ワンタイムパスワード用にYubiKey OTPを構成する
YubiKeyは、物理的な多要素認証デバイスとして使用されるセキュリティキーのブランドです。YubiKeyを使用するには、サインイン時にYubiKeyをコンピューターのUSBポートに挿入し、プロンプトが表示されたらYubiKeyのボタンをタップします。YubiKeyは、ユーザーが提示するYubiKeyのタイプに応じて、ワンタイムパスワード(OTP)の提供、または指紋(生体認証)の検証を行うことができます。
このトピックでは、ワンタイムパスワードモードを使用してYubiKeyを設定および管理する手順について説明します。生体認証検証としてYubiKeyをセットアップおよび管理する方法については、「FIDO2(WebAuthn)オーセンティケーターの構成」を参照してください。
OTPモードのYubiKeyは、フィッシング耐性のあるオーセンティケーターではありません。
YubiKeyを使用してワンタイムパスワードを生成するようにorgを設定するには、YubiKeyのメーカーであるYubicoのツールを使用して、インポートするYubiKeyの.csvファイルを生成します。次に、YubiKey OTPオーセンティケーターをアクティブ化し、.csvファイルをインポートします。エンドユーザーは、次回Oktaにサインインするときに自分でYubiKeyをアクティブ化します。
トピック
- 開始する前に
- YubiKey OTPオーセンティケーターをアクティブ化してYubiKeyを追加する
- YubiKeyのユーザー割り当てとステータスを表示する
- YubiKeyを取り消す
- YubiKey OTPオーセンティケーターを削除する
- エンドユーザーエクスペリエンス:YubiKeyの初回登録
- エンドユーザーエクスペリエンス:以降のサインオンでYubiKeyを使用
開始する前に
ワンタイムパスワードモードでYubiKey OTPオーセンティケーターを有効にする前に、YubiKey Personalization Toolを使用してYubiKeyを構成し、YubiKey Seed File(YubiKey Secrets Fileとも呼ばれます)を生成する必要があります。YubiKey Seed Fileは.csv形式で、OktaにアップロードしてYubiKeyをアクティブ化します。手順については、「Programming YubiKeys for Okta Adaptive Multi-Factor Authentication」を参照してください。YubiKey Seed Fileの生成が完了したら、安全な場所に保存します。
各YubiKeyに関連付ける公開鍵と秘密鍵の情報がないため、YubiKey Seed Fileを手動で作成しないでください。YubiKeyが正しく機能しない可能性があります。
YubiKeyを構成し、YubiKey Seed FileをOktaにアップロードしたら、YubiKeyをエンドユーザーに配布できます。
YubiKey OTPオーセンティケーターをアクティブ化してYubiKeyを追加する
このオーセンティケーターをアクティブ化するには、同時にYubiKeyを追加する必要があります。
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Add Authenticator(オーセンティケーターを追加)]をクリックします。
- [Add YubiKey OTP(YubiKey OTPを追加)]オプションの下にある[Add YubiKeys(YubiKeyを追加)]をクリックします。[Add YubiKey(YubiKeyを追加)]ダイアログが表示されます。
- [Upload YubiKey Seed File(YubiKeyのseedファイルをアップロード)]フィールドの横にある[Browse(参照)]をクリックします。ファイルセレクターウィンドウが表示されます。
- YubiKey Personalization Toolを使用して作成したYubiKey Seed Fileを選択し、[Open(開く)]をクリックします。
- [Upload Seed File(seedファイルをアップロード)]をクリックします。[File uploaded(ファイルをアップロードしました)]という確認メッセージが表示されます。
- [Add(追加)]をクリックします。[Authenticators(オーセンティケーター)]ページが表示され、YubiKey OTPオーセンティケーターがリストに表示されます。
YubiKeyのユーザー割り当てとステータスを表示する
YubiKeyを追加したら、YubiKey Reportをチェックして、YubiKeyが正しく追加されたことを確認し、各YubiKeyのステータスを表示できます。
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Authenticators(オーセンティケーター)]ページで、YubiKey OTPオーセンティケーターの[Actions(アクション)]をクリックし、[YubiKey OTP Report(YubiKey OTPレポート)]を選択します。[YubiKey OTP Report(YubiKey OTPレポート)]ページが表示されます。
- [Filters(フィルター)]ペインの条件を使用して、検索をカスタマイズします。
- [Status(ステータス)]列で、各YubiKeyのステータスを確認します。
- エンドユーザーがYubiKeyを登録するまで、ステータスは[UNASSIGNED(未割り当て)]と表示されます。
- エンドユーザーがYubiKeyを登録すると、ステータスが[ACTIVE(アクティブ)]に変わります。
- YubiKeyを取り消すと、ステータスは[REVOKED(取り消されました)]に変わります。
YubiKeyを取り消す
紛失または盗難の報告があった場合などに、YubiKeyを取り消すと、単一のYubiKeyを廃止できます。また、YubiKeyを取り消すと、割り当てられたユーザーとの関連付けも削除されます。
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Authenticators(オーセンティケーター)]ページで、YubiKeyオーセンティケーターの[Actions(アクション)]をクリックし、[YubiKey OTP Report(YubiKey OTPレポート)]を選択します。[YubiKey OTP Report(YubiKey OTPレポート)]ページが表示されます。
- [Filters(フィルター)]ペインの条件を使用して、検索をカスタマイズします。
- 取り消したいYubiKeyを見つけたら、そのシリアル番号を選択してクリップボードにコピーします。
- [Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- YubiKey OTPオーセンティケーターの[Actions(アクション)]をクリックし、[Revoke YubiKey(YubiKeyを取り消す)]を選択します。[Revoke YubiKey(YubiKeyを取り消す)]ページが表示されます。
