Configurer l'authenticator Yubikey OTP

L'authenticator YubiKey Code secret à usage unique (OTP ) est un facteur de possession protégé par du matériel et lié à un appareil. Les utilisateurs finaux appuient sur leur jeton matériel YubiKey pour émettre un OTP et se connecter de manière sécurisée à leur compte.

YubiKey en mode OTP n'est pas un authenticator résistant au hameçonnage. Si vous souhaitez utiliser YubiKey en tant que facteur résistant à l'hameçonnage et biométrique, consultez Configurer l'authentificateur des Clés d'accès (FIDO2 WebAuthn).

Avant de commencer

Pour configurer l'authenticator OTP YubiKey dans Okta:

  • Yubico avec accès à YubiKey Personalization Tool.
  • Fichier source YubiKey (également connu sous le nom de YubiKey fichier OTP Secrets) créé à l'aide de l'outil. Le fichier doit être au format CSV. Les fichiers sources créés manuellement sont susceptibles de ne pas fonctionner correctement.

Ajouter l'authenticator YubiKey OTP

  1. Dans l'Admin Console, accédez à Sécurité > Authentificateurs.

  2. Dans l'onglet Configuration, cliquez sur Ajouter un authenticator.

  3. Cliquez sur Ajouter dans la tuile YubiKeyOTP.
  4. Charger un fichier source YubiKey.

  5. Cliquez sur Ajouter. L'authenticator apparaît dans la liste de l'onglet Configuration.

Ajouter YubiKey OTP à la politique d'inscription de l'authenticator

Dans authenticators, accédez à l'onglet Inscription pour ajouter l'authenticator à une politique d'inscription authenticator (nouvelle ou existante). Consultez Créer une politique d'enrôlement à l'authentification.

Modifier ou supprimer l'authenticator YubiKey OTP

Avant de modifier ou de supprimer l'authenticator, vous devrez peut-être mettre à jour les politiques existantes qui utilisent cet authenticator.

  1. Dans authenticators, accédez à l'onglet Configuration .
  2. Ouvrez le menu déroulant Actions à côté de l'authenticator, puis sélectionnez Modifier ou Supprimer.

La suppression de l'authenticator YubiKey supprime également toutes les clés YubiKey utilisées en mode OTP . Il ne supprime pas les clés YubiKey utilisées en mode biométrique.

Voir les affectations et les statuts de la clé YubiKey

Utilisez le rapport YubiKey OTP pour vérifier que les clés YubiKey ont été ajoutées correctement. Vous pouvez également voir les affectations des utilisateur et le statut de chaque YubiKey.

  1. Dans Authentificateurs, accédez à Configurer OTP YubiKey > Actions. Sélectionnez YubiKeyRapport OTP.
  2. Sur la page Rapports, utilisez la fonction Recherche pour trouver la YubiKey afin de voir son affectation et son statut.

Une clé YubiKey peut avoir l'un des statuts suivants :

  • Non affectée : l'utilisateur final n'a pas encore inscrit sa clé YubiKey.
  • Active : l'utilisateur final a inscrit sa clé YubiKey.
  • Révoquée : La YubiKey a été révoquée.

Révoquer une clé YubiKey

En révoquant une YubiKey, vous pouvez mettre hors service une YubiKey (par exemple, si elle est perdue ou volée) ou supprimer son affectation utilisateur .

  1. Dans Authentificateurs, accédez à Configurer OTP YubiKey > Actions. Sélectionnez YubiKeyRapport OTP.
  2. Sur la page Rapports , trouvez la YubiKey que vous souhaitez révoquer et copiez son numéro de série.
  3. De retour dans Actions, sélectionnez RévoquerYubiKey .
  4. Collez le numéro de série pour trouver la YubiKey et cliquez sur Révoquer.

Vous ne pouvez pas supprimer une YubiKey qui a été affectée à un utilisateur. Même si vous la révoquez ou la réaffectez, elle apparaît toujours dans le rapport YubiKey . Vous ne pouvez pas supprimer le numéro de série d'une clé YubiKey active.

Réaffecter une YubiKey

Pour réaffecter une YubiKey à un autre utilisateur, réinitialisez d'abord l'authenticator YubiKey de l'utilisateur d'origine.

  1. Dans Admin Console, accédez à Répertoire > Personnes.

  2. Recherchez la personne et cliquez sur son nom pour ouvrir son profil.
  3. Cliquez sur Plus d’actions > Réinitialiser les authentificateurs.
  4. Réinitialisez l'authenticator YubiKey pour l'utilisateur.

Ensuite, réaffectez la YubiKey au nouvel utilisateur.

  1. Dans Authentificateurs, accédez à Configurer OTP YubiKey .
  2. Révoquez la YubiKey que vous souhaitez réaffecter.
  3. Chargez-le à nouveau à l'aide d'un fichier source.
  4. Affectez-le au nouvel utilisateur.

Ne réaffectez pas une clé YubiKey perdue si elle a été retrouvée ultérieurement. Jetez-la et configurez une nouvelle YubiKey pour l'utilisateur.

Expérience de l'utilisateur final

Au cours du premier flux de connexion, les utilisateurs finaux sont invités à configurer l'authenticator YubiKey OTP . Après avoir inscrit leur YubiKey dans Okta, ils l'utilisent pour se connecter. Okta utilise des compteurs de session avec le YubiKey. L'OTP actuel invalide tous les autres qui précèdent. Ces OTP peuvent toutefois être utilisés sur d'autres sites Web.

