YubiKey OTP Authenticatorを構成する

YubiKeyワンタイムパスコード( OTP)Authenticatorは、ハードウェアで保護されたデバイスバウンド所有要素です。エンドユーザーはYubiKeyハードトークンを押してOTPを発行し、アカウントに安全にサインインします。

OTPモードのYubiKeyは、フィッシング耐性のあるAuthenticatorではなく、生体認証を使用しません。YubiKeyをフィッシング耐性のある生体認証要素として使用する場合は、「パスキー(FIDO2 WebAuthn)Authenticatorを構成する」を参照してください。

開始する前の確認事項

OktaYubiKey OTP Authenticatorを構成するには、次が必要です。

  • YubiKey Personalization Toolへのアクセス権が設定されたYubicoアカウント。
  • ツールを使って作成されたYubiKey Seedファイル(YubiKey OTPシークレットファイルとも呼ばれます)。ファイルはCSV形式である必要があります。手動で作成したSeedファイルは正しく機能しない場合があります。

YubiKey OTP Authenticatorを追加する

  1. Admin Consoleで、セキュリティ(Security) > Authenticatorに移動します。

  2. 設定(Setup)タブで、Authenticatorを追加(Add Authenticator)をクリックします。

  3. YubiKeyOTPタイルで追加(Add)をクリックします。
  4. YubiKey Seedファイルをアップロードします。

  5. 追加(Add)をクリックします。Authenticatorが設定(Setup)タブのリストに表示されます。

Authenticator登録ポリシーにYubiKey OTPを追加する

Authenticator(Authenticators)で、登録(Enrollment)タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。Authenticator登録ポリシーを作成するを参照してください。

YubiKey OTP Authenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. Authenticator(Authenticators)で、設定(Setup)タブに移動します。
  2. Authenticatorの横にあるアクション(Actions)ドロップダウンメニューを開き、編集(Edit)または削除(Delete)を選択します。

YubiKey Authenticatorを削除すると、OTPモードで使用されているすべてのYubiKeyも削除されます。生体認証モードで使用されているYubiKeyは削除されません。

YubiKeyの割り当てとステータスを表示する

YubiKeyが正しく追加されたことを確認するには、YubiKey OTPレポートを使用します。各YubiKeyのユーザー割り当てとステータスも表示できます。

  1. Authenticatorで、セットアップYubiKeyOTP(Setup OTP) > アクション(Actions)に移動します。 YubiKeyOTPレポート(OTP Report)を選択します。
  2. レポート(Reports)ページでYubiKeyを検索して探し、割り当てとステータスを表示します。

YubiKeyのステータスは次のいずれかとなります。

  • 割り当て解除(Unassaigned)(Unassigned):エンドユーザーはまだYubiKeyを登録していません。
  • アクティブ(Active):エンドユーザーはYubiKeyを登録しました。
  • 消されました(Revoked)YubiKeyは取り消されました。

YubiKeyを取り消す

YubiKeyを取り消すことで、YubiKeyを廃止したり(紛失または盗難された場合など)、そのユーザー割り当てを削除したりできます。

  1. Authenticatorで、セットアップYubiKeyOTP(Setup OTP) > アクション(Actions)に移動します。 YubiKeyOTPレポート(OTP Report)を選択します。
  2. レポート(Reports)ページで取り消すYubiKeyを探し、シリアル番号をコピーします。
  3. アクション(Actions)に戻り、取り消す(Revoke)YubiKey を選択します。
  4. シリアル番号を貼り付けてYubiKeyを探し、取り消す(Revoke)をクリックします。

ユーザーに割り当てられているYubiKeyは削除できません。取り消しや再割り当てを行った場合でも、YubiKeyは引き続きレポートに表示されます。アクティブなYubiKeyのシリアル番号は削除できません。

YubiKeyを再割り当てする

YubiKeyを別のユーザーに再割り当てするには、事前に元のユーザーのYubiKey Authenticatorをリセットします。

  1. Admin Consoleで、ディレクトリ(Directory) > ユーザー(People)に進みます。

  2. プロファイルを開くユーザーを検索して名前をクリックします。
  3. その他のアクション(More actions) > Authenticatorをリセット(Reset authenticators)をクリックします。
  4. ユーザーのYubiKey Authenticatorをリセットします。

次に、新しいユーザーにYubiKeyを再割り当てします。

  1. Authenticatorで、セットアップYubiKey OTP(Setup OTP)に移動します。
  2. 再割り当てするYubiKeyを取り消します。
  3. seedファイルを使ってそれを再アップロードします。
  4. 新しいユーザーにそれを割り当てます。

後から見つかった喪失YubiKeyを再割り当てしないでください。そのYubiKeyは破棄し、ユーザー用に新しいYubiKeyを構成します。

エンドユーザーエクスペリエンス

最初のサインインフロー中にエンドユーザーには、YubiKey OTP Authenticatorのセットアップが求められます。OktaYubiKeyを登録したユーザーは、それをサインインに使用します。YubiKeyでは、Oktaはセッションカウンターを使用します。最新のOTPによって、以前のOTPはすべて無効になります。これらのOTPは、他のWebサイトでの使用であれば、まだ有効である可能性があります。

