YubiKey(MFA)

YubiKeyは、物理的な多要素認証デバイスとして使用されるセキュリティキーのブランドです。YubiKeyを使用するには、サインイン時にYubiKeyをコンピューターのUSBポートに挿入し、プロンプトが表示されたらYubiKeyのボタンをタップします。YubiKeyは、ユーザーが提示するYubiKeyのタイプに応じてワンタイムパスワード(OTP)の提供、または指紋(生体認証)の検証を行うことができます。

このトピックでは、OTPモードを使用してYubiKeyをセットアップおよび管理する手順について説明します。YubiKeyを生体認証検証として使用する方法については、「FIDO2(WebAuthn)」を参照してください。

この多要素認証(MFA)要素を使用するときは、YubiKeyのメーカーであるYubicoのツールを使用して、インポートするYubiKeyのCSVファイルを生成します。次に、YubiKey要素をアクティブ化し、CSVファイルをインポートします。ユーザーは、Oktaへの次回のサインイン時にYubiKeyをアクティブ化します。

OTPモードのYubiKeyは、フィッシング耐性のある要素ではありません。

開始する前に

YubiKey要素を有効化するには、事前にYubiKey Personalization Toolを使ってYubiKeyを構成し、YubiKey OTP Secretsファイル(YubiKey Seed Fileとも呼ばれます)を生成する必要があります。YubiKey OTP Secretsファイルは、OktaにアップロードしてYubiKeyをアクティブ化するためのCSVです。「Programming the YubiKey for Okta Adaptive Multifactor Authentication(Oktaアダプティブ多要素認証向けのYubiKeyのプログラミング)」を参照してください。YubiKey OTP Secretsファイルを生成したら、安全な場所に保存します。

YubiKey OTP Secretsファイルは手動で作成しないでください。各YubiKeyの公開鍵と秘密鍵の情報を入力できるのは、YubiKey Personalization Toolのみです。この情報が不足している場合、YubiKeyが正しく機能しない可能性があります。

YubiKeyを構成し、YubiKey OTP SecretsファイルをOktaにアップロードしたら、YubiKeyをエンドユーザーに配布します。

YubiKey構成ファイルを作成する

YubiKey統合を多要素認証オプションとして有効化する前に、YubiKey Personalization Toolを使って生成したConfiguration Secretsファイルを入手してアップロードします。このファイル(YubiKeyまたはOktaシークレットファイルとも呼ばれます)の生成の詳細については、「Programming the YubiKey for Okta Adaptive Multi-Factor Authentication」を参照してください。

Configuration Secretsファイルは、承認済みのYubiKeyをorgのエンドユーザーに提供するためのCSVです。Yubicoは、エンドユーザーに配布できる「クリーン」ハードトークンを求められた数だけ送付します。

Programming YubiKey for Okta Adaptive Multi-Factor Authentication」に記載されている説明を注意深く読んで従ってください。これを完了したら、「OktaでのYubiKey認証の使用」の「Okta Platformにアップロード」に記載されている手順に従います。

Configuration Secretsファイルのトラブルシューティング

Configuration Secretsファイルの生成時またはYubiKeyの構成時に問題が発生しときは、次のタスクが完了していることを確認します。

  • 構成スロット1を選択します。デフォルトでは、各YubiKeyはYubiCloud向けに構成スロット1で構成されます。YubiKeyの使用をOkta以外のサービスで計画しているときは、Okta構成用にスロット2を使用できます。ただし、エラーが生じるときは、構成スロット1をOkta専用に使用するのがベストプラクティスです。

  • 3つの[生成]ボタンをすべてクリックします。必ず、3つすべての[Generate(生成)]ボタンをクリックしてください。

  • 生成されたOTPファイルにパブリックID値が存在することを確認します。パブリックID値が存在しない場合、YubiKeyは正しく構成されていません。
    1. YubiKey Personalization Toolが生成したCSVファイルを開きます。
    2. ファイルの2番目の項目であるパブリックID値をメモします。
    3. テキストエディターを開き、Oktaでの使用が構成されたYubiKeyをタップします。YubiKeyがテキストエディター内にOTPを生成できるようにます。
    4. 生成されたOTPでパブリックID値を探します。これがテキスト行になければ、YubiKeyは正しく構成されていません。

YubiKey要素をアクティブ化してYubiKeyを追加する

  1. Admin Console[Security(セキュリティ)][Multifactor(多要素)]に移動します。
  2. [YubiKey]をクリックします。
  3. [Browse(参照)]をクリックしてYubiKey Personalization Toolで作成したYubiKey Seed Fileを選択し、[Open(開く)]をクリックします。
  4. [Inactive(非アクティブ化)]をクリックし、[Activate(アクティブ化)]を選択してYubiKey要素を有効にします。

割り当て済みと未割り当てのYubiKeyのリストを表示する

YubiKeyを追加したら、YubiKeyレポートをチェックしてYubiKeyが正しく追加されたことを確認し、各YubiKeyのステータスを表示します。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. Admin Console[Security(セキュリティ)][Multifactor(多要素)]に移動します。