- シリアル番号を[YubiKey serial number(YubiKeyのシリアル番号)]フィールドに貼り付け、[Find(探す)]をクリックします。YubiKeyに関する情報が表示されます。
- [Revoke(取り消す)]をクリックします。確認メッセージが表示されます。
- [Close(閉じる)]をクリックします。
YubiKey OTPオーセンティケーターを削除する
YubiKeyオーセンティケーターを削除すると、ワンタイムパスワードモードに使用されているすべてのYubiKeyも削除されます。生体認証モードで使用されているYubiKeyは削除されません。このアクションは元に戻せません。
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- YubiKeyオーセンティケーターの[Actions(アクション)]をクリックし、[Delete(削除)]を選択します。[Delete YubiKey OTP Authenticator(YubiKey OTPオーセンティケーターを削除)]プロンプトが表示されます。
- [Delete(削除)]をクリックします。
エンドユーザーエクスペリエンス
YubiKeyをデスクトップブラウザーに初めて登録する
エンドユーザーは、新しくプロビジョニングされたYubiKeyを受け取ったら、次の手順を実行して自分でアクティブ化できます。
- Oktaにサインインします。
- Okta Sign-in Widgetの[Set up security methods(セキュリティ方法のセットアップ)]ページで、[YubiKey OTP Authenticator(YubiKey OTPオーセンティケーター)]の下の[Set up(セットアップ)]をクリックします。[Set up YubiKey OTP(YubiKey OTPのセットアップ)]ページが表示されます。
- YubiKeyを挿入し、プロンプトが表示されたらボタンをタップします。
- [Review(確認)]をクリックします。[Set up security methods(セキュリティ方法の設定)]ページが表示されます。
- [Finish(終了)]をクリックします。
以降のデスクトップブラウザーのサインオンでYubiKeyをOTPモードで使用する
エンドユーザーは、YubiKeyをワンタイムパスワード用にアクティブ化すると、以降のサインオンで多要素認証に使用できます。
- Oktaにサインインします。
- [Verify with YubiKey(YubiKeyで検証)]ページが表示されたら、YubiKeyを挿入します。そして、プロンプトが表示されたら、ボタンをタップします。
OktaはYubiKeyでセッションカウンターを使用するため、YubiKeyをOTPモードで使用してサインインすると、以前に発行されたOTPはすべて、Oktaに提供するOTPによって無効になります。ただし、これらのOTPは、他のWebサイトでの使用にはまだ有効な場合があります。
YubiKeyをNFCモードでiOSデバイスに登録する
YubiKeyは、NFCをサポートするiOSデバイスにNFCモードで登録できます。
- iOSデバイスでOktaにサインインします。[Set up multifactor authentication(多要素認証のセットアップ)]画面が表示されます。
- [Security Key or Biometric Authenticator(セキュリティキーまたは生体認証オーセンティケーター)]の[Setup(セットアップ)]をタップし、[Enroll(登録)]をタップします。[Sign In(サインイン)]プロンプトが表示されます。
- [Continue(続行)]をタップします。プロンプトが表示されたら、YubiKeyをiOSデバイスの上部近くにかざします。[Set up multifactor authentication(多要素認証のセットアップ)]画面が表示されます。
- [YubiKey]の下の[Setup(セットアップ)]をタップします。[Setup YubiKey(YubiKeyのセットアップ)]ページが表示されます。
- YubiKeyをiOSデバイスの上部近くにかざします。
- iOSデバイスのサイドボタンまたはトップボタンを押して画面を閉じ、画面をタップして通知を表示します。[Website NFC Tag(WebサイトNFCタグ)]通知をタップします。[YubiKey NFC]画面が表示されます。
- [Copy to Clipboard(クリップボードにコピー)]をタップし、サインインしていたブラウザーに戻ります。
- フィールドを長押しし、[Paste(貼り付け)]をタップします。
- [Verify(検証)]をタップします。[Set up multifactor authentication(多要素認証のセットアップ)]画面が表示されます。
- [Finish(終了)]をタップします。これでOktaにサインインされます。
YubiKey OTPオーセンティケーターをNFCモードで使用する
YubiKeyをNFCモードで使用して、NFCをサポートするiOSデバイスにサインインできます。
- iOSデバイスでOktaにサインインします。
- オーセンティケーターアイコンの横にある矢印メニューをタップし、[YubiKey OTP]オーセンティケーターを選択します。
- [YubiKey OTP]画面が表示されます。
- [Click here(ここをクリック)]をタップし、[YubiKey]フィールドをタップします。
- YubiKeyをiOSデバイスの上部近くにかざします。
- iOSデバイスのサイドボタンまたはトップボタンを押して画面を閉じ、画面をタップして通知を表示します。[Website NFC Tag(WebサイトNFCタグ)]通知をタップします。[YubiKey NFC]画面が表示されます。
- [Copy to Clipboard(クリップボードにコピー)]をタップし、サインインしていたブラウザーに戻ります。
- フィールドを長押しし、[Paste(貼り付け)]をタップします。
- [Verify(検証)]をタップします。これでOktaにサインインされます。
[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証オーセンティケーター)]オプションを使用する
FIDO2(WebAuthn)オーセンティケーターを使用する[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証オーセンティケーター)]オプションを選択して、YubiKeyをNFCモードで使用し、NFCをサポートするiOSデバイスにサインインできます。
- iOSデバイスでOktaにサインインします。
- 認証アイコンの横にある矢印メニューをタップし、[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証オーセンティケーター)]オプションを選択します。[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証オーセンティケーター)]画面が表示されます。
- [Verify(検証)]をタップします。[Sign In(サインイン)]プロンプトが表示されます。
- YubiKeyをiOSデバイスの上部近くにかざします。これでOktaにサインインされます。