Commander des clés de sécurité YubiKey préinscrites
Cette procédure explique comment commander les clés de sécurité YubiKey préinscrites pour vos utilisateurs.
Vous pouvez utiliser Okta Universal Directory ou une app externe du système d'information sur les ressources humaines (HRIS), comme ServiceNow ou Workday, comme source des informations sur l'envoi de votre commande. Mettez à jour l'adresse de livraison de l'utilisateur dans le système source, puis commandez une YubiKey pour lui.
Avant de commencer
Vérifiez que vous avez effectué ces tâches avant d'effectuer cette procédure :
- Créer des politiques de connexion à l'app résistantes au hameçonnage.
- Configurer Okta Workflows pour l'envoi de la clé YubiKey.
- Collectez les informations YubiKey suivantes :
- ID de produits
- ID de produits d'inventaire
- ID de personnalisation
Consultez Identificateurs de produits et d'inventaires et la documentation YubiKey pour les ID de personnalisation.
Consultez Exiger une authentification résistante au hameçonnage avec une YubiKey préinscrite.
Créer un utilisateur intermédiaire
Si l'utilisateur n'existe pas dans Okta, créez-le avec le statut Intermédiaire .
- Ajouter des utilisateurs manuellement.
- Saisissez les détails de l'utilisateur suivants :
- Type d'utilisateur
- Prénom
- Nom de famille
- Nom d'utilisateur
- Adresse e-mail principale
- Adresse e-mail secondaire : saisissez l'adresse e-mail secondaire de l'utilisateur. C'est ici que vous envoyez le code PIN YubiKey.
- Groupes : affectez l'utilisateur au groupe d'utilisateurs que vous avez créé dans Créer des politiques de connexion à l'app résistantes au hameçonnage.
- Activation : sélectionnez Activer plus tard. Cela crée l'utilisateur dans le statut Intermédiaire .
Affecter un utilisateur actif à un groupe
Si le statut de l'utilisateur est Actif dans Okta, affectez-le au groupe que vous avez créé dans Créer des politiques de connexion à l'app résistantes au hameçonnage.
-
Dans la Admin Console, accédez à .
- Accédez à .
- Ajouter l'utilisateur au groupe
Mettre à jour les informations de livraison de l'utilisateur
Si vous sourcez des utilisateurs dont le statut est Intermédiaire ou Actif dans Universal Directory, mettez à jour leur adresse de livraison dans Okta. Sinon, mettez-la à jour dans votre HRIS.
- Sur la page Personnes , accédez à .
- Assurez-vous que les détails suivants apparaissent dans le profil utilisateur . Ces détails sont nécessaires pour l'envoi de la YubiKey :
- Adresse e-mail secondaire : cette adresse e-mail est requise pour tous les utilisateurs en statut Intermédiaire ou Actif qui ne se sont jamais connectés à leur compte.
- Téléphone principal
- Numéro et rue
- Ville
- État
- Code postal
- Code du pays
- Organisation
- Cliquez sur Enregistrer.
Commande d'une YubiKey pour un utilisateur individuel
Effectuez cette tâche pour les utilisateurs individuels dont le statut est Intermédiaire ou Actif .
- Accédez à .
- Dans la section Clé de sécurité , cliquez sur Ajouter une clé de sécurité pré-inscrite.
- Sur la page Inscription et livraison de la clé YubiKey, saisissez les détails suivants de la clé de sécurité :
- ID de produit
- ID de l'inventaire de produit
- ID de personnalisation
- Dans la section Livraison de la clé de sécurité, vérifiez que les informations de l'utilisateur sont correctes. Si vous devez modifier ces informations, mettez-les à jour dans le profil de l'utilisateur, soit dans Universal Directory , soit dans le HRIS.
- Cliquez sur Soumettre. La YubiKey préinscrite apparaît dans la section Clé de sécurité de l'utilisateur avec son statut d'envoi.
Cet événement déclenche le modèle Okta Workflows que vous configurer dans Configurer Okta Workflows pour l'envoi YubiKey pour initier l'envoi YubiKey.
Commandez des clés YubiKey préinscrites par lot
Utilisez l'API Okta pour commander des clés YubiKey pour un lot d'utilisateurs.
- Importer les utilisateurs dans Okta.
- Mettre à jour leurs profils utilisateur dans Universal Directory pour inclure les informations requises pour l'envoi de la clé YubiKey. Si ces informations proviennent d'un HRIS, mettez-les à jour. Assurez-vous qu'il est correctement mappé aux profils des utilisateurs dans Okta. Consultez Gérer les profils.