Okta applique une limite de taux sur les tentatives d'authentification infructueuses des authenticators OTP tiers inscrits à Okta. Ces authenticators comprennent Google Authenticator, Symantec VIP et YubiKey OTP. La limite de taux correspond à un total de cinq tentatives de connexion infructueuses de l'un ou de l'ensemble de ces authenticators dans une période continue de cinq minutes. Lorsqu'un utilisateur dépasse la limite d'utilisation, il ne peut pas se connecter tant que la limite d'utilisation n'est pas dépassée. Ces tentatives sont enregistrées dans le Journal système.

Tâches de l'utilisateur final

Donnez ces instructions à vos utilisateurs finaux pour les aider à configurer YubiKey OTP comme méthode de sécurité.

Inscription d'une clé YubiKey sur un navigateur de bureau

Lorsque l'utilisateur final reçoit sa YubiKey nouvellement approvisionné, il peut l'activer en procédant comme suit :

  1. Allez à la page de connexion de l'org. Fournissez le nom d'utilisateur et les autres informations d'identification demandées.

  2. Dans la page Configurer des méthodes de sécurité, cliquez sur Configurer pour l' YubiKeyauthentificateur OTP. La page Configurer OTP YubiKey apparaît.
  3. Insérez la clé YubiKey et appuyez sur son bouton lorsque vous y êtes invité(e).
  4. Cliquez sur Vérifier. La page Configurer des méthodes de sécurité s'affiche.
  5. Cliquez sur Terminer.

Utiliser la YubiKey en mode OTP pour la connexion à un navigateur de bureau

Une fois que l'utilisateur final a activé sa clé YubiKey pour l'OTP, il peut l'utiliser pour l'authentification multifacteur lorsqu'il se connecte. Au cours du processus de connexion, lorsque la page Vérifier avec YubiKey apparaît, ils insèrent la YubiKey. Ils appuient sur son bouton lorsqu'ils y sont invités, puis suivent les instructions du navigateur.

Inscription d'une clé YubiKey en mode NFC sur les appareils mobiles

Les utilisateurs finaux inscrire la clé YubiKey en mode NFC sur les appareils mobiles qui prennent en charge le NFC.

  1. Connectez-vous à Okta sur un appareil mobile. L'écran Définissez l'authentification multifacteur s'affiche.
  2. Appuyez sur Configuration sous Clé de sécurité ou authentificateur biométrique, puis appuyez sur Inscription. L'invite Connexion s'affiche.
  3. Appuyez sur Continuer. Lorsque vous y êtes invité(e), tenez la clé YubiKey près du haut de l'appareil mobile. L'écran Définissez l'authentification multifacteur s'affiche.
  4. Appuyez sur Configuration sous YubiKey . La page Configuration de la YubiKey apparaît. Tenez la clé YubiKey près du haut de l'appareil mobile.
  5. Appuyez sur le bouton latéral ou supérieur de l'appareil mobile pour fermer l'écran, puis appuyez sur l'écran pour afficher les notifications.
  6. Appuyez sur la notification Tag NFC du site Web. La page YubiKeyNFC apparaît.
  7. Appuyez sur Copier dans le presse-papiers, puis revenez au navigateur dans lequel vous vous êtes connecté(e).
  8. Maintenez le champ enfoncé, puis tapez sur Coller.
  9. Appuyez sur Vérifier. L'écran Définissez l'authentification multifacteur s'affiche.
  10. Appuyez sur Terminer.

Utiliser l'authenticator OTP YubiKey en mode NFC

Les utilisateurs finaux peuvent utiliser YubiKey en mode NFC pour se connecter sur des appareils mobiles prenant en charge la technologie NFC :

  1. Connectez-vous à Okta sur un appareil mobile.
  2. Appuyez sur le menu fléché à côté de l'icône de l'authentificateur et sélectionnez l'authentificateur YubiKeyOTP. La page YubiKeyOTP apparaît.
  3. Appuyez sur le champ Cliquez ici, puis sur votre champ YubiKey .
  4. Tenez la clé YubiKey près du haut de l'appareil mobile.
  5. Appuyez sur le bouton latéral ou supérieur de l'appareil mobile pour fermer l'écran, puis appuyez sur l'écran pour afficher les notifications.
  6. Appuyez sur la notification Tag NFC du site Web. La page YubiKeyNFC apparaît.
  7. Appuyez sur Copier dans le presse-papiers, puis revenez au navigateur dans lequel vous vous êtes connecté(e).
  8. Maintenez le champ enfoncé, puis tapez sur Coller.
  9. Appuyez sur Vérifier.

Utiliser l'option Clé de sécurité ou authentificateur biométrique

Les utilisateurs finaux peuvent également utiliser leur YubiKey comme clé de sécurité ou authenticator biométrique. Cette méthode utilise l'authenticator Clés d'accès (FIDO2 WebAuthn) pour connexion à des appareils mobiles en utilisant le mode NFC de la clé de sécurité.

  1. Connectez-vous à Okta sur un appareil mobile.
  2. Appuyez sur le menu fléché à côté de l'icône de l'authenticator et sélectionnez l'option Clé de sécurité ou authentificateur biométrique. L'écran Clé de sécurité ou authentificateur biométrique s'affiche.
  3. Appuyez sur Vérifier. L'invite Connexion s'affiche.
  4. Maintenez la clé YubiKey à proximité de l'appareil mobile et suivez les instructions sur l'appareil.

Rubriques connexes

Authentification multifacteur

Intégrer les utilisateurs avec pré-enrôlementYubiKey