YubiKey OTP Authenticatorを構成する

YubiKey OTP(ワンタイムパスコード)Authenticatorは、ハードウェアで保護されたデバイスバウンド所有要素です。エンドユーザーはYubiKeyハードトークンを押してOTPを発行し、アカウントに安全にサインインします。

OTPモードのYubiKeyは、フィッシング耐性のあるAuthenticatorではなく、生体認証を使用しません。YubiKeyをフィッシング特性のある生体認証要素として使用する場合は、「WebAuthn(FIDO2)Authenticatorの構成」を参照してください。

はじめに

OktaYubiKey OTP Authenticatorを構成するには、次が必要です。

  • YubiKeyパーソナライゼーションツールへのアクセス権が設定されたYubicoアカウント。
  • ツールを使って作成されたYubiKey Seedファイル(YubiKey OTPシークレットファイルとも呼ばれます)。ファイルはCSV形式である必要があります。手動で作成したSeedファイルは正しく機能しない場合があります。

YubiKey OTP Authenticatorを追加する

  1. Admin Console[Security(セキュリティ)][Authenticator(オーセンティケーター)]に移動します。

  2. [設定]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。

  3. [YubiKey OTP]タイルの[Add(追加)]をクリックします。
  4. YubiKey Seedファイルをアップロードします。
  5. [Add(追加)]をクリックします。[Setup(設定)]タブのリストにオーセンティケーターが表示されます。

Authenticator登録ポリシーにYubiKey OTPを追加する

[Authenticator][Enrollment(登録)]タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。「Authenticator登録ポリシーを作成する」を参照してください。

YubiKey OTP Authenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. [Authenticator]で、[Setup(設定)]タブに移動します。
  2. Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。

YubiKey Authenticatorを削除すると、OTPモードで使用されているすべてのYubiKeyも削除されます。生体認証モードで使用されているYubiKeyは削除されません。

YubiKeyの割り当てとステータスを表示する

YubiKeyが正しく追加されたことを確認するには、YubiKey OTPレポートを使用します。各YubiKeyのユーザー割り当てとステータスも表示できます。

  1. [Authenticator][Setup(セットアップ)][YubiKey][OTP] [Acctions(アクション)]に移動します。YubiKey OTP Report(YubiKey OTPレポート)]を選択します。
  2. [Reports(レポート)]ページでYubiKeyを検索して探し、割り当てとステータスを表示します。

YubiKeyのステータスは次のいずれかとなります。

  • [Unassaigned(割り当て解除)]:エンドユーザーはまだYubiKeyを登録していません。
  • [Active(アクティブ)]:エンドユーザーはYubiKeyを登録しました。
  • [Revoked(消されました)]YubiKeyは取り消されました。

YubiKeyを取り消す

YubiKeyを取り消すことで、YubiKeyを廃止したり(紛失または盗難された場合など)、そのユーザー割り当てを削除したりできます。

  1. [Authenticator][Setup(セットアップ)][YubiKey][OTP] [Acctions(アクション)]に移動します。YubiKey OTP Report(YubiKey OTPレポート)]を選択します。
  2. [Reports(レポート)]ページで取り消すYubiKeyを探し、シリアル番号をコピーします。
  3. [Actions(アクション)]に戻り、[Revoke YubiKey(YubiKeyを取り消す)]を選択します。
  4. シリアル番号を貼り付けてYubiKeyを探し、[Revoke(取り消す)]をクリックします。

ユーザーに割り当てられているYubiKeyは削除できません。取り消しや再割り当てを行った場合でも、引き続きYubiKeyレポートに表示されます。アクティブなYubiKeyのシリアル番号は削除できません。

YubiKeyを再割り当てする

YubiKeyを別のユーザーに再割り当てするには、事前に元のユーザーのYubiKey Authenticatorをリセットします。

  1. Admin Console[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. プロファイルを開くユーザーを検索して名前をクリックします。
  3. [More Actions(その他のアクション)] [Reset Authenticator(Authenticatorをリセット)]をクリックします。
  4. ユーザーのYubiKey Authenticatorをリセットします。

次に、新しいユーザーにYubiKeyを再割り当てします。

  1. [Authenticator][Setup YubiKey OTP(YubiKey OTPのセットアップ)]に移動します。
  2. 再割り当てするYubiKeyを取り消します。
  3. seedファイルを使ってそれを再アップロードします。
  4. 新しいユーザーにそれを割り当てます。

後から見つかった喪失YubiKeyを再割り当てしないでください。そのYubiKeyは破棄し、ユーザー用に新しいYubiKeyを構成します。

エンドユーザーエクスペリエンス

最初のサインインフロー中にエンドユーザーには、YubiKey OTP Authenticatorのセットアップが求められます。OktaYubiKeyを登録したユーザーは、それをサインインに使用します。OktaYubiKeyでセッションカウンターを使用します。最新のOTPによって、以前のOTPはすべて無効になります。ただし、これらのOTPは他のWebサイトでの使用においてはまだ有効な場合があります。

