YubiKey（MFA）

YubiKeyは物理的な多要素認証デバイスとして使用されるセキュリティキーのブランドです。YubiKeyを使用するには、サインイン時にYubiKeyをコンピューターのUSBポートに挿入し、プロンプトが表示されたらYubiKeyのボタンをタップします。YubiKeyは、ユーザーが提示するYubiKeyのタイプに応じてワンタイムパスワード（OTP）の提供、または指紋（生体認証）の検証を行うことができます。

このトピックでは、OTPモードを使用してYubiKeyをセットアップおよび管理する手順について説明します。YubiKeyを生体認証検証として使用する方法については、 FIDO2（WebAuthn）を参照してください。

この多要素認証（MFA）要素を使用するときは、YubiKeyのメーカーであるYubicoのツールを使用して、インポートするYubiKeyのCSVファイルを生成します。次に、YubiKey要素をアクティブ化し、CSVファイルをインポートします。ユーザーは、Oktaへの次回のサインイン時にYubiKeyをアクティブ化します。

注:

OTPモードのYubiKeyは、フィッシング耐性のある要素ではありません。

開始する前に

YubiKey要素を有効化するには、事前にYubiKey Personalization Toolを使ってYubiKeyを構成し、YubiKey OTP Secretsファイル（YubiKeyとも呼ばれます）を生成する必要があります。YubiKey OTP Secretsファイルは、OktaにアップロードしてYubiKeyをアクティブ化するためのCSVです。Okta Adaptive MFA用にYubiKeyをプログラミングするを参照してください。YubiKey OTP Secretsファイルを生成したら、それを安全な場所に保存します。

注:

YubiKey OTP Secretsファイルは手動で作成しないでください。各YubiKeyの公開鍵と秘密鍵の情報を入力できるのは、YubiKey Personalization Toolのみです。この情報が不足している場合、YubiKeyが正しく機能しない可能性があります。

YubiKeyを構成し、YubiKey OTP SecretsファイルをOktaにアップロードしたら、YubiKeyをエンドユーザーに配布します。

YubiKey構成ファイルを作成する

YubiKey統合を多要素認証オプションとして有効化する前に、YubiKey Personalization Toolを使って生成したConfiguration Secretsファイルを入手してアップロードします。このファイル（YubiKeyまたはOktaシークレットファイルとも呼ばれます）の生成の詳細については、Okta Adaptive MFA用にYubiKeyをプログラミングするを参照してください。

Configuration Secretsファイルは、承認済みのYubiKeyをorgのエンドユーザーに提供するためのCSVです。Yubicoは求められた数だけ、エンドユーザーに配布できる「クリーン」ハードトークンを送付します。

Oktaアダプティブ多要素認証用にYubiKeyをプログラミングするに記載されている説明を注意深く読んで従ってください。これを完了したら、YubiKey認証の使用（Using Authentication）Okta に記載されているOktaプラットフォームにアップロードするのステップに従ってください。

Configuration Secretsファイルのトラブルシューティング

Configuration Secretsファイルの生成時またはYubiKeyの構成時に問題が発生しときは、次のタスクが完了していることを確認します。

構成スロット1を選択（Select Configuration Slot 1）します。デフォルトでは、各YubiKeyはYubiCloud向けに構成スロット1で構成されます。YubiKeyの使用をOkta以外のサービスで計画しているときは、Okta構成用にスロット2を使用できます。ただし、エラーが生じるときは、構成スロット1をOkta専用に使用するのがベストプラクティスです。
3つの生成（Generate）ボタンをすべてクリック（Click all three Generate buttons）します。必ず、3つすべての生成（Generate）ボタンをクリックしてください。

生成されたOTPファイルにパブリックID値が存在することを確認（Verify that the Public Identity value is in the generated OTP file）します。パブリックID値が存在しない場合、YubiKeyは正しく構成されていません。

YubiKey Personalization Toolが生成したCSVファイルを開きます。
ファイルで2番目の項目として入力されているパブリックID（Public Identity）値をメモします。
テキストエディターを開き、Oktaでの使用が構成されたYubiKeyをタップします。YubiKeyがテキストエディター内にOTPを生成できるようにます。
生成されたOTPでパブリックID（Public Identity）値を探します。これがテキスト行になければ、YubiKeyは正しく構成されていません。

YubiKey要素をアクティブ化してYubiKeyを追加する

Admin Consoleでセキュリティ（Security） > 多要素に移動します。
YubiKey をクリックします。
参照（Browse）をクリックしてYubiKey Personalization Toolで作成したYubiKey Seed Fileを選択し、開く（Open）をクリックします。
非アクティブ化（Inactive）をクリックし、アクティブ化（Activate）を選択してYubiKey要素を有効にします。