  3. [要素タイプ]タブを選択します。
  4. [YubiKey]を選択します。
  5. [View Report(レポートの表示)]をクリックします。
  6. [Filters(フィルター)]ペインの条件を使用して、検索をカスタマイズします。
  7. [Status(ステータス)]列で、各YubiKeyのステータスを確認します。
    • エンドユーザーがYubiKeyを登録するまで、ステータスは[UNASSIGNED(未割り当て)]と表示されます。
    • エンドユーザーがYubiKeyを登録すると、ステータスは[ACTIVE(アクティブ)]に変わります。
    • YubiKeyを取り消すと、ステータスは[REVOKED(取り消し)]に変わります。

YubiKeyを取り消す

紛失や盗難の報告があった場合などにYubiKeyを取り消すと、単一のYubiKeyを廃止できます。また、YubiKeyを取り消すと、割り当てられたユーザーとの関連付けも削除されます。

失われたYubiKeyをユーザーが見つけた場合でも、再利用しないでください。そのYubiKeyは破棄し、ユーザー用に新しいYubiKeyを構成します。

  • 監査目的のために、一度ユーザーに割り当てられたYubiKeyは削除できません。取り消しや再割り当てを行った場合でも、YubiKeyは引き続きレポートに表示されます。
  • YubiKeyは、ユーザーに再割り当てする前に削除して再アップロードする必要があります。
  • ユーザーに割り当てられていないYubiKeyは削除できます。
  • ユーザーの現在アクティブなYubiKeyのシリアル番号は削除できません。

  1. Admin Console[Security(セキュリティ)][Multifactor(多要素)]に移動します。

  2. [要素タイプ]タブを選択します。
  3. [YubiKey]を選択します。
  4. [Revoke YubiKey Seed(YubiKeyシードを取り消す)]フィールドにシリアル番号を貼り付け、[Find YubiKey(YubiKeyを探す)]をクリックします。YubiKeyに関する情報が表示されます。
  5. [Revoke(取り消す)]をクリックします。確認メッセージが表示されます。
  6. [Done(完了)]をクリックします。

YubiKey OTP要素を削除する

YubiKey要素を削除すると、ワンタイムパスワードモードで使用されるすべてのYubiKeyも削除されます。生体認証モードで使用されているYubiKeyは削除されません。この操作は元に戻せません。

  1. Admin Console[Security(セキュリティ)][Multifactor(多要素)]に移動します。

  2. [YubiKey]を選択します。
  3. [Active(アクティブ化)]をクリックした後で、[Deactivate(非アクティブ化)]をクリックします。
  4. [Delete YubiKey factor(YubiKey要素を削除)]プロンプトが表示されます。
  5. [Delete(削除)]をクリックします。

エンドユーザーエクスペリエンス

YubiKeyをデスクトップブラウザーに初めて登録する

エンドユーザーは、新しくプロビジョニングされたYubiKeyを受け取ったら、次の手順を実行して自分でアクティブ化できます。

  1. Oktaにサインインします。
  2. Sign-In Widget [Set up factors(要素のセットアップ)]ページで、[YubiKey]の下の[Set up(セットアップ)]をクリックします。[Set up YubiKey(YubiKeyのセットアップ)]ページが表示されます。
  3. YubiKeyを挿入し、プロンプトが表示されたらボタンをタップします。
  4. [Verify(確認)]をクリックします。[Set up security methods(セキュリティ方式のセットアップ)]ページが表示されます。
  5. [Finish(終了)]をクリックします。

以後のデスクトップブラウザーサインオン時にYubiKeyをOTPモードで使用する

エンドユーザーは、YubiKeyをワンタイムパスワード用にアクティブ化すると、以後のサインオン時に多要素認証に使用できます。

  1. Oktaにサインインします。
  2. YubiKeyで検証]ページが表示されたらYubiKeyを挿入し、プロンプトに応じてボタンをタップします。

YubiKeyでは、Oktaはセッションカウンターを使用します。以前のすべてのOTPは、最新のOTPによって無効化されます。これらのOTPは、他のWebサイトでの使用であれば、まだ有効である可能性があります。

登録の失敗

エンドユーザーがYubiKeyを登録できないときは、トークンがOkta Platformにアップロードされていることを確認してください。YubiKeyレポートを確認して、登録を試みているエンドユーザーのYubiKeyのシリアル番号を検索します。

  • YubiKeyレポートにYubiKeyが表示され、ステータスが[Unassigned(未割り当て)]であれば、エンドユーザーがYubiKeyを再プログラミングしてYubiKeyに関連付けられていたシークレットを上書きした可能性があります。管理者は別のYubiKeyシークレットの構成ファイルを作成し、Oktaにアップロードする必要があります。
  • YubiKeyレポートにYubiKeyが表示されなければ、YubiKeyのシークレット値が正しくアップロードされていません。Oktaに再アップロードしてください。

Okta構成に適したYubiKeyスロットを構成し、エンドユーザーがOktaへの登録に同じスロットを使用していることを確認します。

YubiKeyでは、Oktaはセッションカウンターを使用します。以前のすべてのOTPは、最新のOTPによって無効化されます。ただし、他のWebサイトでの使用であれば、これらのOTPはまだ有効である可能性があります。

サポートされるプロトコルと通信チャネル

Oktaは次のトークンモードをサポートします。

一部のYubiKeyモデルは、NFCなど他のプロトコルをサポートします。サポートされるプロトコルを確認するには、YubiKeyデバイス仕様を参照してください。