO) (Identity Provider, IdP) zusammenarbeiten, um die Multifaktor-Authentifizierung (MFA) auf der IdP-Seite zu erzwingen. Wenn das Erzwingen von MFA auf der IdP-Seite nicht möglich ist, haben Kunden auch die Möglichkeit, die MFA der -Plattform ServiceNow für SSO-Anmeldungen zu aktivieren, indem sie die Anweisungen in Konfigurieren Sie die Multifaktor-Authentifizierung mit Single Sign-onbefolgen.

    3. Ist MFA für externe Anwender erforderlich?

      Nein. Mit der standardmäßigen sicheren MFA-Richtlinie ist MFA für Anwender mit der Rolle „snc_external“ nicht erforderlich.

      • Administratoren können dieses Verhalten ändern und MFA für externe Anwender erzwingen, indem sie die MFA-Richtlinienbedingungen aktualisieren.
      • Externe Benutzer, die bereits vor dem Upgrade auf Yokohama oder höher eine MFA durchlaufen haben, haben weiterhin eine MFA.
      • Externe Anwender können ihr Profil aufrufen und sich selbst für MFA registrieren.
    4. Ist MFA für die Anmeldung bei der mobilen App erforderlich?

      Ja. Die MFA-Richtlinie wird sowohl auf die Web- als auch auf die Mobile-App-Anmeldung mit auf Anwendername und Passwort basierender Nicht-SSO-Anmeldung angewendet.

    5. Ist MFA für Nicht-Produktions- und Testumgebungen erforderlich?

      Ja. MFA wird für alle Kundeninstanzen erzwungen, einschließlich Produktions-, Nicht-Produktions-, Entwicklungs- und Testumgebungen, wenn vor dem Upgrade auf Yokohama oder höher keine aktive MFA-Richtlinie in der Instanz vorhanden war.

    6. Ist MFA für Entwicklerinstanzen erforderlich?

      Ja. MFA wird für alle Entwicklerinstanzen erzwungen, die auf Release-Versionen wie Yokohama oder höher basieren.

    7. Ist MFA für die API-Authentifizierung erforderlich?

      Nein. Ab Yokohama und einer späteren Version ist MFA nur für die auf Anwendername und Passwort basierende interaktive Benutzeranmeldung erforderlich. Dies bedeutet, dass die API-Authentifizierung mit Standardauthentifizierung ohne MFA arbeiten kann. Kunden wird empfohlen, alternative sichere API-Authentifizierungsmethoden wie OAuth oder mTLS zu verwenden. Weitere Details hier.

      1. Klon
      2. Abruf des Update-Satzes
      3. RPA
    8. Hat MFA Auswirkungen auf den Klon-Setup-Prozess?

      Nein, der Klon-Setup-Prozess funktioniert weiterhin mit Anwendername und Passwort und erfordert keine MFA.

    9. Hat MFA Auswirkungen auf den Abruf von Update-Sätzen?

      Nein, der Abruf des Update-Satzes funktioniert weiterhin mit Anwendername und Passwort und erfordert keine MFA.

    10. Gibt es Auswirkungen auf RPA-Bots, die auf Instanzen ServiceNow zugreifen?

      Ja, wenn der RPA-Bot die interaktive Anmeldung mit Anwendername und Passwort für den Zugriff auf die Instanz ServiceNow verwendet, muss er MFA ausführen. Administratoren können der von MFA befreiten Anwendergruppe RPA-Bot-Accounts hinzufügen, wenn sie die MFA für RPA-Bot-Accounts vereinfachen möchten.

    11. Ist MFA für die OAuth-basierten Integrationen erforderlich?

      Die Passwort-Anmeldeinformationen für den OAuth-Ressourcenbesitzer funktionieren mit Anwendername und Passwort, ohne dass MFA erforderlich ist. Für die Autorisierung ist der Codegewährungstyp MFA als Teil des Anwenderanmeldungs-Flows erforderlich, bevor die OAuth-Zustimmung erteilt wird.