Oktaでは、Oktaに登録されたサードパーティOTP Authenticatorから試行された認証の失敗にレート制限が適用されます。このAuthenticatorには、Google Authenticator、Symantec VIP、YubiKey OTPが含まれます。レート制限は、これらのいずれかまたはすべてのAuthenticatorから5分間で合計5回試行に失敗すると発生します。ユーザーがこのレート制限を超過すると、レート制限が終わるまでサインインできなくなります。このような試行はシステムログに記録されます。

エンドユーザーのタスク

YubiKey OTPをセキュリティ方式として構成できるように、これらの手順をエンドユーザーに伝えてください。

YubiKeyをデスクトップブラウザーに登録する

新たにプロビジョニングされたYubiKeyを受け取ったエンドユーザーは、次の手順でそれをアクティブ化できます。

  1. orgのサインインページに移動します。ユーザー名と必要なその他の資格情報を指定します。

  2. セキュリティ方式のセットアップ(Set up security methods)ページで YubiKeyOTP Authenticatorセットアップ(Set up)をクリックします。セットアップYubiKey OTP(Set up OTP)ページが表示されます。
  3. YubiKeyを挿入し、プロンプトが表示されたらボタンをタップします。
  4. 確認(Verify)をクリックします。セキュリティ方式のセットアップ(Set up security methods)ページが表示されます。
  5. 終了(Finish)をクリックします。

OTPモードのYubiKeyを使ってデスクトップブラウザーにサインインする

OTPのYubiKeyをアクティブ化したエンドユーザーは、サインイン時の多要素認証にこれを使用できます。サインインプロセス中に確認する(Verify with)YubiKey ページが表示されたら、YubiKeyを挿入します。プロンプトが表示されたらボタンをタップし、ブラウザーに示される手順に従います。

NFCモードのYubiKeyをモバイルデバイスに登録する

エンドユーザーは、NFCをサポートするモバイルデバイスにNFCモードのYubiKeyを登録できます。

  1. モバイルデバイスのOktaにサインインします。多要素認証のセットアップ(Set up multifactor authentication)ページが表示されます。
  2. セキュリティキーまたは生体認証Authenticator(Security Key or Biometric Authenticator)(Setup)セットアップ(Setup)(Security Key or Biometric Authenticator)をタップし、登録(Enroll)をタップします。サインイン(Sign In)プロンプトが表示されます。
  3. 続ける(Continue)をタップします。プロンプトが表示されたら、YubiKeyをモバイルデバイスの近くにかざします。多要素認証のセットアップ(Set up multifactor authentication)ページが表示されます。
  4. YubiKey の下のセットアップ(Setup)をタップします。YubiKeyの設定(Set up YubiKey)(Setup YubiKey)ページが表示されます。YubiKeyをモバイルデバイスの近くにかざします。
  5. デバイスのサイドボタンまたはトップボタンを押してページを閉じ、ページをタップして通知を表示します。
  6. WebサイトNFCタグ(Website NFC Tag)通知をタップします。 YubiKeyNFCページが表示されます。
  7. クリップボードにコピー(Copy to Clipboard)をタップし、サインインしていたブラウザーに戻ります。
  8. フィールドを長押しし、貼り付け(Paste)をタップします。
  9. 検証(Verify)をタップします。多要素認証のセットアップ(Set up multifactor authentication)ページが表示されます。
  10. 終了(Finish)をタップします。

NFCモードのYubiKey OTP Authenticatorを使用する

エンドユーザーはNFCモードのYubiKeyを使用して、NFCをサポートするモバイルデバイスにサインインできます。

  1. モバイルデバイスのOktaにサインインします。
  2. Authenticatorアイコンの横にある矢印メニューをタップし、 YubiKeyOTP Authenticatorを選択します。 YubiKeyOTP ページが表示されます。
  3. ここをクリックしてタップ以下をタップ(Click here, and then tap your )YubiKey フィールドをタップします。
  4. YubiKeyをモバイルデバイスの近くにかざします。
  5. モバイルデバイスのサイドボタンまたはトップボタンを押してページを閉じ、ページをタップして通知を表示します。
  6. WebサイトNFCタグ(Website NFC Tag)通知をタップします。 YubiKeyNFCページが表示されます。
  7. クリップボードにコピー(Copy to Clipboard)をタップし、サインインしていたブラウザーに戻ります。
  8. フィールドを長押しし、貼り付け(Paste)をタップします。
  9. 検証(Verify)をタップします。

セキュリティキーまたは生体認証Authenticatorオプションを使用する

エンドユーザーは、YubiKeyをセキュリティキーまたは生体認証Authenticatorとして使用することもできます。この方式では、パスキー(FIDO2 WebAuthn)Authenticatorを使用して、セキュリティキーのNFCモードを使ってモバイルデバイスにサインインします。

  1. モバイルデバイスのOktaにサインインします。
  2. Authenticatorアイコンの横にある矢印メニューをタップし、セキュリティキーまたは生体認証Authenticator(Security Key or Biometric Authenticator)オプションを選択します。セキュリティキーまたは生体認証Authenticator(Security Key or Biometric Authenticator)ページが表示されます。
  3. 検証(Verify)をタップします。サインイン(Sign In)プロンプトが表示されます。
  4. モバイルデバイスの近くにYubiKeyをかざし、デバイスに示される手順に従います。

関連項目

多要素認証(Multifactor Authentication)

次の事前登録されたものを使用してユーザーをオンボーディングするYubiKey