YubiKey OTP Authenticatorを構成する

YubiKey OTP(ワンタイムパスコード)Authenticatorは、ハードウェアで保護されたデバイスバウンド所有要素です。エンドユーザーはYubiKeyハードトークンを押してOTPを発行し、アカウントに安全にサインインします。

OTPモードのYubiKeyは、フィッシング耐性のあるAuthenticatorではなく、生体認証を使用しません。YubiKeyをフィッシング特性のある生体認証要素として使用する場合は、「WebAuthn(FIDO2)オーセンティケーターの構成」を参照してください。

はじめに

OktaYubiKey OTP Authenticatorを構成するには、次が必要です。

  • YubiKeyパーソナライゼーションツールへのアクセス権が設定されたYubicoアカウント。
  • ツールを使って作成されたYubiKey Seedファイル(YubiKey OTPシークレットファイルとも呼ばれます)。ファイルはCSV形式である必要があります。手動で作成したSeedファイルは正しく機能しない場合があります。

YubiKey OTP Authenticatorを追加する

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(設定)]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。

  3. [YubiKey OTP]タイルの[Add(追加)]をクリックします。
  4. YubiKey Seedファイルをアップロードします。

  5. [Add(追加)]をクリックします。[Setup(設定)]タブのリストにAuthenticatorが表示されます。

Authenticator登録ポリシーにYubiKey OTPを追加する

[Authenticator][Enrollment(登録)]タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。「Authenticator登録ポリシーを作成する」を参照してください。

YubiKey OTP Authenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. [Authenticator][Setup(設定)]タブに移動します。
  2. Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。

YubiKey Authenticatorを削除すると、OTPモードで使用されているすべてのYubiKeyも削除されます。生体認証モードで使用されているYubiKeyは削除されません。

YubiKeyの割り当てとステータスを表示する

YubiKeyが正しく追加されたことを確認するには、YubiKey OTPレポートを使用します。各YubiKeyのユーザー割り当てとステータスも表示できます。

  1. [Authenticators][Setup(セットアップ)][YubiKey][OTP] [Acctions(アクション)]に移動します。[YubiKey OTP Report(YubiKey OTPレポート)]を選択します。
  2. [Reports(レポート)]ページでYubiKeyを検索して探し、割り当てとステータスを表示します。

YubiKeyのステータスは次のいずれかとなります。

  • [Unassaigned(割り当て解除)]:エンドユーザーはまだYubiKeyを登録していません。
  • [Active(アクティブ)]:エンドユーザーはYubiKeyを登録しました。
  • [Revoked(消されました)]YubiKeyは取り消されました。

YubiKeyを取り消す

YubiKeyを取り消すことで、YubiKeyを廃止したり(紛失または盗難された場合など)、そのユーザー割り当てを削除したりできます。

  1. [Authenticators][Setup(セットアップ)][YubiKey][OTP] [Actions(アクション)]に移動します。[YubiKey OTP Report(YubiKey OTPレポート)]を選択します。
  2. [Reports(レポート)]ページで取り消すYubiKeyを探し、シリアル番号をコピーします。

  3. [アクション]に戻り、[取り消す][YubiKey]を選択します。

  4. シリアル番号を貼り付けてYubiKeyを探し、[Revoke(取り消す)]をクリックします。

エンドユーザーエクスペリエンス

最初のサインインフロー中にエンドユーザーには、YubiKey OTP Authenticatorのセットアップが求められます。OktaYubiKeyを登録したユーザーは、それをサインインに使用します。OktaYubiKeyでセッションカウンターを使用します。最新のOTPによって、以前のOTPはすべて無効になります。ただし、これらのOTPは他のWebサイトでの使用においてはまだ有効な場合があります。

Oktaでは、Oktaに登録されたサードパーティOTP Authenticatorから試行された認証の失敗にレート制限が適用されます。このAuthenticatorには、Google Authenticator、Symantec VIP、YubiKey OTPが含まれます。レート制限は、これらのいずれかまたはすべてのAuthenticatorからの5分間で合計5回の試行失敗です。ユーザーがこのレート制限を超過すると、レート制限が過ぎるまでサインインできなくなります。これらの試行はSystem Logに記録されます。