Oktaでは、Oktaに登録されたサードパーティOTP Authenticatorから試行された認証の失敗にレート制限が適用されます。このAuthenticatorには、Google Authenticator、Symantec VIP、YubiKey OTPが含まれます。レート制限は、これらのいずれかまたはすべてのAuthenticatorから5分間で合計5回試行に失敗すると発生します。ユーザーがこのレート制限を超過すると、レート制限が終わるまでサインインできなくなります。このような試行はSystem Logに記録されます。

エンドユーザーのタスク

YubiKey OTPをセキュリティ方式として構成できるように、これらの手順をエンドユーザーに伝えてください。

YubiKeyをデスクトップブラウザーに登録する

新たにプロビジョニングされたYubiKeyを受け取ったエンドユーザーは、次の手順でそれをアクティブ化できます。

  1. orgのサインインページに移動します。ユーザー名と、必要なその他の資格情報を指定します。

  2. [Set up security methods(セキュリティ方式のセットアップ)]ページでYubiKey OTP Authenticator][Set up(セットアップ)]をクリックします。[Set up YubiKey OTP(YubiKey OTPのセットアップ)]ページが表示されます。
  3. YubiKeyを挿入し、プロンプトが表示されたらボタンをタップします。
  4. [Verify(確認)]をクリックします。[Set up security methods(セキュリティ方式のセットアップ)]ページが表示されます。
  5. [Finish(終了)]をクリックします。

OTPモードのYubiKeyを使ってデスクトップブラウザーにサインインする

OTPのYubiKeyをアクティブ化したエンドユーザーは、サインイン時の多要素認証にこれを使用できます。サインインプロセス中に[Verify with YubiKey(YubiKeyで確認する)]ページが表示されたら、YubiKeyを挿入します。プロンプトが表示されたらボタンをタップし、ブラウザーに示される手順に従います。

NFCモードのYubiKeyをモバイルデバイスに登録する

エンドユーザーは、NFCをサポートするモバイルデバイスにNFCモードのYubiKeyを登録できます。

  1. モバイルデバイスのOktaにサインインします。[Set up multifactor authentication(多要素認証のセットアップ)]ページが表示されます。
  2. [Security Key or Biometric Authenticator(セキュリティキーまたは生体認証)][Setup(セットアップ)]をタップし、[Enroll(登録)]をタップします。[Sign In(サインイン)]プロンプトが表示されます。
  3. [Continue(続ける)]をタップします。プロンプトが表示されたら、YubiKeyをモバイルデバイスの近くにかざします。[Set up multifactor authentication(多要素認証のセットアップ)]ページが表示されます。
  4. [YubiKey]の下の[Setup(セットアップ)]をタップします。[Set up YubiKey(YubiKeyの設定)]ページが表示されます。YubiKeyをモバイルデバイスの近くにかざします。
  5. デバイスのサイドボタンまたはトップボタンを押してページを閉じ、ページをタップして通知を表示します。
  6. [Website NFC Tag(WebサイトNFCタグ)]通知をタップします。[YubiKey NFC]ページが表示されます。
  7. [Copy to Clipboard(クリップボードにコピー)]をタップし、サインインしていたブラウザーに戻ります。
  8. フィールドを長押しし、[Paste(貼り付け)]をタップします。
  9. [Verify(検証)]をタップします。[Set up multifactor authentication(多要素認証のセットアップ)]ページが表示されます。
  10. [Finish(終了)]をタップします。

NFCモードのYubiKey OTP Authenticatorを使用する

エンドユーザーはNFCモードのYubiKeyを使用して、NFCをサポートするモバイルデバイスにサインインできます。

  1. モバイルデバイスのOktaにサインインします。
  2. Authenticatorアイコンの横にある矢印メニューをタップし、[YubiKeyOTP]Authenticatorを選択します。YubiKey OTP ]ページが表示されます。
  3. [Click here(ここをクリック)]をタップし、[YubiKey]フィールドをタップします。
  4. YubiKeyをモバイルデバイスの近くにかざします。
  5. モバイルデバイスのサイドボタンまたはトップボタンを押してページを閉じ、ページをタップして通知を表示します。
  6. [Website NFC Tag(WebサイトNFCタグ)]通知をタップします。[YubiKey NFC]ページが表示されます。
  7. [Copy to Clipboard(クリップボードにコピー)]をタップし、サインインしていたブラウザーに戻ります。
  8. フィールドを長押しし、[Paste(貼り付け)]をタップします。
  9. [Verify(検証)]をタップします。

セキュリティキーまたは生体認証オプションを使用する

エンドユーザーは、YubiKeyをセキュリティキーまたは生体認証として使用することもできます。この方式では、FIDO2(WebAuthn)Authenticatorを使用して、セキュリティキーのNFCモードを使ってモバイルデバイスにサインインします。

  1. モバイルデバイスのOktaにサインインします。
  2. 認証アイコンの横にある矢印メニューをタップし、[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証)]オプションを選択します。[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証)]ページが表示されます。
  3. [Verify(検証)]をタップします。[Sign In(サインイン)]プロンプトが表示されます。
  4. モバイルデバイスの近くにYubiKeyをかざし、デバイスに示される手順に従います。

関連項目

多要素認証

事前登録されたYubiKeyを使用したフィッシング耐性のある認証を必須とする