YubiKey OTP Authenticatorを構成する
YubiKey OTP(ワンタイムパスコード)Authenticatorは、ハードウェアで保護されたデバイスバウンド所有要素です。エンドユーザーはYubiKeyハードトークンを押してOTPを発行し、アカウントに安全にサインインします。
OTPモードのYubiKeyは、フィッシング耐性のあるAuthenticatorではなく、生体認証を使用しません。YubiKeyをフィッシング特性のある生体認証要素として使用する場合は、「WebAuthn(FIDO2)Authenticatorの構成」を参照してください。
はじめに
OktaでYubiKey OTP Authenticatorを構成するには、次が必要です。
- YubiKeyパーソナライゼーションツールへのアクセス権が設定されたYubicoアカウント。
- ツールを使って作成されたYubiKey Seedファイル(YubiKey OTPシークレットファイルとも呼ばれます)。ファイルはCSV形式である必要があります。手動で作成したSeedファイルは正しく機能しない場合があります。
YubiKey OTP Authenticatorを追加する
-
Admin Consoleで に移動します。
-
[設定]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。
- [YubiKey OTP]タイルの[Add(追加)]をクリックします。
- YubiKey Seedファイルをアップロードします。
-
[Add(追加)]をクリックします。[Setup(設定)]タブのリストにオーセンティケーターが表示されます。
Authenticator登録ポリシーにYubiKey OTPを追加する
[Authenticator]で[Enrollment(登録)]タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。「Authenticator登録ポリシーを作成する」を参照してください。
YubiKey OTP Authenticatorを編集または削除する
Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。
- [Authenticator]で、[Setup(設定)]タブに移動します。
- Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。
YubiKey Authenticatorを削除すると、OTPモードで使用されているすべてのYubiKeyも削除されます。生体認証モードで使用されているYubiKeyは削除されません。
YubiKeyの割り当てとステータスを表示する
YubiKeyが正しく追加されたことを確認するには、YubiKey OTPレポートを使用します。各YubiKeyのユーザー割り当てとステータスも表示できます。
- [Authenticator]で に移動します。[YubiKey OTP Report(YubiKey OTPレポート)]を選択します。
- [Reports(レポート)]ページでYubiKeyを検索して探し、割り当てとステータスを表示します。
YubiKeyのステータスは次のいずれかとなります。
- [Unassaigned(割り当て解除)]:エンドユーザーはまだYubiKeyを登録していません。
- [Active(アクティブ)]:エンドユーザーはYubiKeyを登録しました。
- [Revoked(消されました)]:YubiKeyは取り消されました。
YubiKeyを取り消す
YubiKeyを取り消すことで、YubiKeyを廃止したり(紛失または盗難された場合など)、そのユーザー割り当てを削除したりできます。
- [Authenticator]で に移動します。[YubiKey OTP Report(YubiKey OTPレポート)]を選択します。
- [Reports(レポート)]ページで取り消すYubiKeyを探し、シリアル番号をコピーします。
- [Actions(アクション)]に戻り、[Revoke YubiKey(YubiKeyを取り消す)]を選択します。
- シリアル番号を貼り付けてYubiKeyを探し、[Revoke(取り消す)]をクリックします。
ユーザーに割り当てられているYubiKeyは削除できません。取り消しや再割り当てを行った場合でも、引き続きYubiKeyレポートに表示されます。アクティブなYubiKeyのシリアル番号は削除できません。
YubiKeyを再割り当てする
YubiKeyを別のユーザーに再割り当てするには、事前に元のユーザーのYubiKey Authenticatorをリセットします。
-
Admin Consoleで に移動します。
- プロファイルを開くユーザーを検索して名前をクリックします。
- をクリックします。
- ユーザーのYubiKey Authenticatorをリセットします。
次に、新しいユーザーにYubiKeyを再割り当てします。
- [Authenticator]で に移動します。
- 再割り当てするYubiKeyを取り消します。
- seedファイルを使ってそれを再アップロードします。
- 新しいユーザーにそれを割り当てます。
後から見つかった喪失YubiKeyを再割り当てしないでください。そのYubiKeyは破棄し、ユーザー用に新しいYubiKeyを構成します。
エンドユーザーエクスペリエンス
最初のサインインフロー中にエンドユーザーには、YubiKey OTP Authenticatorのセットアップが求められます。OktaにYubiKeyを登録したユーザーは、それをサインインに使用します。OktaはYubiKeyでセッションカウンターを使用します。最新のOTPによって、以前のOTPはすべて無効になります。ただし、これらのOTPは他のWebサイトでの使用においてはまだ有効な場合があります。
