YubiKey (MFA)

YubiKey est une marque de clé de sécurité utilisée comme appareil physique d'authentification multifacteur. Pour l'utiliser, l’utilisateur insère la clé YubiKey dans un port USB de son ordinateur lorsqu'il se connecte et appuie sur le bouton de la clé YubiKey lorsqu'il y est invité. La clé YubiKey peut fournir un mot de passe à usage unique (OTP) ou effectuer une vérification d'empreinte digitale (biométrique), selon le type de clé YubiKey que l'utilisateur présente.

Cette rubrique fournit des instructions pour la configuration et la gestion des clés YubiKey en mode OTP. Pour utiliser YubiKey comme vérification biométrique, consultez FIDO2 (WebAuthn).

Pour utiliser ce facteur d'authentification multifacteur (MFA), générez un fichier CSV de la clé YubiKey que vous importez à l'aide d'un outil du fabricant de YubiKey, Yubico. Activez ensuite le facteur YubiKey et importez le fichier CSV. Les utilisateurs activent eux-mêmes leurs clés YubiKey la prochaine fois qu'ils se connectent à Okta.

YubiKey en mode OTP n'est pas un facteur de résistance au hameçonnage.

Avant de commencer

Avant de pouvoir activer le facteur YubiKey, vous devez configurer la clé YubiKey et générer un fichier de secrets OTP YubiKey (également appelé fichier d'amorçage YubiKey ) à l'aide de l'outil de personnalisation YubiKey. Le fichier secret YubiKey OTP est un fichier .csv que vous téléchargez dans Okta pour activer les clés YubiKey. Consultez Programmation des clés YubiKey pour la MFA adaptative Okta. Après avoir généré le fichier secret YubiKey OTP, enregistrez-le dans un emplacement sécurisé.

Ne créez pas manuellement un fichier YubiKey OTP . Seul l'outil de personnalisation YubiKey peut remplir les informations de clé publique et privée pour chaque clé YubiKey. Si ces informations sont manquantes, il est possible que la clé YubiKey ne fonctionne pas correctement.

Après avoir configuré la clé YubiKey et téléchargé le fichier secret OTP YubiKey sur Okta, vous pouvez distribuer la clé YubiKey à vos utilisateurs finaux.

Créer un fichier de configuration YubiKey

Avant de pouvoir activer l'intégration YubiKey comme option d'authentification multifacteur, obtenez et chargez un fichier secret de configuration généré par l'outil de personnalisation YubiKey. Vous trouverez des détails sur la génération de ce fichier (qui peut également être appelé fichier des secrets YubiKey ou Okta) dans Programmation des clés YubiKey pour la MFA adaptative Okta.

Le fichier secret de configuration est un fichier .CSV qui vous permet de fournir des clés YubiKey autorisées aux utilisateurs finaux de votre organisation. Yubico envoie le nombre demandé de jetons matériels « propres » que vous pouvez distribuer à vos utilisateurs finaux.

Assurez-vous de lire et de suivre très attentivement les instructions qui se trouvent dans Programmation de la clé YubiKey pour Okta. Une fois que vous avez terminé, suivez les étapes sous Charger sur la Okta Platform qui se trouvent dans Utilisation de l'authentification YubiKey dans Okta.

Dépanner le fichier de clés secrètes de configuration

Si vous rencontrez des problèmes lors de la génération de votre fichier de clés secrètes de configuration ou lors de la configuration de vos clés YubiKey, vérifiez que vous avez effectué les tâches suivantes.

  • Sélectionnez le compartiment 1 de configuration. Chaque YubiKey est configurée par défaut pour YubiCloud dans la configuration 1 par défaut. Si vous prévoyez d'utiliser vos clés YubiKey pour des services autres qu'Okta, vous pouvez utiliser le compartiment 2 pour la configuration d'Okta. Cependant, si vous rencontrez des erreurs, il est préférable d'utiliser le compartiment 1 de configuration exclusivement pour Okta.

  • Cliquez sur les trois boutons Générer. Vérifiez que vous avez cliqué sur les trois boutons Générer.

  • Vérifiez que la valeur de l'identité publique se trouve dans le fichier OTP généré. Si la valeur de l'identité publique n'est pas présente, la clé YubiKey n'est pas configurée correctement.
    1. Ouvrez le fichier CSV qui a été généré par l'outil de personnalisation YubiKey.
    2. Remarque : la valeur de l'identité publique répertoriée comme le deuxième élément de valeur dans le fichier.
    3. Ouvrez un éditeur de texte, puis tapez la clé YubiKey qui a été configurée pour être utilisée avec Okta. Autorisez YubiKey à générer l'OTP dans l'éditeur de texte.
    4. Recherchez la valeur de l'identité publique dans l'OTP généré. Si elle n'est pas présente dans la ligne de texte, la YubiKey n'a pas été configurée avec succès.

Activer le facteur YubiKey et ajouter la clé YubiKey

  1. Dans Admin Console, allez à SécuritéMultifacteur.

  2. Cliquez sur YubiKey.
  3. Cliquez sur Parcourir, recherchez le fichier de graine YubiKey que vous avez créé à l'aide de l'outil de personnalisation YubiKey et cliquez sur Ouvrir.
  4. Cliquez sur Inactif et sélectionnez Activer pour activer le facteur YubiKey.

Voir une liste des clés YubiKey affectées et non affectées

Après avoir ajouté des YubiKey, vérifiez le rapport YubiKey pour vérifier qu'elles ont été ajoutées correctement et afficher le statut de chaque YubiKey.