- Voici une liste des détails de l'utilisateur requis pour l'envoi de la YubiKey :
- Adresse e-mail secondaire : cette adresse e-mail est requise pour tous les utilisateurs en statut Intermédiaire ou Actif qui ne se sont jamais connectés à leur compte.
- Téléphone principal
- Numéro et rue
- Ville
- État
- Code postal
- Code du pays
- Organisation
- Obtenez les ID de produits et les ID de produits d'inventaire pour les types YubiKey que vous souhaitez commander. Consultez Identificateurs de produits et d'inventaires.
- Obtenez les ID de personnalisation pour les types YubiKey que vous souhaitez commander. Consultez la Documentation YubiKey.
- Utilisez le point de terminaison et la requête suivants pour créer un lot d'envoi. Appelez ce point de terminaison pour chaque identifiant utilisateur Okta.
- Point de terminaison : POST /webauthn-registration/api/v1/initiate-fulfillment-request
Requête :
Copier{
"userId": "${oktaUserId}",
"fulfillmentProvider": "yubico",
"fulfillmentData": [
{
"productId": "${productId}",
"customizationId": "${customizationId}",
"inventoryProductId": "${inventoryProductId}"
}
]
}
Cet événement déclenche l'événement d'app Créer un déclencheur d'envoi - MFA initiée dans Okta Workflows et affecte la clé YubiKey à l'utilisateur. Il utilise les paramètres que vous avez spécifiés pour chaque ID utilisateur dans la requête. Ce flux génère une liste de données d'exécution et l'envoie à Yubico pour les envois via le flux Créer un envoi.
Paramètre de demande
La demande au point de terminaison de l'API utilise les paramètres suivants.
|
Paramètre |
Description |
Type de paramètre |
Type de données |
Obligatoire |
|---|---|---|---|---|
|
userId |
L'ID utilisateur dans Okta. |
Corps |
Chaîne |
TRUE |
|
fulfillmentProvider |
Le nom du fournisseur d'exécution des envois (yubico). |
Corps |
Chaîne |
TRUE |
|
fulfillmentData |
Les détails de la YubiKey à affecter à l'utilisateur. |
Corps |
Tableau |
TRUE |
|
productId |
L'ID produit de la YubiKey à affecter à l'utilisateur. |
Corps |
Chaîne |
TRUE |
|
customizationId |
L'ID de personnalisation de la YubiKey à affecter à l'utilisateur. |
Corps |
Chaîne |
TRUE |
|
inventoryProductId |
L'ID de produit de l'inventaire de la YubiKey à affecter à l'utilisateur. |
Corps |
Chaîne |
TRUE |
Expérience de l'administrateur une fois l'envoi déclenché
Chaque fois qu'un événement d'envoi est déclenché dans Okta Workflows, un événement est également enregistré dans votre console Yubico. Le code PIN YubiKey est envoyé à l'utilisateur lorsque la clé est activée. Renvoyez le code PIN en cliquant sur Envoyer un code PIN à côté du numéro de la clé.
Vous ne pouvez pas inscrire une nouvelle clé de sécurité pour un utilisateur tant que l'envoi de clés existant n'a pas été effectué. Si vous souhaitez inscrire une autre clé de sécurité à ce stade, supprimez d'abord l'envoi de la clé de sécurité existante, puis annulez le processus d'exécution de la clé dans la console Yubico. Lorsque vous supprimez cette YubiKey, l'inscription de la clé et les informations d'identification de utilisateur sont définitivement supprimées.
La YubiKey peut avoir l'un des statuts suivants :
- Traitement lancé : Okta a commencé le flux d'inscription et d'exécution avec Yubico.
- Erreur de traitement : Une erreur s'est produite pendant le processus de traitement. Vérifiez l'historique d'exécution du pack de flux Okta Workflows pour obtenir des détails supplémentaires. Il peut s'agir d'une erreur temporaire. La révision du flux d'exécution existant et la nouvelle tentative du processus au point d'échec peut résoudre le problème.
- Expédié : Yubico a notifié Okta que la clé est définie et a été livrée. La clé n'a pas encore été utilisée. Le code PIN est disponible et peut être envoyé à l'utilisateur.
- Active : la clé a été utilisée pour connexion à Okta. Le code PIN stocké dans Okta a été effacé.