割り当て済みと未割り当てのYubiKeyのリストを表示する

YubiKeyを追加したら、YubiKeyレポートをチェックしてYubiKeyが正しく追加されたことを確認し、各YubiKeyのステータスを表示します。

Admin Consoleで、セキュリティ（Security） > Authenticatorに移動します。
Admin Consoleでセキュリティ（Security） > 多要素に移動します。
要素タイプ（Factor Types）タブを選択します。
YubiKey を選択します。
レポートの表示（View Report）をクリックします。
フィルター（Filters）ペインにある条件を使用して、検索をカスタマイズします。
ステータス（Status）列で各YubiKeyのステータスを確認します。
- エンドユーザーがYubiKeyを登録するまで、ステータスは未割り当て（UNASSIGNED）と表示されます。
- エンドユーザーがYubiKeyを登録すると、ステータスはアクティブ（ACTIVE）に変わります。
- YubiKeyを取り消すと、ステータスは取り消し済み（REVOKED）に変わります。

YubiKeyを取り消します。

紛失や盗難の報告があった場合などにYubiKeyを取り消すと、単一のYubiKeyを廃止できます。また、YubiKeyを取り消すと、それに割り当てられているユーザーとの関連付けも削除されます。

注:

失われたYubiKeyをユーザーが見つけた場合でも、再利用しないでください。そのYubiKeyは破棄し、ユーザー用に新しいYubiKeyを構成します。

注:

監査目的のために、一度ユーザーに割り当てられたYubiKeyは削除できません。取り消しや再割り当てを行った場合でも、YubiKeyは引き続きYubiKeyレポートに表示されます。
YubiKeyは、ユーザーに再割り当てする前に削除して再アップロードする必要があります。
ユーザーに割り当てられていないYubiKeyは削除できます。
ユーザーの現在アクティブなYubiKeyのシリアル番号は削除できません。

Admin Consoleでセキュリティ（Security） > 多要素に移動します。
要素タイプ（Factor Types）タブを選択します。
YubiKey を選択します。
YubiKeyフィールドにシリアル番号を貼り付け、YubiKey をクリックします。YubiKeyに関する情報が表示されます。
取り消す（Revoke）をクリックします。確認メッセージが表示されます。
完了（Done）をクリックします。

YubiKeyのOTP要素を削除する

注:

YubiKey要素を削除すると、ワンタイムパスワードモードで使用されるすべてのYubiKeyも削除されます。生体認証モードで使用されているYubiKeyは削除されません。この操作は元に戻せません。

Admin Consoleでセキュリティ（Security） > 多要素に移動します。
YubiKey を選択します。
アクティブ化（Active）をクリックした後で、非アクティブ化（Deactivate）をクリックします。
YubiKey要素を削除プロンプトが表示されます。
削除（Delete）をクリックします。

エンドユーザーエクスペリエンス

YubiKeyをデスクトップブラウザーに初めて登録する

新しくプロビジョニングされたYubiKeyを受け取ったエンドユーザーは、次の手順を実行して自分でそれをアクティブ化できます。

Oktaにサインインします。
Sign-In Widget の要素のセットアップ（Set up factors）ページで、 YubiKey の下のセットアップ（Set up）をクリックします。セットアップ（Set up）YubiKey ページが表示されます。
YubiKeyを挿入し、プロンプトが表示されたらボタンをタップします。
確認（Verify）をクリックします。セキュリティ方式のセットアップ（Set up security methods）ページが表示されます。
終了（Finish）をクリックします。

以後のデスクトップブラウザーサインオン時にYubiKeyをOTPモードで使用する

エンドユーザーは、YubiKeyをワンタイムパスワード用にアクティブ化すると、以後のサインオン時にそれを多要素認証に使用できます。

Oktaにサインインします。
YubiKey ページが表示されたらYubiKeyを挿入し、プロンプトに応じてボタンをタップします。

注:

YubiKeyでは、Oktaはセッションカウンターを使用します。以前のすべてのOTPは、最新のOTPによって無効化されます。これらのOTPは、他のWebサイトでの使用であれば、まだ有効である可能性があります。

登録の失敗

エンドユーザーがYubiKeyを登録できないときは、トークンがOkta Platformにアップロードされていることを確認してください。YubiKeyレポートを確認して、登録を試みているエンドユーザーのYubiKeyのシリアル番号を検索します。

YubiKeyレポートにYubiKeyが表示され、ステータスが未割り当て（Unassigned）であれば、エンドユーザーがYubiKeyを再プログラミングしてYubiKeyに関連付けられていたシークレットを上書きした可能性があります。管理者は別のYubiKey Configuration Secretsファイルを作成し、Oktaにアップロードする必要があります。
YubiKeyレポートにYubiKeyが表示されなければ、YubiKeyのシークレット値が正しくアップロードされていません。Oktaに再アップロードしてください。

Okta構成に適したYubiKeyスロットを構成し、エンドユーザーがOktaへの登録に同じスロットを使用していることを確認します。

YubiKeyでは、Oktaはセッションカウンターを使用します。以前のすべてのOTPは、最新のOTPによって無効化されます。ただし、他のWebサイトでの使用であれば、これらのOTPはまだ有効である可能性があります。

サポートされるプロトコルと通信チャネル

Oktaは次のトークンモードをサポートします。

注:

一部のYubiKeyモデルは、NFCなど他のプロトコルをサポートします。サポートされるプロトコルを確認するには、YubiKeyのデバイス仕様を参照してください。