YubiKey (MFA)

YubiKey est une marque de clé de sécurité utilisée comme appareil physique d'authentification multifacteur. Pour l'utiliser, l’utilisateur insère la clé YubiKey dans un port USB de son ordinateur lorsqu'il se connecte et appuie sur le bouton de la clé YubiKey lorsqu'il y est invité. La clé YubiKey peut fournir un mot de passe à usage unique (OTP) ou effectuer une vérification d'empreinte digitale (biométrique), selon le type de clé YubiKey que l'utilisateur présente.

Cette rubrique fournit des instructions pour la configuration et la gestion des YubiKey en mode OTP. Pour utiliser YubiKey comme vérification biométrique, consultez FIDO2 (WebAuthn).

Pour utiliser ce facteur d'authentification multifacteur (MFA), générez un fichier CSV de la YubiKey que vous importez à l'aide d'un outil du fabricant de YubiKey, Yubico. Activez ensuite le facteur YubiKey et importez le fichier CSV. Les utilisateurs activent eux-mêmes leurs clés YubiKey la prochaine fois qu'ils se connectent à Okta.

Avant de commencer

Avant de pouvoir activer le facteur YubiKey, vous devez configurer la clé YubiKey et générer un fichier de secrets OTP YubiKey (également appelé fichier d'amorçage YubiKey ) à l'aide de YubiKey Personalization Tool Le fichier secret YubiKey OTP est un fichier .csv que vous téléchargez dans Okta pour activer les YubiKey. Consultez Programmation des clés YubiKey pour la MFA adaptative Okta. Après avoir généré le fichier secret YubiKey OTP, enregistrez-le dans un emplacement sécurisé.

Après avoir configuré la YubiKey et téléchargé le fichier secret OTP YubiKey sur Okta, vous pouvez distribuer la YubiKey à vos utilisateurs finaux.

Créer un fichier de configuration YubiKey

Avant de pouvoir activer l'intégration YubiKey comme option d'authentification multifacteur, obtenez et chargez un fichier secret de configuration généré par l'outil de personnalisation YubiKey. Vous trouverez des détails sur la génération de ce fichier (qui peut également être appelé fichier des secrets YubiKey ou Okta) dans Programmation des clés YubiKey pour la MFA adaptative Okta.

Le fichier secret de configuration est un fichier .CSV qui vous permet de fournir des clés YubiKey autorisées aux utilisateurs finaux de votre organisation. Yubico envoie le nombre demandé de jetons matériels « propres » que vous pouvez distribuer à vos utilisateurs finaux.

Assurez-vous de lire et de suivre attentivement les instructions indiquées dans Programmation de la clé YubiKey pour l'authentification multifacteur adaptative Okta. Une fois que vous aurez terminé, suivez les étapes Charger sur la plateforme Okta qui vous trouverez à la section Utilisation de l'authentification YubiKey dans Okta .

Dépanner le fichier de clés secrètes de configuration

Si vous rencontrez des problèmes lors de la génération de votre fichier de clés secrètes de configuration ou lors de la configuration de vos clés YubiKey, vérifiez que vous avez effectué les tâches suivantes.

  • Sélectionnez le compartiment 1 de configuration. Chaque YubiKey est configurée par défaut pour YubiCloud dans la configuration 1 par défaut. Si vous prévoyez d'utiliser vos clés YubiKey pour des services autres qu'Okta, vous pouvez utiliser le compartiment 2 pour la configuration d'Okta. Cependant, si vous rencontrez des erreurs, il est préférable d'utiliser le compartiment 1 de configuration exclusivement pour Okta.

  • Cliquez sur les trois boutons Générer. Vérifiez que vous avez cliqué sur les trois boutons Générer.

Vérifiez que la valeur de l'identité publique se trouve dans le fichier OTP généré. Si la valeur de l'identité publique n'est pas présente, la YubiKey n'est pas configurée correctement.
  1. Ouvrez le fichier CSV qui a été généré par l'outil de personnalisation YubiKey.
  2. Remarque : la valeur de l'identité publique répertoriée comme le deuxième élément de valeur dans le fichier.
  3. Ouvrez un éditeur de texte, puis tapez la clé YubiKey qui a été configurée pour être utilisée avec Okta. Autorisez YubiKey à générer l'OTP dans l'éditeur de texte.
  4. Recherchez la valeur de l'identité publique dans l'OTP généré. Si elle n'est pas présente dans la ligne de texte, la YubiKey n'a pas été configurée avec succès.

Activer le facteur YubiKey et ajouter la clé YubiKey

  1. Dans l'Admin Console, accédez à Sécurité > Multifacteur .

  2. Cliquez sur YubiKey .
  3. Cliquez sur Parcourir, recherchez le fichier de graine YubiKey que vous avez créé à l'aide de l'outil de personnalisation YubiKey et cliquez sur Ouvrir.
  4. Cliquez sur Inactif et sélectionnez Activer pour activer le facteur YubiKey.

