YubiKey (MFA)

エンドユーザーは、USBコネクターを使用してYubiKeyハードトークンを押し、新しいワンタイム パスワードを送信することで、アカウントにセキュアにログインできます。YubiKey検証はすべてOktaクラウド内で行われるため、セキュリティが確保されます。

YubiKeyについて

Yobico製のYubiKeyは、エンドユーザーがアクティベートするごとに一意なパスワードを提供する多要素認証デバイスです。エンド・ユーザーがYubiKeyハードウェア・トークンをUSBコネクターに接続し、そのボタンを押すだけで、アカウントに安全にログインするための新しいワンタイム・パスワード(OTP)が生成されます。YubiKey検証はすべてOktaクラウド内で行われるため、セキュリティが確保されます。そのため、OktaはYubiKey認証のOktaレベルの品質、サービス、アップタイムを保証します。

情報

このセクションでは、YubiKey OTPモードのステップについて説明します。YubiKeyはまたU2Fもサポートしており、キーシリーズによってはWebAuthn (MFA)もサポートしています。

認証用にYubiKeyを指定するための唯一のタスクは、シークレットの構成ファイルとも呼ばれるYubiKeyシードファイルのアップロードです。このファイルを作成するには、以下の手順に従います。アップロードが済むと、アップロードに成功したYubiKeyの数が画面に表示され、その間に発生したエラーが一覧表示されます。

YubiKey構成ファイルの作成

YubiKeyを多要素認証オプションとして統合する前に、YubiKeyパーソナリゼーションツールを使用して生成されたシークレットの構成ファイルを取得してアップロードする必要があります。このファイル(YubiKeyまたはOktaシークレットファイルとも呼ばれることがある)生成の詳細は、「Oktaアダプティブ多要素認証用にYubiKeyをプログラミングする」を参照してください。

シークレットの構成ファイルは.csvファイルで、組織のエンドユーザーに認証済みYubiKeyを提供します。Yubicoは、リクエストされた数の「クリーン」ハードトークンを送付し、そのセットアップが完了すると、エンドユーザーに配布できます。

『Okta用のYubiKeyのプログラミング』マニュアルに記載されている説明を注意深く読んで従ってください。これを完了したら、「OktaでのYubiKey認証の使用」の「Oktaプラットホームにアップロード」に記載されているステップに従います。

YubiKeyをお買い上げになると、Yubicoは追加のプレミアムサービスとして、あなたに代わってシークレットファイルを作成します。このオプションの詳細は、Yubicoにお問い合わせください。

トラブルシューティング

シークレットの構成ファイルの生成時またはYubiKeyの構成時に問題が発生したら、以下の質問やステップが満たされたことを確認します。

構成スロット1を選択しましたか?

  • YubiCloud用の各YubiKeyはデフォルトで構成スロット1で構成されます。Okta以外のサービスにYubiKeyを使用する予定があれば、Okta構成用にスロット2を使用できます。ただし、エラーが起きる場合は、構成スロット1をOkta専用に使用するのがベストプラクティスです。

3つの[Generate(生成)]ボタンをクリックしましたか?

  • YubiKey構成ステップを実行しながら、3つの[Generate(生成)]ボタンをすべてクリックしたことを確認します。

生成したOTPをチェックしましたか?

  • 最も重要なステップは、生成したOTPにパブリックID値があることを確認することです。これがないと、YubiKeyが正しく構成されていません。

  • ファイルをチェックするには、以下を行います。

    1. YubiKeyパーソナリゼーションツールで生成した.csvファイルを開きます。
    2. ファイルの2番目の項目であるパブリックID値をメモします。
    3. テキストエディターを開いて、Oktaで使用するように構成されたYubiKeyをタップします。YubiKeyがテキスト エディター内でOTPを生成します。
    4. 生成されたOTPで、上記でメモしたパブリックID値を探します。それがテキスト行になければ、YubiKeyの構成は成功していません。

YubiKeyの使用

トークンの管理

これでシークレットの構成ファイルがアップロードされたので、組織内で未割り当てのYubiKeyをすべて見ることができます。エンドユーザーは各自のトークンをデバイスに登録し始め、割り当てられたトークンがレポートに表示され始めるはずです。

