ワンタイムパスワード用にYubiKey OTPを構成する

YubiKeyは、物理的な多要素認証デバイスとして使用されるセキュリティキーのブランドです。YubiKeyを使用するには、サインイン時にYubiKeyをコンピューターのUSBポートに挿入し、プロンプトが表示されたらYubiKeyのボタンをタップします。YubiKeyは、ユーザーが提示するYubiKeyのタイプに応じて、ワンタイムパスワード(OTP)の提供、または指紋(生体認証)の検証を行うことができます。

このトピックでは、ワンタイムパスワードモードを使用してYubiKeyを設定および管理する手順について説明します。生体認証検証としてYubiKeyをセットアップおよび管理する方法については、「FIDO2(WebAuthn)オーセンティケーターの構成」を参照してください。

OTPモードのYubiKeyは、フィッシング耐性のあるオーセンティケーターではありません。

YubiKeyを使用してワンタイムパスワードを生成するようにorgを設定するには、YubiKeyのメーカーであるYubicoのツールを使用して、インポートするYubiKeyの.csvファイルを生成します。次に、YubiKey OTPオーセンティケーターをアクティブ化し、.csvファイルをインポートします。エンドユーザーは、次回Oktaにサインインするときに自分でYubiKeyをアクティブ化します。

トピック

開始する前に

ワンタイムパスワードモードでYubiKey OTPオーセンティケーターを有効にする前に、YubiKey Personalization Toolを使用してYubiKeyを構成し、YubiKey Seed File(YubiKey Secrets Fileとも呼ばれます)を生成する必要があります。YubiKey Seed Fileは.csv形式で、OktaにアップロードしてYubiKeyをアクティブ化します。手順については、「Programming YubiKeys for Okta Adaptive Multi-Factor Authentication」を参照してください。YubiKey Seed Fileの生成が完了したら、安全な場所に保存します。

YubiKeyに関連付ける公開鍵と秘密鍵の情報がないため、YubiKey Seed Fileを手動で作成しないでください。YubiKeyが正しく機能しない可能性があります。

YubiKeyを構成し、YubiKey Seed FileをOktaにアップロードしたら、YubiKeyをエンドユーザーに配布できます。

YubiKey OTPオーセンティケーターをアクティブ化してYubiKeyを追加する

このオーセンティケーターをアクティブ化するには、同時にYubiKeyを追加する必要があります。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Add Authenticator(オーセンティケーターを追加)]をクリックします。
  3. [Add YubiKey OTP(YubiKey OTPを追加)]オプションの下にある[Add YubiKeys(YubiKeyを追加)]をクリックします。[Add YubiKey(YubiKeyを追加)]ダイアログが表示されます。
  4. [Upload YubiKey Seed File(YubiKeyのseedファイルをアップロード)]フィールドの横にある[Browse(参照)]をクリックします。ファイルセレクターウィンドウが表示されます。
  5. YubiKey Personalization Toolを使用して作成したYubiKey Seed Fileを選択し、[Open(開く)]をクリックします。
  6. [Upload Seed File(seedファイルをアップロード)]をクリックします。[File uploaded(ファイルをアップロードしました)]という確認メッセージが表示されます。
  7. [Add(追加)]をクリックします。[Authenticators(オーセンティケーター)]ページが表示され、YubiKey OTPオーセンティケーターがリストに表示されます。

YubiKeyのユーザー割り当てとステータスを表示する

YubiKeyを追加したら、YubiKey Reportをチェックして、YubiKeyが正しく追加されたことを確認し、各YubiKeyのステータスを表示できます。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Authenticators(オーセンティケーター)]ページで、YubiKey OTPオーセンティケーターの[Actions(アクション)]をクリックし、[YubiKey OTP Report(YubiKey OTPレポート)]を選択します。[YubiKey OTP Report(YubiKey OTPレポート)]ページが表示されます。
  3. [Filters(フィルター)]ペインの条件を使用して、検索をカスタマイズします。
  4. [Status(ステータス)]列で、各YubiKeyのステータスを確認します。
  • エンドユーザーがYubiKeyを登録するまで、ステータスは[UNASSIGNED(未割り当て)]と表示されます。
  • エンドユーザーがYubiKeyを登録すると、ステータスが[ACTIVE(アクティブ)]に変わります。
  • YubiKeyを取り消すと、ステータスは[REVOKED(取り消されました)]に変わります。

YubiKeyを取り消す

紛失または盗難の報告があった場合などに、YubiKeyを取り消すと、単一のYubiKeyを廃止できます。また、YubiKeyを取り消すと、割り当てられたユーザーとの関連付けも削除されます。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Authenticators(オーセンティケーター)]ページで、YubiKeyオーセンティケーターの[Actions(アクション)]をクリックし、[YubiKey OTP Report(YubiKey OTPレポート)]を選択します。[YubiKey OTP Report(YubiKey OTPレポート)]ページが表示されます。
  3. [Filters(フィルター)]ペインの条件を使用して、検索をカスタマイズします。
  4. 取り消したいYubiKeyを見つけたら、そのシリアル番号を選択してクリップボードにコピーします。
  5. [Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  6. YubiKey OTPオーセンティケーターの[Actions(アクション)]をクリックし、[Revoke YubiKey(YubiKeyを取り消す)]を選択します。[Revoke YubiKey(YubiKeyを取り消す)]ページが表示されます。
  7. シリアル番号を[YubiKey serial number(YubiKeyのシリアル番号)]フィールドに貼り付け、[Find(探す)]をクリックします。YubiKeyに関する情報が表示されます。
  8. [Revoke(取り消す)]をクリックします。確認メッセージが表示されます。
  9. [Close(閉じる)]をクリックします。

