YubiKey(MFA)
エンドユーザーは、USBコネクターを使用してYubiKeyハードトークンを押し、新しいワンタイムパスワードを送信することで、アカウントに安全にログインできます。YubiKey検証はすべてOkta内で行われるため、セキュリティが確保されます。
YubiKeyについて
Yobico製のYubiKeyは、エンドユーザーがアクティベートするごとに一意なパスワードを提供する多要素認証デバイスです。エンドユーザーは、USBコネクターを使用してYubiKeyハードトークンを押し、新しいワンタイムパスワード(OTP)を送信することで、アカウントに安全にログインできます。
このセクションでは、YubiKey OTPモードのステップについて説明します。YubiKeyを生体認証システムとして使用するには、「FIDO2(WebAuthn)」を参照してください。
OTPモードのYubiKeyは、フィッシング耐性のある要素ではありません。
認証用にYubiKeyを指定するための唯一のタスクは、シークレットの構成ファイルとも呼ばれるYubiKeyシードファイルのアップロードです。このファイルを作成するには、以下の手順に従います。アップロードが済むと、アップロードに成功したYubiKeyの数が画面に表示され、その間に発生したエラーが一覧表示されます。
YubiKey構成ファイルの作成
YubiKeyを多要素認証オプションとして統合する前に、YubiKeyパーソナリゼーションツールを使用して生成されたシークレットの構成ファイルを取得してアップロードする必要があります。このファイル(YubiKeyまたはOktaシークレットファイルとも呼ばれることがある)の生成の詳細は、「Oktaアダプティブ多要素認証用にYubiKeyをプログラミングする」を参照してください。
シークレットの構成ファイルは.csvファイルで、組織のエンドユーザーに認証済みYubiKeyを提供します。Yubicoは、リクエストされた数の「クリーン」ハードトークンを送付し、そのセットアップが完了すると、エンドユーザーに配布できます。
『Okta用のYubiKeyのプログラミング』マニュアルに記載されている説明を注意深く読んで従ってください。これを完了したら、「OktaでのYubiKey認証の使用」の「Oktaプラットホームにアップロード」に記載されているステップに従います。
YubiKeyをお買い上げになると、Yubicoは追加のプレミアムサービスとして、あなたに代わってシークレットファイルを作成します。このオプションの詳細は、Yubicoにお問い合わせください。
トラブルシューティング
シークレットの構成ファイルの生成時またはYubiKeyの構成時に問題が発生したら、以下の質問やステップが満たされたことを確認します。
構成スロット1を選択しましたか?
3つの[Generate(生成)]ボタンをクリックしましたか?
生成したOTPをチェックしましたか?
- YubiKeyパーソナリゼーションツールで生成した.csvファイルを開きます。
- ファイルの2番目の項目であるパブリックID値をメモします。
- テキストエディターを開いて、Oktaで使用するように構成されたYubiKeyをタップします。YubiKeyがテキストエディター内でOTPを生成します。
- 生成されたOTPで、上記でメモしたパブリックID値を探します。それがテキスト行になければ、YubiKeyの構成は成功していません。
YubiKey要素をアクティブ化してYubiKeyを追加する
- 管理コンソールで、[Security(セキュリティ)] > [Multifactor(多要素)]に移動します。
- [YubiKey]をクリックします。
- [Browse(参照)]をクリックして、YubiKey Personalization Toolを使用して作成したYubiKey Seed Fileを選択し、[Open(開く)]をクリックします。
- [Inactive(非アクティブ化)]をクリックして、[Activate(アクティブ化)]を選択してYubiKey要素を有効にします。
YubiKeyの使用
トークンの管理
これでシークレットの構成ファイルがアップロードされたので、組織内で未割り当てのYubiKeyをすべて見ることができます。エンドユーザーは各自のトークンをデバイスに登録し始め、割り当てられたトークンがレポートに表示され始めるはずです。
割り当て済みおよび未割り当てのYubiKeyリストの表示
[View Report(レポートの表示]をクリックすると、すべての割り当て済みおよび未割り当てのYubiKeyのシリアル番号のリストが表示されます。あるいは、[Report(レポート)]ページのMFA Usage(MFA使用状況)リンクで同じ情報を見つけることもできます。