  1. Dans Admin Console, accédez à Sécuritéauthenticators.

  2. Dans Admin Console, allez à SécuritéMultifacteur.

  3. Sélectionnez l'onglet Types de facteur.
  4. Sélectionnez YubiKey.
  5. Cliquez sur Voir le rapport.
  6. Utilisez les critères du volet Filtres pour personnaliser votre recherche.
  7. Vérifiez le statut de chaque YubiKey dans la colonne Statut :
    • Le statut apparaît comme NON AFFECTÉ jusqu'à ce que l'utilisateur final inscrive sa YubiKey.
    • Une fois que l'utilisateur final a inscrit sa clé YubiKey, le statut devient ACTIF.
    • Lorsque vous révoquez une clé YubiKey, le statut devient RÉVOQUÉ.

Révoquer une clé YubiKey

Révoquer un YubiKey vous permet de mettre hors service une seule clé YubiKey, par exemple lorsqu'elle a été déclarée perdue ou volée. En outre, la révocation d'un YubiKey supprime son association avec l'utilisateur auquel elle a été affectée.

Si un utilisateur trouve une clé YubiKeyperdue, ne la réutilisez pas. Jetez-la et configurez une nouvelle YubiKey pour l'utilisateur.

  • Pour des raisons d'audit, vous ne pouvez pas supprimer une clé YubiKey une fois qu'elle a été affectée à un utilisateur. Même si vous la révoquez ou la réaffectez, elle apparaît toujours dans le rapport YubiKey .
  • Une clé YubiKey doit être supprimée et rechargée pour être réaffectée à un utilisateur.
  • Une clé YubiKey qui n'a pas été affectée à un utilisateur peut être supprimée.
  • Une série YubiKey ne peut pas être supprimée si elle est actuellement active pour un utilisateur.

  1. Dans Admin Console, allez à SécuritéMultifacteur.

  2. Sélectionnez l'onglet Types de facteur.
  3. Sélectionnez YubiKey.
  4. Collez le numéro de série dans le champ Révoquer la clé YubiKey d'amorçage et cliquez sur Trouver YubiKey. Des informations sur la YubiKey s'affichent.
  5. Cliquez sur Révoquer. Le message de confirmation s'affiche.
  6. Cliquez sur Terminé.

Supprimer le facteur OTP YubiKey

Si vous supprimez le facteur YubiKey, vous supprimez également toutes les clés YubiKey utilisées pour le mode mot de passe à usage unique. Il ne supprime pas la cklé YubiKey utilisées en mode biométrique. Vous ne pouvez pas annuler cette action.

  1. Dans Admin Console, allez à SécuritéMultifacteur.

  2. Sélectionnez YubiKey.
  3. Cliquez sur Actif, puis sur Désactiver.
  4. L'invite du facteur Supprimer l'Authenticator OTP YubiKey apparaît.
  5. Cliquez sur Supprimer.

Expérience de l'utilisateur final

Inscrire une clé YubiKey pour la première fois sur un navigateur de bureau

Lorsque l'utilisateur final reçoit sa clé YubiKey nouvellement approvisionnée, il peut l'activer lui-même en procédant comme suit :

  1. Se connecter à Okta.
  2. Sur la page de configuration des facteurs du Sign-In Widget, cliquez sur Configurer sous YubiKey. La page Configuration de la YubiKey apparaît.
  3. Insérez la clé YubiKey et appuyez sur son bouton lorsque vous y êtes invité(e).
  4. Cliquez sur Vérifier. La page Configurer des méthodes de sécurité s'affiche.
  5. Cliquez sur Terminer.

Utiliser YubiKey en mode OTP lors des connexions ultérieures au navigateur de bureau

Une fois que l'utilisateur final a activé sa clé YubiKey pour les mots de passe à usage unique, il peut l'utiliser pour l'authentification multifacteur lors des connexions suivantes :

  1. Connectez-vous à Okta.
  2. Lorsque la page Vérifier avec YubiKey apparaît, insérez la clé YubiKey et appuyez sur son bouton lorsque vous y êtes invité(e).

Okta utilise des compteurs de session avec le YubiKey. Votre OTP actuel invalide tous les autres qui précèdent. Ces OTP peuvent toutefois être utilisés sur d'autres sites Web.

Échec de l'inscription

Si un utilisateur final ne parvient pas à inscrire sa clé YubiKey, assurez-vous que le jeton a été chargé avec succès dans la Okta Platform. Examinez le rapport YubiKey et recherchez le numéro de série de la clé YubiKey pour l'utilisateur final qui tente de s'inscrire.

  • Si la YubiKey apparaît dans le rapport YubiKey et que son statut est Non attribuée, il est possible que l'utilisateur ait reprogrammé sa YubiKey et écrasé les secrets qui y sont associés. L'administrateur doit créer un autre fichier secrets de configuration YubiKey et le charger vers Okta.
  • Si la clé YubiKey n'apparaît pas dans le rapport YubiKey, alors vous n'avez pas correctement chargé la valeur des clés secrètes YubiKey. Chargez-le à nouveau dans Okta.

Assurez-vous que vous avez configuré le compartiment YubiKey approprié pour la configuration Okta et que l' utilisateur final utilise le même compartiment pour inscrire sa clé dans Okta.

Okta utilise des compteurs de session avec le YubiKey. Votre OTP actuel invalide tous les autres qui précèdent. Touteffois, ces OTP peuvent être utilisés sur d'autres sites Web.

Protocoles et canaux de communication pris en charge

Okta prend en charge les modes de jeton suivants :

Certains modèles YubiKey peuvent prendre en charge d'autres protocoles tels que NFC. Consultez les spécifications de votre appareil YubiKey pour confirmer les protocoles qu'il prend en charge.