エンドユーザーのタスク

YubiKey OTPをセキュリティ方式として構成できるように、これらの手順をエンドユーザーに伝えてください。

YubiKeyをデスクトップブラウザーに登録する

新たにプロビジョニングされたYubiKeyを受け取ったエンドユーザーは、次の手順でそれをアクティブ化できます。

  1. orgのサインインページに移動します。ユーザー名と、必要なその他の資格情報を指定します。

  2. [Set up security methods(セキュリティ方式のセットアップ)]ページで[YubiKey OTP Authenticator][Set up(セットアップ)]をクリックします。[Set up YubiKey OTP(YubiKey OTPのセットアップ)]ページが表示されます。
  3. YubiKeyを挿入し、プロンプトが表示されたらボタンをタップします。
  4. [Verify(確認)]をクリックします。[Set up security methods(セキュリティ方式のセットアップ)]ページが表示されます。
  5. [終了]をクリックします。

OTPモードのYubiKeyを使用して、デスクトップブラウザーを使ってサインインする

OTPのYubiKeyをアクティブ化したエンドユーザーは、サインイン時の多要素認証にこれを使用できます。サインインプロセス中に[Verify with YubiKey(YubiKeyで確認する)]ページが表示されたら、YubiKeyを挿入します。プロンプトが表示されたらボタンをタップし、ブラウザーに示される手順に従います。

NFCモードのYubiKeyをモバイルデバイスに登録する

エンドユーザーは、NFCをサポートするモバイルデバイスにNFCモードのYubiKeyを登録できます。

  1. モバイルデバイスのOktaにサインインします。[Set up multifactor authentication(多要素認証のセットアップ)]ページが表示されます。
  2. [Security Key or Biometric Authenticator(セキュリティキーまたは生体認証Authenticator)][Setup(セットアップ)]をタップし、[Enroll(登録)]をタップします。[Sign In(サインイン)]プロンプトが表示されます。
  3. [Continue(続ける)]をタップします。プロンプトが表示されたら、YubiKeyをモバイルデバイスの近くにかざします。[Set up multifactor authentication(多要素認証のセットアップ)]ページが表示されます。
  4. [YubiKey]の下の[Setup(セットアップ)]をタップします。[Set up YubiKey(YubiKeyの設定)]ページが表示されます。YubiKeyをモバイルデバイスの近くにかざします。
  5. デバイスのサイドボタンまたはトップボタンを押してページを閉じ、ページをタップして通知を表示します。
  6. [Website NFC Tag(WebサイトNFCタグ)]通知をタップします。[YubiKey NFC]ページが表示されます。
  7. [Copy to Clipboard(クリップボードにコピー)]をタップし、サインインしていたブラウザーに戻ります。
  8. フィールドを長押しし、[Paste(貼り付け)]をタップします。
  9. [Verify(検証)]をタップします。[Set up multifactor authentication(多要素認証のセットアップ)]ページが表示されます。
  10. [Finish(終了)]をタップします。

NFCモードのYubiKey OTP Authenticatorを使用する

エンドユーザーはNFCモードのYubiKeyを使用して、NFCをサポートするモバイルデバイスにサインインできます。

  1. モバイルデバイスのOktaにサインインします。
  2. Authenticatorアイコンの横にある矢印メニューをタップし、[YubiKeyOTP]Authenticatorを選択します。[YubiKey OTP ]ページが表示されます。
  3. [Click here(ここをクリック)]をタップし、[YubiKey]フィールドをタップします。
  4. YubiKeyをモバイルデバイスの近くにかざします。
  5. モバイルデバイスのサイドボタンまたはトップボタンを押してページを閉じ、ページをタップして通知を表示します。
  6. [Website NFC Tag(WebサイトNFCタグ)]通知をタップします。[YubiKey NFC]ページが表示されます。
  7. [Copy to Clipboard(クリップボードにコピー)]をタップし、サインインしていたブラウザーに戻ります。
  8. フィールドを長押しし、[Paste(貼り付け)]をタップします。
  9. [Verify(検証)]をタップします。

セキュリティキーまたは生体認証Authenticatorオプションを使用する

エンドユーザーは、YubiKeyをセキュリティキーまたは生体認証Authenticatorとして使用することもできます。この方式では、FIDO2(WebAuthn)Authenticatorを使用して、セキュリティキーのNFCモードを使ってモバイルデバイスにサインインします。

  1. モバイルデバイスのOktaにサインインします。
  2. 認証アイコンの横にある矢印メニューをタップし、[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証Authenticator)]オプションを選択します。[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証Authenticator)]ページが表示されます。
  3. [Verify(検証)]をタップします。[Sign In(サインイン)]プロンプトが表示されます。
  4. モバイルデバイスの近くにYubiKeyをかざし、デバイスに示される手順に従います。

関連項目

多要素認証

事前登録されたYubiKeyを使用してユーザーをオンボーディングする