YubiKey OTPオーセンティケーターを構成する
YubiKeyは、物理的な多要素認証デバイスとして使用されるセキュリティキーのブランドです。YubiKeyを使用するには、サインイン時にYubiKeyをコンピューターのUSBポートに挿入し、プロンプトが表示されたらYubiKeyのボタンをタップします。YubiKeyは、ユーザーが提示するYubiKeyのタイプに応じて、ワンタイムパスワード(OTP)の提供、または指紋(生体認証)の検証を行うことができます。
このトピックでは、OTPモードを使用してYubiKeyを設定および管理する手順について説明します。生体認証検証としてYubiKeyを使用するには、「FIDO2(WebAuthn)オーセンティケーターの構成」を参照してください。
このオーセンティケーターを使用するには、YubiKeyのメーカーであるYubicoのツールを使用してインポートした YubiKeyの.csvファイルを生成します。次に、YubiKey OTPオーセンティケーターをアクティブ化し、.csvファイルをインポートします。ユーザーは、次回OktaにサインインするときにYubiKeyをアクティブ化します。
OTPモードのYubiKeyは、フィッシング耐性のあるオーセンティケーターではありません。
トピック
- 開始する前に
- YubiKey OTPオーセンティケーターをアクティブ化してYubiKeyを追加する
- YubiKeyのユーザー割り当てとステータスを表示する
- YubiKeyを取り消す
- YubiKey OTPオーセンティケーターを削除する
- エンドユーザーエクスペリエンス
開始する前に
YubiKey OTPオーセンティケーターを有効にする前に、YubiKey Personalization Toolを使用してYubiKeyを構成し、YubiKey OTP Secrets File(YubiKey Seed Fileとも呼ばれます)を生成する必要があります。YubiKey OTP Secrets Fileは.csv形式で、OktaにアップロードしてYubiKeyをアクティブ化します。手順については、「Programming YubiKeys for Okta Adaptive Multi-Factor認証」を参照してください。YubiKey OTP Secrets Fileの生成が完了したら、安全な場所に保存します。
YubiKey OTP Secrets Fileは手動で作成しないでください。各YubiKeyの公開鍵路秘密鍵を入力できるのはYubiKey Personalization Toolのみです。この情報が不足している場合、YubiKeys が正しく機能しない可能性があります。
YubiKeyを構成し、YubiKey OTP Secrets FileをOktaにアップロードしたら、YubiKeyをエンドユーザーに配布できます。
YubiKey OTPオーセンティケーターをアクティブ化してYubiKeyを追加する
このオーセンティケーターをアクティブ化するには、同時にYubiKeyを追加する必要があります。
- 管理者コンソールで、 に移動します。
- [Add Authenticator(オーセンティケーターを追加)]をクリックします。
- [Add YubiKey OTP(YubiKey OTPを追加)]オプションの下にある[Add YubiKeys(YubiKeyを追加)]をクリックします。[Add YubiKey(YubiKeyを追加)]ダイアログが表示されます。
- [Upload YubiKey Seed File(YubiKeyのseedファイルをアップロード)]フィールドの横にある[Browse(参照)]をクリックします。ファイルセレクターウィンドウが表示されます。
- YubiKey Personalization Toolを使用して作成したYubiKey Seed Fileを選択し、[Open(開く)]をクリックします。
- [Upload Seed File(seedファイルをアップロード)]をクリックします。確認メッセージが表示されます。
- [Add(追加)]をクリックします。[Authenticators(オーセンティケーター)]ページが表示され、YubiKey OTPオーセンティケーターがリストに表示されます。
YubiKeyのユーザー割り当てとステータスを表示する
YubiKeyを追加したら、YubiKeyレポートをチェックして、YubiKeyが正しく追加されたことを確認し、各YubiKeyのステータスを表示できます。
- 管理者コンソールで、 に移動します。
- [Authenticators(オーセンティケーター)]ページで、YubiKey OTPオーセンティケーターの[Actions(アクション)]をクリックし、[YubiKey OTP Report(YubiKey OTPレポート)]を選択します。[YubiKey OTP Report(YubiKey OTPレポート)]ページが表示されます。
- [Filters(フィルター)]ペインの条件を使用して、検索をカスタマイズします。
- [Status(ステータス)]列で、各YubiKeyのステータスを確認します。
- エンドユーザーがYubiKeyを登録するまで、ステータスは[UNASSIGNED(未割り当て)]と表示されます。
- エンドユーザーがYubiKeyを登録すると、ステータスが[ACTIVE(アクティブ)]に変わります。
- YubiKeyを取り消すと、ステータスは[REVOKED(取り消されました)]に変わります。
YubiKeyを取り消す
紛失または盗難の報告があった場合などに、YubiKeyを取り消すと、単一のYubiKeyを廃止できます。また、YubiKeyを取り消すと、割り当てられたユーザーとの関連付けも削除されます。
- 管理者コンソールで、 に移動します。
- [Authenticators(オーセンティケーター)]ページで、YubiKeyオーセンティケーターの[Actions(アクション)]をクリックし、[YubiKey OTP Report(YubiKey OTPレポート)]を選択します。[YubiKey OTP Report(YubiKey OTPレポート)]ページが表示されます。
- [Filters(フィルター)]ペインの条件を使用して、検索をカスタマイズします。
- 取り消すYubiKeyを見つけたら、そのシリアル番号を選択してクリップボードにコピーします。
- [Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- YubiKey OTPオーセンティケーターの[Actions(アクション)]をクリックし、[Revoke YubiKey(YubiKeyを取り消す)]を選択します。[Revoke YubiKey(YubiKeyを取り消す)]ページが表示されます。