レポートはいつでも実行して表示できます。
- アクティブトークン(ユーザーに関連づけられているYubiKey)
- ブロックされたトークン(以前アクティブだったが、エンドユーザーまたはOkta管理者がリセットしたYubiKey)
- 未割り当てトークン(未割り当てYubiKeyにはシークレット値がアップロードされており、エンドユーザーがすぐに自己登録できる)
- 割り当て済みエンドユーザーの名前。
紛失した、盗まれた、または無効なYubiKeyの削除
- トークンが紛失したり盗まれたりした場合、ユーザーをYubiKeyハードトークンから認証解除できます。
- トークンは譲渡不可ですが、置換可能です。エンドユーザーからYubiKeyの紛失または盗難を報告を受けたら、未割り当てYubiKeyを削除するのと同じ方法で、その一意シリアル番号に基づいてトークンを割り当て解除します。
- 監査の目的で、YubiKeyはユーザーに割り当てられたら削除できません。取り消されたり、再割り当てされたりしても、生成時にレポートに残ります。
-
YubiKeyは、ユーザーに再割り当てする前に削除して再アップロードする必要があります。
- ユーザーに割り当てられていないYubiKeyは削除できます。
- 現在、ユーザーに対してアクティブなYubiKeyシリアル番号は削除できません。
YubiKeyタブから次のように操作します。
- [Revoke YubiKey Seed(YubiKeyシードを取り消す)]フィールドにシリアル番号を入力します。
- [Find YubiKey(YubiKeyを検索)]ボタンをクリックします。
- YubiKeyを恒久的に削除するか確認するために[Delete YubiKey(YubiKeyを削除)]モーダルが表示されます。
- 確認ページが表示されます。[Done(完了)]をクリックします。
ベストプラクティス:紛失したYubiKeyが見つかった場合のベストプラクティスはその古いトークンを破棄することです。管理者はまた、「YubiKeyトークンの構成」の「Oktaファイル用YubiKeyの構成」に記載されているステップに従ってYubiKeyを再プログラミングすることもできます。これにより、新しいConfiguration Secrets(シークレットの構成)ファイルが生成され、Oktaフレームワーク内のどのエンドユーザーでも再登録できるようになります。
エンドユーザーエクスペリエンス
ユーザーはOktaへの初回サインイン時やリセット後に、アカウントの多要素認証オプションを選択するよう求められます。この時点で、YubiKeyオプションを選択できます。
[Seup(セットアップ)]をクリックし、表示される指示に従って登録します。
登録の失敗
エンドユーザーがYubiKeyを登録できない場合、トークンがOktaプラットホームにアップロードされていることを確認してください。[Reports(レポート)]ページで見つかったYubiKeyレポートに移動します。登録しようとしているエンドユーザーをシリアル番号で検索します。
- YubiKeyレポートにYubiKeyがあり、ステータスが[Unassigned(未割り当て)]であれば、エンドユーザーがYubiKeyを再プログラミングし、YubiKeyに関連付けられていたシークレットを上書きした可能性があります。この場合、管理者が「YubiKeyトークンの構成」の「Oktaファイル用YubiKeyのプログラミング」に記載されている説明に従ってOktaプラットホームを再度アップロードする必要があります。
- YubiKeyレポートにYubiKeyがない場合、YubiKeyシークレット値が正しくアップロードされておらず、Oktaプラットホームに再度アップロードする必要があります。
ベストプラクティス :YubiKeyがユーザーから分離した場合、トークンをシステムから取り消して、エンドユーザーが登録できるように新しい未割り当てYubiKeyを再発行することを検討してください。
OktaはYubiKeyでセッションカウンターを使用するため、YubiKeyをOTPモードで使用してサインインすると、以前に発行されたOTPはすべて、Oktaに提供するOTPによって無効になります。ただし、これらのOTPは他のウェブサイトでの使用においてはまだ有効な場合があります。
サポートされているプロトコルと通信チャネル
YubiKey認証が成功すると、以下のトークンモードがサポートされます。
一部のYubiKeyモデルは、NFCなどのプロトコルをサポートします。サポートレベルは、YubiKeyデバイスの仕様を参照してください。