YubiKey(MFA)

YubiKeyは、物理的な多要素認証デバイスとして使用されるセキュリティキーのブランドです。YubiKeyを使用するには、サインイン時にYubiKeyをコンピューターのUSBポートに挿入し、プロンプトが表示されたらYubiKeyのボタンをタップします。YubiKeyは、ユーザーが提示するYubiKeyのタイプに応じて、ワンタイムパスワード(OTP)の提供、または指紋(生体認証)の検証を行うことができます。

このトピックでは、OTPモードを使用してYubiKeyを設定および管理する手順について説明します。生体認証検証としてYubiKeyを使用するには、「FIDO2(WebAuthn)」を参照してください。

この多要素認証(MFA)要素を使用するには、YubiKeyのメーカーであるYubicoのツールを使用してインポートした YubiKeyの.csvファイルを生成します。次に、YubiKey要素をアクティブ化し、.csvファイルをインポートします。ユーザーは、次回OktaにサインインするときにYubiKeyをアクティブ化します。

OTPモードのYubiKeyは、フィッシング耐性のある要素ではありません。

はじめに

YubiKey要素を有効にする前に、YubiKey Personalization Toolを使用してYubiKeyを構成し、YubiKey OTP Secrets File(YubiKey Seed Fileとも呼ばれます)を生成する必要があります。YubiKey OTP Secrets Fileは.csv形式で、OktaにアップロードしてYubiKeyをアクティブ化します。手順については、「Programming YubiKeys for Okta Adaptive Multi-Factor認証」を参照してください。YubiKey OTP Secrets Fileの生成が完了したら、安全な場所に保存します。

YubiKey OTP Secrets Fileは手動で作成しないでください。各YubiKeyの公開鍵路秘密鍵を入力できるのはYubiKey Personalization Toolのみです。この情報が不足している場合、YubiKeys が正しく機能しない可能性があります。

YubiKeyを構成し、YubiKey OTP Secrets FileをOktaにアップロードしたら、YubiKeyをエンドユーザーに配布できます。

YubiKey構成ファイルの作成

YubiKeyを多要素認証オプションとして統合する前に、YubiKeyパーソナリゼーションツールを使用して生成されたシークレットの構成ファイルを取得してアップロードする必要があります。このファイル(YubiKeyまたはOktaシークレットファイルとも呼ばれることがある)の生成の詳細は、Oktaアダプティブ多要素認証用にYubiKeyをプログラミングする」を参照してください。

シークレットの構成ファイルは.csvファイルで、Orgのエンドユーザーに認証済みYubiKeyを提供します。Yubicoは、リクエストされた数の「クリーン」ハードトークンを送付し、エンドユーザーに配布できます。

Programming YubiKey for Okta Adaptive Multi-Factor Authentication(Oktaアダプティブ多要素認証向けのYubiKeyのプログラミング)」に記載されている説明を注意深く読んで従ってください。これを完了したら、「OktaでのYubiKey認証の使用」の「Okta Platformにアップロード」に記載されているステップに従います。

シークレットの構成ファイルのトラブルシューティング

シークレットの構成ファイルの生成時またはYubiKeyの構成時に問題が発生したら、以下のタスクが完了していることを確認します。

  • 構成スロット1を選択します。YubiCloud用の各YubiKeyはデフォルトで構成スロット1で構成されます。Okta以外のサービスにYubiKeyを使用する場合、Okta構成用にスロット2を使用できます。ただしエラーが起きる場合は、構成スロット1をOkta専用に使用するとよいでしょう。

  • 3つの[Generate(生成)]ボタンをすべてクリックします。3つの[Generate(生成)]ボタンをすべてクリックしたことを確認してください。

  • 生成されたOTPファイルにパブリックID値が存在することを確認します。パブリックID値が存在しない場合、YubiKeyは正しく構成されていません。
    1. YubiKey Personalization Toolで生成した.csvファイルを開きます。
    2. ファイルの2番目の項目であるパブリックID値をメモします。
    3. テキストエディターを開いて、Oktaで使用するように構成されたYubiKeyをタップします。YubiKeyがテキストエディター内でOTPを生成します。
    4. 生成されたOTPで、パブリックID値を探します。それがテキスト行になければ、YubiKeyの構成は成功していません。

YubiKey要素をアクティブ化してYubiKeyを追加する

  1. Admin Consoleで、[Security(セキュリティ)][Multifactor(多要素)]に移動します。
  2. [YubiKey]をクリックします。
  3. [Browse(参照)]をクリックして、YubiKey Personalization Toolを使用して作成したYubiKey Seed Fileを選択し、[Open(開く)]をクリックします。
  4. [Inactive(非アクティブ化)]をクリックして、[Activate(アクティブ化)]を選択してYubiKey要素を有効にします。

割り当て済みおよび未割り当てのYubiKeyリストの表示

YubiKeyを追加したら、YubiKeyレポートをチェックして、YubiKeyが正しく追加されたことを確認し、各YubiKeyのステータスを表示できます。

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。
  2. Admin Consoleで、[Security(セキュリティ)][Multifactor(多要素)]に移動します。