- シリアル番号を[YubiKey serial number(YubiKeyのシリアル番号)]フィールドに貼り付け、[Find(探す)]をクリックします。YubiKeyに関する情報が表示されます。
- [Revoke(取り消す)]をクリックします。確認メッセージが表示されます。
- [Close(閉じる)]をクリックします。
YubiKey OTPオーセンティケーターを削除する
YubiKeyオーセンティケーターを削除すると、ワンタイムパスワードモードに使用されているすべてのYubiKeyも削除されます。生体認証モードで使用されているYubiKeyは削除されません。このアクションは元に戻せません。
- 管理者コンソールで、 に移動します。
- YubiKeyオーセンティケーターの[Actions(アクション)]をクリックし、[Delete(削除)]を選択します。[Delete YubiKey OTP オーセンティケーター(YubiKey OTPオーセンティケーターを削除)]プロンプトが表示されます。
- [Delete(削除)]をクリックします。
エンドユーザーエクスペリエンス
YubiKeyをデスクトップブラウザーに初めて登録する
エンドユーザーは、新しくプロビジョニングされたYubiKeyを受け取ったら、次の手順を実行して自分でアクティブ化できます。
- Oktaにサインインします。
- サインインウィジェットの[Set up security methods(セキュリティ方法のセットアップ)]ページで、[YubiKey OTP オーセンティケーター(YubiKey OTPオーセンティケーター)]の下の[Set up(セットアップ)]をクリックします。[Set up YubiKey OTP(YubiKey OTPのセットアップ)]ページが表示されます。
- YubiKeyを挿入し、プロンプトが表示されたらボタンをタップします。
- [Review(確認)]をクリックします。[Set up security methods(セキュリティ方法の設定)]ページが表示されます。
- [Finish(終了)]をクリックします。
以降のデスクトップブラウザーのサインオンでYubiKeyをOTPモードで使用する
エンドユーザーは、YubiKeyをワンタイムパスワード用にアクティブ化すると、以降のサインオンで多要素認証に使用できます。
- Oktaにサインインします。
- [Verify with YubiKey(YubiKeyで検証)]ページが表示されたら、YubiKeyを挿入します。そして、プロンプトが表示されたら、ボタンをタップします。
OktaはYubiKeysでセッションカウンターを使用します。最新のOTPによって、以前のOTPはすべて無効になります。ただし、これらのOTPは他のウェブサイトでの使用においてはまだ有効な場合があります。
YubiKeyをNFCモードでiOSデバイスに登録する
YubiKeyは、NFCをサポートするiOSデバイスにNFCモードで登録できます。
- iOSデバイスでOktaにサインインします。[Set up multifactor authentication(多要素認証のセットアップ)]ページが表示されます。
- [Security Key or Biometric オーセンティケーター(セキュリティキーまたは生体認証オーセンティケーター)]の[Setup(セットアップ)]をタップし、[Enroll(登録)]をタップします。[Sign In(サインイン)]プロンプトが表示されます。
- [Continue(続行)]をタップします。プロンプトが表示されたら、YubiKeyをiOSデバイスの上部近くにかざします。[Set up multifactor authentication(多要素認証のセットアップ)]ページが表示されます。
- [YubiKey]の下の[Setup(セットアップ)]をタップします。[Set up YubiKey(YubiKeyの設定)]ページが表示されます。
- YubiKeyをiOSデバイスの上部近くにかざします。
- iOSデバイスのサイドボタンまたはトップボタンを押してページを閉じ、ページをタップして通知を表示します。[Website NFC Tag(WebサイトNFCタグ)]通知をタップします。[YubiKey NFC]ページが表示されます。
- [Copy to Clipboard(クリップボードにコピー)]をタップし、サインインしていたブラウザーに戻ります。
- フィールドを長押しし、[Paste(貼り付け)]をタップします。
- [Verify(検証)]をタップします。[Set up multifactor authentication(多要素認証のセットアップ)]ページが表示されます。
- [Finish(終了)]をタップします。
YubiKey OTPオーセンティケーターをNFCモードで使用する
YubiKeyをNFCモードで使用して、NFCをサポートするiOSデバイスにサインインできます。
- iOSデバイスでOktaにサインインします。
- オーセンティケーターアイコンの横にある矢印メニューをタップし、[YubiKeyOTP]オーセンティケーターを選択します。
- [YubiKey OTP ]ページが表示されます。
- [Click here(ここをクリック)]をタップし、[YubiKey]フィールドをタップします。
- YubiKeyをiOSデバイスの上部近くにかざします。
- iOSデバイスのサイドボタンまたはトップボタンを押してページを閉じ、ページをタップして通知を表示します。[Website NFC Tag(WebサイトNFCタグ)]通知をタップします。[YubiKey NFC]ページが表示されます。
- [Copy to Clipboard(クリップボードにコピー)]をタップし、サインインしていたブラウザーに戻ります。
- フィールドを長押しし、[Paste(貼り付け)]をタップします。
- [Verify(検証)]をタップします。
[Security Key or Biometric オーセンティケーター(セキュリティキーまたは生体認証オーセンティケーター)]オプションを使用する
YubiKeyをセキュリティ キーまたは生体オーセンティケーターとして使用することもできます。この方法では、FIDO2(WebAuthn)オーセンティケーターを使用して、セキュリティキーのNFCモードを使用してiOSデバイスにサインインします。
- iOSデバイスでOktaにサインインします。
- 認証アイコンの横にある矢印メニューをタップし、[Security Key or Biometric Authenticator(セキュリティキーまたは生体オーセンティケーター)]オプションを選択します。[Security Key or Biometric Authenticator(セキュリティキーまたは生体オーセンティケーター)]ページが表示されます。
- [Verify(検証)]をタップします。[Sign In(サインイン)]プロンプトが表示されます。
- YubiKeyをiOSデバイスの上部近くにかざします。