Configurer l'authenticator Yubikey OTP

L'authenticator YubiKey Code secret à usage unique (OTP ) est un facteur de possession protégé par du matériel et lié à un appareil. Les utilisateurs finaux appuient sur leur jeton matériel YubiKey pour émettre un OTP et se connecter de manière sécurisée à leur compte.

YubiKey en mode OTP n'est pas un authenticator résistant au hameçonnage. Si vous souhaitez utiliser YubiKey comme facteur résistant au hameçonnage et biométrique, consultez Configurer l'authenticator FIDO2 (WebAuthn).

Avant de commencer

Pour configurer l'authenticator OTP YubiKey dans Okta:

  • compte Yubico avec accès à outil de personnalisation YubiKey.
  • Fichier source YubiKey (également connu sous le nom de YubiKey fichier OTP Secrets) créé à l'aide de l'outil. Le fichier doit être au format CSV. Les fichiers sources créés manuellement sont susceptibles de ne pas fonctionner correctement.

Ajouter l'authenticator YubiKey OTP

  1. Dans la Admin Console, accédez à Sécuritéauthenticators.

  2. Dans l'onglet Configuration, cliquez sur Ajouter un authenticator.

  3. Cliquez sur Ajouter sur la tuile YubiKey OTP .
  4. Charger un fichier source YubiKey.

  5. Cliquez sur Ajouter. L'authenticator apparaît dans la liste de l'onglet Configuration.

Ajouter YubiKey OTP à la politique d'inscription de l'authenticator

Dans authenticators, accédez à l'onglet Inscription pour ajouter l'authenticator à une politique d'inscription authenticator (nouvelle ou existante). Consultez Créer une politique d'inscription d'authenticator.

Modifier ou supprimer l'authenticator YubiKey OTP

Avant de modifier ou de supprimer l'authenticator, vous devrez peut-être mettre à jour les politiques existantes qui utilisent cet authenticator.

  1. Dans authenticators, accédez à l'onglet Configuration .
  2. Ouvrez le menu déroulant Actions à côté de l'authenticator, puis sélectionnez Modifier ou Supprimer.

La suppression de l'authenticator YubiKey supprime également toutes les clés YubiKey utilisées en mode OTP . Il ne supprime pas les clés YubiKey utilisées en mode biométrique.

Voir les affectations et les statuts de la clé YubiKey

Utilisez le rapport YubiKey OTP pour vérifier que les clés YubiKey ont été ajoutées correctement. Vous pouvez également voir les affectations des utilisateur et le statut de chaque YubiKey.

  1. Dans authenticators, accédez à Configuration de la YubiKey OTP Actions. Sélectionnez YubiKey Rapport OTP.
  2. Sur la page Rapports, utilisez la fonction Recherche pour trouver la YubiKey afin de voir son affectation et son statut.

Une clé YubiKey peut avoir l'un des statuts suivants :

  • Non affectée : l'utilisateur final n'a pas encore inscrit sa clé YubiKey.
  • Active : l'utilisateur final a inscrit sa clé YubiKey.
  • Révoquée : La YubiKey a été révoquée.

Révoquer une clé YubiKey

En révoquant une YubiKey, vous pouvez mettre hors service une YubiKey (par exemple, si elle est perdue ou volée) ou supprimer son affectation utilisateur .

  1. Dans authenticators, accédez à Configuration de la YubiKey OTP Actions. Sélectionnez YubiKey Rapport OTP.
  2. Sur la page Rapports , trouvez la YubiKey que vous souhaitez révoquer et copiez son numéro de série.
  3. De retour dans Actions, sélectionnez Révoquer YubiKey.
  4. Collez le numéro de série pour trouver la YubiKey et cliquez sur Révoquer.

Vous ne pouvez pas supprimer une YubiKey qui a été affectée à un utilisateur. Même si vous la révoquez ou la réaffectez, elle apparaît toujours dans le rapport YubiKey . Vous ne pouvez pas supprimer le numéro de série d'une clé YubiKey active.

Réaffecter une clé YubiKey

Pour réaffecter une YubiKey à un autre utilisateur, réinitialisez d'abord l'authenticator YubiKey de l'utilisateur d'origine.

  1. Dans la Admin Console, accédez à RépertoirePersonnes.

  2. Recherchez la personne et cliquez sur son nom pour ouvrir son profil.
  3. Cliquez sur Plus d'Actions Réinitialiser les authenticators.
  4. Réinitialisez l'authenticator YubiKey pour l'utilisateur.

Ensuite, réaffectez la YubiKey au nouvel utilisateur.

  1. Dans authenticators, accédez à Configuration de la YubiKey OTP.
  2. Révoquez la clé YubiKey que vous souhaitez réaffecter.
  3. Chargez-le à nouveau à l'aide d'un fichier source.
  4. Affectez-le au nouvel utilisateur.

Ne réaffectez pas une clé YubiKey perdue si elle a été retrouvée ultérieurement. Jetez-la et configurez une nouvelle YubiKey pour l'utilisateur.

Expérience de l'utilisateur final

Au cours du premier flux de connexion, les utilisateurs finaux sont invités à configurer l'authenticator YubiKey OTP . Après avoir inscrit leur YubiKey dans Okta, ils l'utilisent pour se connecter. Okta utilise des compteurs de session avec le YubiKey. L'OTP actuel invalide tous les autres qui précèdent. Ces OTP peuvent toutefois être utilisés sur d'autres sites Web.

