事前登録されたYubiKeyを使用したフィッシング耐性のある認証を必須とする
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
新規および既存ユーザーにYubiKeyを使用したサインインを要求することで、それらのユーザーの認証フローのセキュリティを確保します。
このセットアップでは、Okta orgとYubico orgを接続することで、YubiKeyの配送プロセスを自動化します。ServiceNowやWorkdayなどのHRIS(人事情報システム)アプリにユーザー情報を保持している場合は、それらのアプリをこの自動配送フローに接続することもできます。
事前登録されたYubiKey
事前登録されたYubiKeyは、管理者がユーザーの代わりに注文するWebAuthnベースの物理セキュリティキーです。その後、このキーはYubicoによって登録され、ユーザーの住所に配送されます。配送情報は、OktaまたはHRISのいずれかから提供されます。ユーザーがキーを受け取ったら、すぐにそれを認証に使用できます。
WebAuthnベースのYubiKeyなどのフィッシング耐性のあるパスワードレスAuthenticatorは、攻撃者が傍受または複製するのが困難なMFA手法を使用しているため、パスワードなどのフィッシング耐性のないAuthenticatorより安全です。
仕組み
最初に、FIDO2(WebAuthn)Authenticatorを構成します。次に、ユーザーにYubiKeyを使用してサインインするよう要求するポリシーを構成します。続いて、Okta Workflowsを使用して自動化された配送およびAuthenticator登録フローをセットアップします。これらの手順を完了したら、新規および既存ユーザー向けの事前登録されたYubiKeyを注文できます。
ユーザー向けの事前登録されたAuthenticatorを追加すると、自動化されたワークフローがトリガーされます。このワークフローによって配送通知がYubicoに送信され、Yubicoからユーザーの住所にYubiKeyが送付されます。Oktaでは、ユーザー向けにYubiKeyが登録され、アクティブ化されます。ユーザーがYubiKeyとそのPINを受け取ったら、すぐにそれをサインインに使用できます。YubiEnterprise配信アカウントをチェックし、サポートされている配送場所と適用される制限を確認します。
要件
- OktaのFIDO2(WebAuthn)Authenticator
- Okta Workflows
- 事前登録されたYubiKey用のOkta Workflowsテンプレート
- YubiEnterpriseサブスクリプション
- YubiEnterprise配信
- YubiKeyの製品ID、在庫製品ID、およびカスタマイゼーションID
ジャーニー
- FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップする:FIDO2(WebAuthn)Authenticatorと、フィッシング耐性のあるAuthenticatorを使用してサインインするようユーザーに要求するポリシーを構成します。
- YubiKey配送用のOkta Workflowsをセットアップする:Yubico、Okta、およびHRISの各orgを接続し、YubiKeyの登録および配送用の自動化されたフローを作成します。
- 事前登録されたYubiKeyを注文する:新規および既存ユーザー向けの事前登録されたYubiKeyを個別に、または一括して注文します。
- ユーザーエクスペリエンス:ユーザーが事前登録されたYubiKeyを使用してサインインする方法を理解します。