Voir une liste des clés YubiKey affectées et non affectées

Après avoir ajouté des YubiKey, vérifiez le rapport YubiKey pour vérifier qu'elles ont été ajoutées correctement et afficher le statut de chaque YubiKey.

  1. Dans l'Admin Console, accédez à Sécurité > Authentificateurs.

  2. Dans l'Admin Console, accédez à Sécurité > Multifacteur .

  3. Sélectionnez l'onglet Types de facteur.
  4. Sélectionnez YubiKey .
  5. Cliquez sur Voir le rapport.
  6. Utilisez les critères du volet Filtres pour personnaliser votre recherche.
  7. Vérifiez le statut de chaque YubiKey dans la colonne Statut :
    • Le statut apparaît comme NON AFFECTÉ jusqu'à ce que l'utilisateur final inscrive sa YubiKey.
    • Une fois que l'utilisateur final a inscrit sa YubiKey, le statut devient ACTIF.
    • Lorsque vous révoquez une YubiKey, le statut devient RÉVOQUÉ.

Révoquer la clé YubiKey

Révoquer une clé YubiKey vous permet de mettre hors service une seule clé YubiKey, par exemple lorsqu'elle a été déclarée perdue ou volée. En outre, la révocation d'un YubiKey supprime son association avec l'utilisateur auquel elle a été affectée.

  1. Dans l'Admin Console, accédez à Sécurité > Multifacteur .

  2. Sélectionnez l'onglet Types de facteur.
  3. Sélectionnez YubiKey .
  4. Collez le numéro de série dans le champ Révoquer la source YubiKey et cliquez sur Trouver la clé YubiKey . Des informations sur la YubiKey s'affichent.
  5. Cliquez sur Révoquer. Le message de confirmation s'affiche.
  6. Cliquez sur Terminé.

Supprimer le facteur OTP YubiKey

  1. Dans l'Admin Console, accédez à Sécurité > Multifacteur .

  2. Sélectionnez YubiKey .
  3. Cliquez sur Actif, puis sur Désactiver.
  4. L'invite du facteur Supprimer le facteur YubiKey s'affiche.
  5. Cliquez sur Supprimer.

Expérience de l'utilisateur final

Inscrire une YubiKey pour la première fois sur un navigateur de bureau

Lorsque l'utilisateur final reçoit sa YubiKey nouvellement approvisionnée, il peut l'activer lui-même en procédant comme suit :

  1. Se connecter à Okta.
  2. Sur la page Configurer les facteurs du Sign-In Widget, cliquez sur Configurer sous YubiKey . La page Configurer la clé YubiKey s'affiche.
  3. Insérez la clé YubiKey et appuyez sur son bouton lorsque vous y êtes invité.
  4. Cliquez sur Vérifier. La page Configurer des méthodes de sécurité s'affiche.
  5. Cliquez sur Terminer.

Utiliser YubiKey en mode OTP lors des connexions ultérieures sur le navigateur de bureau

Une fois que l'utilisateur final a activé sa clé YubiKey pour les mots de passe à usage unique, il peut l'utiliser pour l'authentification multifacteur lors des connexions suivantes :

  1. Se connecter à Okta.
  2. Lorsque la page Vérifier avec YubiKey s'affiche, insérez la clé YubiKey et appuyez sur son bouton lorsque vous y êtes invité.

Échec de l'inscription

Si un utilisateur final ne parvient pas à inscrire sa clé YubiKey, assurez-vous que le jeton a été chargé avec succès dans la Okta Platform. Examinez le rapport YubiKey et recherchez le numéro de série de la clé YubiKey pour l'utilisateur final qui tente de s'inscrire.

  • Si la YubiKey apparaît dans le rapport YubiKey et que son statut est Non attribuée, il est possible que l'utilisateur ait reprogrammé sa YubiKey et écrasé les secrets qui y sont associés. L'administrateur doit créer un autre fichier secrets de configuration YubiKey et le charger vers Okta.
  • Si la clé YubiKey n'apparaît pas dans le rapport YubiKey, alors vous n'avez pas correctement chargé la valeur des clés secrètes YubiKey. Chargez-le à nouveau dans Okta.

Assurez-vous que vous avez configuré le compartiment YubiKey approprié pour la configuration Okta et que l' utilisateur final utilise le même compartiment pour inscrire sa clé dans Okta.

Okta utilise des compteurs de session avec le YubiKey.* Votre OTP actuel invalide tous les autres qui précèdent. Touteffois, ces OTP peuvent être utilisés sur d'autres sites Web.

Protocoles et canaux de communication pris en charge

Okta prend en charge les modes de jeton suivants :