Okta applique une limite de taux sur les tentatives d'authentification infructueuses des authenticators OTP tiers inscrits à Okta. Ces authenticators comprennent Google Authenticator, Symantec VIP et YubiKey OTP. La limite de taux correspond à un total de cinq tentatives de connexion infructueuses de l'un ou de l'ensemble de ces authenticators dans une période continue de cinq minutes. Lorsqu'un utilisateur dépasse la limite d'utilisation, il ne peut pas se connecter tant que la limite d'utilisation n'est pas dépassée. Ces tentatives sont enregistrées dans le Journal système.

Tâches de l'utilisateur final

Donnez ces instructions à vos utilisateurs finaux pour les aider à configurer YubiKey OTP comme méthode de sécurité.

Inscription d'une clé YubiKey sur un navigateur de bureau

Lorsque l'utilisateur final reçoit sa clé YubiKey nouvellement approvisionné, il peut l'activer en procédant comme suit :

  1. Allez à la page de connexion de l'org. Fournissez le nom d'utilisateur et les autres informations d'identification demandées.

  2. Dans la page Configurer des méthodes de sécurité, cliquez sur Configurersous authenticator OTP YubiKey. La page Configurer une YubiKey OTP apparaît.
  3. Insérez la clé YubiKey et appuyez sur son bouton lorsque vous y êtes invité(e).
  4. Cliquez sur Vérifier. La page Configurer des méthodes de sécurité s'affiche.
  5. Cliquez sur Terminer.

Utiliser la YubiKey en mode OTP pour la connexion à un navigateur de bureau

Une fois que l'utilisateur final a activé sa clé YubiKey pour l'OTP, il peut l'utiliser pour l'authentification multifacteur lorsqu'il se connecte. Au cours du processus de connexion, lorsque la page Vérifier avec YubiKey apparaît), ils insèrent la YubiKey. Ils appuient sur son bouton lorsqu'ils y sont invités, puis suivent les instructions du navigateur.

Inscription d'une clé YubiKey en mode NFC sur les appareils mobiles

Les utilisateurs finaux inscrire la clé YubiKey en mode NFC sur les appareils mobiles qui prennent en charge le NFC.

  1. Connectez-vous à Okta sur un appareil mobile. L'écran Définissez l'authentification multifacteur s'affiche.
  2. Appuyez sur Configuration sous Clé de sécurité ou authentificateur biométrique, puis appuyez sur Inscription. L'invite Connexion s'affiche.
  3. Appuyez sur Continuer. Lorsque vous y êtes invité(e), tenez la clé YubiKey près du haut de l'appareil mobile. L'écran Définissez l'authentification multifacteur s'affiche.
  4. Appuyez sur Configuration sous YubiKey. La page Configuration de la YubiKey apparaît. Tenez la clé YubiKey près du haut de l'appareil mobile.
  5. Appuyez sur le bouton latéral ou supérieur de l'appareil mobile pour fermer l'écran, puis appuyez sur l'écran pour afficher les notifications.
  6. Appuyez sur la notification Tag NFC du site Web. La page NFC YubiKey apparaît.
  7. Appuyez sur Copier dans le presse-papiers, puis revenez au navigateur dans lequel vous vous êtes connecté(e).
  8. Maintenez le champ enfoncé, puis tapez sur Coller.
  9. Appuyez sur Vérifier. L'écran Définissez l'authentification multifacteur s'affiche.
  10. Appuyez sur Terminer.

Utiliser l'authenticator OTP YubiKey en mode NFC

Les utilisateurs finaux peuvent utiliser YubiKey en mode NFC pour se connecter sur des appareils mobiles prenant en charge la technologie NFC :

  1. Connectez-vous à Okta sur un appareil mobile.
  2. Appuyez sur le menu fléché à côté de l'icône de l'authenticator et sélectionnez l'authenticator YubiKeyOTP. La page YubiKey OTP apparaît.
  3. Appuyez sur le champ Cliquez ici, puis sur votre clé YubiKey.
  4. Tenez la clé YubiKey près du haut de l'appareil mobile.
  5. Appuyez sur le bouton latéral ou supérieur de l'appareil mobile pour fermer l'écran, puis appuyez sur l'écran pour afficher les notifications.
  6. Appuyez sur la notification Tag NFC du site Web. La page NFC YubiKey apparaît.
  7. Appuyez sur Copier dans le presse-papiers, puis revenez au navigateur dans lequel vous vous êtes connecté(e).
  8. Maintenez le champ enfoncé, puis tapez sur Coller.
  9. Appuyez sur Vérifier.

Utiliser l'option Clé de sécurité ou authentificateur biométrique

Les utilisateurs finaux peuvent également utiliser leur YubiKey comme clé de sécurité ou authenticator biométrique. Cette méthode utilise l'authenticator FIDO2 (WebAuthn) pour connexion à des appareils mobiles en utilisant le mode NFC de la clé de sécurité.

  1. Connectez-vous à Okta sur un appareil mobile.
  2. Appuyez sur le menu fléché à côté de l'icône de l'authenticator et sélectionnez l'option Clé de sécurité ou authentificateur biométrique. L'écran Clé de sécurité ou authentificateur biométrique s'affiche.
  3. Appuyez sur Vérifier. L'invite Connexion s'affiche.
  4. Maintenez la clé YubiKey à proximité de l'appareil mobile et suivez les instructions sur l'appareil.

Rubriques liées

authentification multifacteur

Exiger une authentification résistante à l'hameçonnage avec une YubiKey préinscrite