割り当て済みYubiKeyと未割り当てYubiKeyリストの表示

[View Report(レポートの表示]ボタンをクリックすると、割り当て済みと未割り当てYubiKeyすべてのシリアル番号のリストが表示されます。あるいは、[Report(レポート)]ページのMFA Usage(MFA使用状況)リンクで同じ情報を見つけることもできます。

レポートはいつでも実行して表示できます。

  • アクティブトークン(ユーザーに関連づけられているYubiKey)
  • ブロックされたトークン(以前アクティブだったが、エンドユーザーまたはOkta管理者がリセットしたYubiKey)
  • 未割り当てトークン(未割り当てYubiKeyにはシークレット値がアップロードされており、エンドユーザーがすぐに自己登録できる)
  • 割り当て済みエンドユーザーの名前

紛失した、盗まれた、または無効なYubiKeyの削除

  • トークンが紛失したり盗まれたりした場合、ユーザーはYubiKeyハードトークンから認証解除されます。
  • トークンは譲渡不可ですが、置換可能です。エンドユーザーがYubiKeyの紛失または盗難を報告したら、未割り当てYubiKeyを削除するのと同じ方法で、その一意シリアル番号に基づいてトークンを割り当て解除します。
  • 監査の目的で、YubiKeyはユーザーに割り当てられたら削除できません。取り消されたり、再割り当てされたりしても、生成時にレポートに残ります。
  • YubiKeyは、ユーザーに再割り当てする前に削除して再アップロードする必要があります。

  • ユーザーに割り当てられていないYubiKeyは削除できます。
  • 現在、ユーザーに対してアクティブなYubiKeyシリアル番号は削除できません。

YubiKeyタブから:

  1. [Revoke YubiKey Seed(YubiKeyシードを取り消す)]フィールドにシリアル番号を入力します。
  2. [Find YubiKey(YubiKeyを検索)]ボタンをクリックします。
  3. YubiKeyを恒久的に削除するか確認するために[Delete YubiKey(YubiKeyを削除)]モーダルが表示されます。
  4. 確認ページが表示されます。[Done(終了)]ボタンをクリックします。

ベストプラクティス:紛失したYubiKeyが見つかった場合のベストプラクティスはその古いトークンを破棄することです。管理者はまた、「YubiKeyトークンの構成」の「Oktaファイル用YubiKeyの構成」に記載されているステップに従ってYubiKeyを再プログラミングすることもできます。これにより、新しいConfiguration Secrets(シークレットの構成)ファイルが生成され、Oktaフレームワーク内のどのエンドユーザーでも再登録できるようになります。

エンドユーザーエクスペリエンス

エンドユーザーは何を行いますか?登録は簡単です。ユーザーはOktaへの初回サインイン時やリセット後に、アカウントの多要素認証オプションを選択するよう求められます。この時点で、YubiKeyオプションを選択できます。

[Seup(セットアップ)]ボタンをクリックし、表示される指示に従って登録します。

登録の失敗

エンドユーザーがYubiKeyを登録できない場合、トークンがOktaプラットホームにアップロードされていることを確認してください。[Reports(レポート)]ページで見つかったYubiKeyに移動します。登録しようとしているエンドユーザーを(シリアル番号で)検索します。

  • YubiKeyレポートにYubiKeyがあり、ステータスが[Unassigned(未割り当て)]であれば、エンドユーザーがYubiKeyを再プログラミングし、YubiKeyに関連付けられていたシークレットを上書きした可能性があります。この場合、管理者が「YubiKeyトークンの構成」の「Oktaファイル用YubiKeyのプログラミング」に記載されている説明に従ってOktaプラットホームを再度アップロードする必要があります。
  • YubiKeyレポートにYubiKeyがない場合、YubiKeyシークレット値が正しくアップロードされておらず、Okta プラットホームに再度アップロードする必要があります。

ベストプラクティス :YubiKeyがユーザーから分離した場合、トークンをシステムから取り消して、エンドユーザーが登録できるように新しい未割り当てYubiKeyを再発行することを考慮してください。

サポートされているプロトコルと通信チャネル

YubiKey認証が成功すると、以下のトークンモードがサポートされています。

  • TOTP
  • U2F (Chrome またはFirefoxウェブブラウザが必要)
  • FIDO2
情報

一部のYubiKeyモデルは、NFCなどのプロトコルをサポートします。Okta Mobile、およびiOS で稼働するウェブブラウザは現在、NFCをサポートしていません。サポートレベルは、YubiKeyデバイスの仕様を参照してください。