事前登録されたYubiKeyを使用したフィッシング耐性のある認証を必須とする

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

新規および既存ユーザーにYubiKeyを使用したサインインを要求することで、それらのユーザーの認証フローのセキュリティを確保します。

このセットアップでは、Okta orgとYubico orgを接続することで、YubiKeyの配送プロセスを自動化します。ServiceNowやWorkdayなどのHRIS(人事情報システム)アプリにユーザー情報を保持している場合は、それらのアプリをこの自動配送フローに接続することもできます。

事前登録されたYubiKey

事前登録されたYubiKeyは、管理者がユーザーの代わりに注文するWebAuthnベースの物理セキュリティキーです。その後、このキーはYubicoによって登録され、ユーザーの住所に配送されます。配送情報は、OktaまたはHRISのいずれかから提供されます。ユーザーがキーを受け取ったら、すぐにそれを認証に使用できます。

WebAuthnベースのYubiKeyなどのフィッシング耐性のあるパスワードレスAuthenticatorは、攻撃者が傍受または複製するのが困難なMFA手法を使用しているため、パスワードなどのフィッシング耐性のないAuthenticatorより安全です。

仕組み

最初に、FIDO2(WebAuthn)Authenticatorを構成します。次に、ユーザーにYubiKeyを使用してサインインするよう要求するポリシーを構成します。続いて、Okta Workflowsを使用して自動化された配送およびAuthenticator登録フローをセットアップします。これらの手順を完了したら、新規および既存ユーザー向けの事前登録されたYubiKeyを注文できます。

ユーザー向けの事前登録されたAuthenticatorを追加すると、自動化されたワークフローがトリガーされます。このワークフローによって配送通知がYubicoに送信され、Yubicoからユーザーの住所にYubiKeyが送付されます。Oktaでは、ユーザー向けにYubiKeyが登録され、アクティブ化されます。ユーザーがYubiKeyとそのPINを受け取ったら、すぐにそれをサインインに使用できます。YubiEnterprise配信アカウントをチェックし、サポートされている配送場所と適用される制限を確認します。

要件

  • OktaFIDO2(WebAuthn)Authenticator
  • Okta Workflows
  • 事前登録されたYubiKey用のOkta Workflowsテンプレート
  • YubiEnterpriseサブスクリプション
  • YubiEnterprise配信
  • YubiKeyの製品ID、在庫製品ID、およびカスタマイゼーションID

ジャーニー

  1. FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップするFIDO2(WebAuthn)Authenticatorと、フィッシング耐性のあるAuthenticatorを使用してサインインするようユーザーに要求するポリシーを構成します。
  2. YubiKey配送用のOkta WorkflowsをセットアップするYubicoOkta、およびHRISの各orgを接続し、YubiKeyの登録および配送用の自動化されたフローを作成します。
  3. 事前登録されたYubiKeyを注文する:新規および既存ユーザー向けの事前登録されたYubiKeyを個別に、または一括して注文します。
  4. ユーザーエクスペリエンス:ユーザーが事前登録されたYubiKeyを使用してサインインする方法を理解します。