YubiKey OTPオーセンティケーターを削除する

YubiKeyオーセンティケーターを削除すると、ワンタイムパスワードモードに使用されているすべてのYubiKeyも削除されます。生体認証モードで使用されているYubiKeyは削除されません。このアクションは元に戻せません。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. YubiKeyオーセンティケーターの[Actions(アクション)]をクリックし、[Delete(削除)]を選択します。[Delete YubiKey OTP Authenticator(YubiKey OTPオーセンティケーターを削除)]プロンプトが表示されます。
  3. [Delete(削除)]をクリックします。

エンドユーザーエクスペリエンス

YubiKeyをデスクトップブラウザーに初めて登録する

エンドユーザーは、新しくプロビジョニングされたYubiKeyを受け取ったら、次の手順を実行して自分でアクティブ化できます。

  1. Oktaにサインインします。
  2. Okta Sign-in Widget[Set up security methods(セキュリティ方法のセットアップ)]ページで、[YubiKey OTP Authenticator(YubiKey OTPオーセンティケーター)]の下の[Set up(セットアップ)]をクリックします。[Set up YubiKey OTP(YubiKey OTPのセットアップ)]ページが表示されます。
  3. YubiKeyを挿入し、プロンプトが表示されたらボタンをタップします。
  4. [Review(確認)]をクリックします。[Set up security methods(セキュリティ方法の設定)]ページが表示されます。
  5. [Finish(終了)]をクリックします。

以降のデスクトップブラウザーのサインオンでYubiKeyをOTPモードで使用する

エンドユーザーは、YubiKeyをワンタイムパスワード用にアクティブ化すると、以降のサインオンで多要素認証に使用できます。

  1. Oktaにサインインします。
  2. [Verify with YubiKey(YubiKeyで検証)]ページが表示されたら、YubiKeyを挿入します。そして、プロンプトが表示されたら、ボタンをタップします。

OktaはYubiKeyでセッションカウンターを使用するため、YubiKeyをOTPモードで使用してサインインすると、以前に発行されたOTPはすべて、Oktaに提供するOTPによって無効になります。ただし、これらのOTPは、他のWebサイトでの使用にはまだ有効な場合があります。

YubiKeyをNFCモードでiOSデバイスに登録する

YubiKeyは、NFCをサポートするiOSデバイスにNFCモードで登録できます。

  1. iOSデバイスでOktaにサインインします。[Set up multifactor authentication(多要素認証のセットアップ)]画面が表示されます。
  2. [Security Key or Biometric Authenticator(セキュリティキーまたは生体認証オーセンティケーター)][Setup(セットアップ)]をタップし、[Enroll(登録)]をタップします。[Sign In(サインイン)]プロンプトが表示されます。
  3. [Continue(続行)]をタップします。プロンプトが表示されたら、YubiKeyをiOSデバイスの上部近くにかざします。[Set up multifactor authentication(多要素認証のセットアップ)]画面が表示されます。
  4. [YubiKey]の下の[Setup(セットアップ)]をタップします。[Setup YubiKey(YubiKeyのセットアップ)]ページが表示されます。
  5. YubiKeyをiOSデバイスの上部近くにかざします。
  6. iOSデバイスのサイドボタンまたはトップボタンを押して画面を閉じ、画面をタップして通知を表示します。[Website NFC Tag(WebサイトNFCタグ)]通知をタップします。[YubiKey NFC]画面が表示されます。
  7. [Copy to Clipboard(クリップボードにコピー)]をタップし、サインインしていたブラウザーに戻ります。
  8. フィールドを長押しし、[Paste(貼り付け)]をタップします。
  9. [Verify(検証)]をタップします。[Set up multifactor authentication(多要素認証のセットアップ)]画面が表示されます。
  10. [Finish(終了)]をタップします。これでOktaにサインインされます。

YubiKey OTPオーセンティケーターをNFCモードで使用する

YubiKeyをNFCモードで使用して、NFCをサポートするiOSデバイスにサインインできます。

  1. iOSデバイスでOktaにサインインします。
  2. オーセンティケーターアイコンの横にある矢印メニューをタップし、[YubiKey OTP]オーセンティケーターを選択します。
  3. [YubiKey OTP]画面が表示されます。
  4. [Click here(ここをクリック)]をタップし、[YubiKey]フィールドをタップします。
  5. YubiKeyをiOSデバイスの上部近くにかざします。
  6. iOSデバイスのサイドボタンまたはトップボタンを押して画面を閉じ、画面をタップして通知を表示します。[Website NFC Tag(WebサイトNFCタグ)]通知をタップします。[YubiKey NFC]画面が表示されます。
  7. [Copy to Clipboard(クリップボードにコピー)]をタップし、サインインしていたブラウザーに戻ります。
  8. フィールドを長押しし、[Paste(貼り付け)]をタップします。
  9. [Verify(検証)]をタップします。これでOktaにサインインされます。

[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証オーセンティケーター)]オプションを使用する

FIDO2(WebAuthn)オーセンティケーターを使用する[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証オーセンティケーター)]オプションを選択して、YubiKeyをNFCモードで使用し、NFCをサポートするiOSデバイスにサインインできます。

  1. iOSデバイスでOktaにサインインします。
  2. 認証アイコンの横にある矢印メニューをタップし、[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証オーセンティケーター)]オプションを選択します。[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証オーセンティケーター)]画面が表示されます。
  3. [Verify(検証)]をタップします。[Sign In(サインイン)]プロンプトが表示されます。
  4. YubiKeyをiOSデバイスの上部近くにかざします。これでOktaにサインインされます。

関連項目

多要素認証

FIDO2(WebAuthn)オーセンティケーターの構成