  3. [Factor Types(要素タイプ)]タブを選択します。
  4. [YubiKey]を選択します。
  5. [View Report(レポートの表示)]をクリックします。
  6. [Filters(フィルター)]ペインの条件を使用して、検索をカスタマイズします。
  7. [Status(ステータス)]列で、各YubiKeyのステータスを確認します。
    • エンドユーザーがYubiKeyを登録するまで、ステータスは[UNASSIGNED(未割り当て)]と表示されます。
    • エンドユーザーがYubiKeyを登録すると、ステータスが[ACTIVE(アクティブ)]に変わります。
    • YubiKeyを取り消すと、ステータスは[REVOKED(取り消されました)]に変わります。

YubiKeyを取り消す

紛失または盗難の報告があった場合などに、YubiKeyを取り消すと、単一のYubiKeyを廃止できます。また、YubiKeyを取り消すと、割り当てられたユーザーとの関連付けも削除されます。

ユーザーが失われたYubiKeyを見つけた場合でも、再利用しないでください。そのYubiKeyは破棄し、ユーザー用に新しいYubiKeyを構成します。

  • 監査の目的で、YubiKeyはユーザーに割り当てられたら削除できません。取り消しや再割り当てを行った場合でも、引き続きYubiKeyレポートに表示されます。
  • YubiKeyは、ユーザーに再割り当てする前に削除して再アップロードする必要があります。
  • ユーザーに割り当てられていないYubiKeyは削除できます。
  • 現在、ユーザーに対してアクティブなYubiKeyシリアル番号は削除できません。
  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。
  2. Admin Consoleで、[Security(セキュリティ)][Multifactor(多要素)]に移動します。

  3. [Factor Types(要素タイプ)]タブを選択します。
  4. [YubiKey]を選択します。
  5. [Revoke YubiKey Seed(YubiKeyシードを取り消す)]フィールドにシリアル番号を貼り付け、[Find YubiKey(YubiKeyを探す)]をクリックします。YubiKeyに関する情報が表示されます。
  6. [Revoke(取り消す)]をクリックします。確認メッセージが表示されます。
  7. [Done(完了)] をクリックします。

YubiKey OTP要素を削除する

YubiKey要素を削除すると、ワンタイムパスワードモードに使用されているすべてのYubiKeyも削除されます。生体認証モードで使用されているYubiKeyは削除されません。このアクションは元に戻せません。

  1. Admin Consoleで、[Security(セキュリティ)][Multifactor(多要素)]に移動します。

  2. [YubiKey]を選択します。
  3. [Active(アクティブ化)]をクリックした後で、[Deactivate(非アクティブ化)]をクリックします。
  4. [Delete YubiKey factor(YubiKey要素を削除)]プロンプトが表示されます。
  5. [Delete(削除)]をクリックします。

エンドユーザーエクスペリエンス

YubiKeyをデスクトップブラウザーに初めて登録する

エンドユーザーは、新しくプロビジョニングされたYubiKeyを受け取ったら、次の手順を実行して自分でアクティブ化できます。

  1. Oktaにサインインします。
  2. Sign-In Widget[Set up factors(要素の設定)]ページで、[YubiKey]の下の[Set up(設定)]をクリックします。[Set up YubiKey(YubiKeyの設定)]ページが表示されます。
  3. YubiKeyを挿入し、プロンプトが表示されたらボタンをタップします。
  4. [Review(確認)]をクリックします。[Set up security methods(セキュリティ メソッドの設定)]ページが表示されます。
  5. [Finish(終了)]をクリックします。

以降のデスクトップブラウザーのサインオンでYubiKeyをOTPモードで使用する

エンドユーザーは、YubiKeyをワンタイムパスワード用にアクティブ化すると、以降のサインオンで多要素認証に使用できます。

  1. Oktaにサインインします。
  2. [Verify with YubiKey(YubiKeyで検証)]ページが表示されたら、YubiKeyを挿入します。そして、プロンプトが表示されたら、ボタンをタップします。

OktaはYubiKeysでセッションカウンターを使用します。最新のOTPによって、以前のOTPはすべて無効になります。ただし、これらのOTPは他のウェブサイトでの使用においてはまだ有効な場合があります。

登録の失敗

エンドユーザーがYubiKeyを登録できない場合は、トークンがOkta Platformにアップロードされていることを確認してください。YubiKeyレポートを確認して、登録を試みているエンドユーザーのYubiKeyのシリアル番号を検索します。

  • YubiKeyレポートにYubiKeyが表示され、ステータスが[Unassigned(未割り当て)]であれば、エンドユーザーがYubiKeyを再プログラミングし、YubiKeyに関連付けられていたシークレットを上書きした可能性があります。管理者は別のYubiKeyシークレットの構成ファイルを作成し、Oktaにアップロードする必要があります。
  • YubiKeyレポートにYubiKeyが表示されない場合は、YubiKeyシークレット値が正しくアップロードされていません。再度Oktaにアップロードする必要があります。

OktaはYubiKeysでセッションカウンターを使用します。最新のOTPによって、以前のOTPはすべて無効になります。ただし、これらのOTPは他のウェブサイトでの使用においてはまだ有効な場合があります。

サポートされているプロトコルと通信チャネル

Oktaは以下のトークンモードをサポートしています。

一部のYubiKeyモデルは、NFCなど他のプロトコルをサポートします。サポートされているプロトコルを確認するには、YubiKeyデバイス仕様を参照してください。