Oktaでは、Oktaに登録されたサードパーティOTP Authenticatorから試行された認証の失敗にレート制限が適用されます。このAuthenticatorには、Google Authenticator、Symantec VIP、YubiKey OTPが含まれます。レート制限は、これらのいずれかまたはすべてのAuthenticatorから5分間で合計5回試行に失敗すると発生します。ユーザーがこのレート制限を超過すると、レート制限が終わるまでサインインできなくなります。このような試行はSystem Logに記録されます。
エンドユーザーのタスク
YubiKey OTPをセキュリティ方式として構成できるように、これらの手順をエンドユーザーに伝えてください。
YubiKeyをデスクトップブラウザーに登録する
新たにプロビジョニングされたYubiKeyを受け取ったエンドユーザーは、次の手順でそれをアクティブ化できます。
-
orgのサインインページに移動します。ユーザー名と、必要なその他の資格情報を指定します。
- [Set up security methods(セキュリティ方式のセットアップ)]ページで[YubiKey OTP Authenticator]の[Set up(セットアップ)]をクリックします。[Set up YubiKey OTP(YubiKey OTPのセットアップ)]ページが表示されます。
- YubiKeyを挿入し、プロンプトが表示されたらボタンをタップします。
- [Verify(確認)]をクリックします。[Set up security methods(セキュリティ方式のセットアップ)]ページが表示されます。
- [Finish(終了)]をクリックします。
OTPモードのYubiKeyを使ってデスクトップブラウザーにサインインする
OTPのYubiKeyをアクティブ化したエンドユーザーは、サインイン時の多要素認証にこれを使用できます。サインインプロセス中に[Verify with YubiKey(YubiKeyで確認する)]ページが表示されたら、YubiKeyを挿入します。プロンプトが表示されたらボタンをタップし、ブラウザーに示される手順に従います。
NFCモードのYubiKeyをモバイルデバイスに登録する
エンドユーザーは、NFCをサポートするモバイルデバイスにNFCモードのYubiKeyを登録できます。
- モバイルデバイスのOktaにサインインします。[Set up multifactor authentication(多要素認証のセットアップ)]ページが表示されます。
- [Security Key or Biometric Authenticator(セキュリティキーまたは生体認証)]の[Setup(セットアップ)]をタップし、[Enroll(登録)]をタップします。[Sign In(サインイン)]プロンプトが表示されます。
- [Continue(続ける)]をタップします。プロンプトが表示されたら、YubiKeyをモバイルデバイスの近くにかざします。[Set up multifactor authentication(多要素認証のセットアップ)]ページが表示されます。
- [YubiKey]の下の[Setup(セットアップ)]をタップします。[Set up YubiKey(YubiKeyの設定)]ページが表示されます。YubiKeyをモバイルデバイスの近くにかざします。
- デバイスのサイドボタンまたはトップボタンを押してページを閉じ、ページをタップして通知を表示します。
- [Website NFC Tag(WebサイトNFCタグ)]通知をタップします。[YubiKey NFC]ページが表示されます。
- [Copy to Clipboard(クリップボードにコピー)]をタップし、サインインしていたブラウザーに戻ります。
- フィールドを長押しし、[Paste(貼り付け)]をタップします。
- [Verify(検証)]をタップします。[Set up multifactor authentication(多要素認証のセットアップ)]ページが表示されます。
- [Finish(終了)]をタップします。
NFCモードのYubiKey OTP Authenticatorを使用する
エンドユーザーはNFCモードのYubiKeyを使用して、NFCをサポートするモバイルデバイスにサインインできます。
- モバイルデバイスのOktaにサインインします。
- Authenticatorアイコンの横にある矢印メニューをタップし、[YubiKeyOTP]Authenticatorを選択します。[YubiKey OTP ]ページが表示されます。
- [Click here(ここをクリック)]をタップし、[YubiKey]フィールドをタップします。
- YubiKeyをモバイルデバイスの近くにかざします。
- モバイルデバイスのサイドボタンまたはトップボタンを押してページを閉じ、ページをタップして通知を表示します。
- [Website NFC Tag(WebサイトNFCタグ)]通知をタップします。[YubiKey NFC]ページが表示されます。
- [Copy to Clipboard(クリップボードにコピー)]をタップし、サインインしていたブラウザーに戻ります。
- フィールドを長押しし、[Paste(貼り付け)]をタップします。
- [Verify(検証)]をタップします。
セキュリティキーまたは生体認証オプションを使用する
エンドユーザーは、YubiKeyをセキュリティキーまたは生体認証として使用することもできます。この方式では、FIDO2(WebAuthn)Authenticatorを使用して、セキュリティキーのNFCモードを使ってモバイルデバイスにサインインします。
- モバイルデバイスのOktaにサインインします。
- 認証アイコンの横にある矢印メニューをタップし、[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証)]オプションを選択します。[Security Key or Biometric Authenticator(セキュリティキーまたは生体認証)]ページが表示されます。
- [Verify(検証)]をタップします。[Sign In(サインイン)]プロンプトが表示されます。
- モバイルデバイスの近くにYubiKeyをかざし、デバイスに示される手順に従います。