事前登録されたYubiKeyセキュリティキーを注文する

この手順では、ユーザーに事前登録されたYubiKeyセキュリティキーを注文する方法について説明します。

Okta Universal Directoryまたは外部の人事情報システム(HRIS)アプリ(ServiceNowやWorkdayなど)を注文に関する配送情報のソースとして使用できます。ユーザーのYubiKeyを注文する前にソースシステムでユーザーの配送情報を更新してください。

開始する前に

この手順を実行する前に、次のタスクが完了していることを確認してください。

  1. フィッシング耐性のあるアプリサインインポリシーを作成する
  2. YubiKey配送用のOkta Workflowsをセットアップする
  3. 次のYubiKey情報を収集します。
    • 製品ID
    • 在庫製品ID
    • カスタマイゼーションID

    製品および在庫識別子」と「YubiKeyのカスタマイゼーションIDに関するドキュメント」を参照してください。

事前登録のYubiKeyを使用したフィッシング耐性のある認証を必須にするを参照してください。

ステージング済みユーザーを作成する

ユーザーがOkta(Staged)に存在しないときは、ユーザーを[Staged(ステージング済み)]ステータスで作成します。

  1. ユーザーを手動で追加します。
  2. 以下のユーザー詳細を入力します。
    • ユーザータイプ(User type)
    • 名(First name)
    • 姓(Last name)
    • ユーザー名(Username)
    • Primary Email (プライマリメールアドレス)(Primary email)
    • セカンダリメールアドレス(Secondary email):ユーザーのセカンダリメールアドレスを入力します。YubiKey PINの送信先になります。
    • グループ(Groups)フィッシング耐性のあるアプリサインインポリシーを作成するで作成したユーザーグループにユーザーを割り当てます。
    • アクティブ化(Activation):後でアクティブ化(Activate later)(Activation)を選択します。これにより、ユーザーがステージング済み(Staged)ステータスで作成されます。

アクティブユーザーをグループに割り当てる

ユーザーのステータスがOktaでアクティブ(Active)になっている場合は、フィッシング耐性のあるアプリサインインポリシーを作成するで作成したグループにユーザーを割り当てます。

  1. Admin Consoleで、ディレクトリ(Directory) > ユーザー(People)に進みます。

  2. ユーザー(User) > グループ(Groups)に移動します。
  3. ユーザーをグループに追加します。

ユーザーの配送情報を更新する

ステータスがステージング済み(Staged)またはアクティブ(Active)のユーザーをUniversal Directoryからソーシングする場合は、Oktaでそのユーザーの配送情報を更新します。それ以外の場合は、HRISで配送情報を更新します。

  1. ユーザー(People)ページで、ユーザー(User) > プロファイル(Profile) > 編集(Edit)に移動します。
  2. ユーザープロファイルに次の詳細が表示されていることを確認します。これらの詳細はYubiKeyを発送するために必要です。
    • セカンダリメールアドレス(Secondary email):このメールアドレスは、アカウントにサインインしたことがなくステータスがステージング済み(Staged)またはアクティブ(Active)のすべてのユーザーに必要です。
    • 優先電話番号(Primary Phone)(Primary phone)
    • 番地(Street Address)(Street address)
    • 市(City)
    • 州(State)
    • 郵便番号(Zip code)
    • 国番号(Country Code)(Country code)
    • 組織(Organization)
  3. 保存(Save)をクリックします。

個々のユーザーのYubiKeyを注文する

ステータスがステージング済み(Staged)またはアクティブ(Active)の各ユーザーに以下のタスクを実行します。

  1. ユーザー(People) > ユーザー(User) > 事前登録済みAuthenticator(Pre-enrolled authenticators)に移動します。
  2. セキュリティキー(Security Key)セクションで、事前登録されたセキュリティキーを追加(Add a pre-enrolled security key)をクリックします。
  3. YubiKeyの登録および配送(YubiKey enrollment and delivery)ページで、以下のセキュリティ詳細を入力します。
    • 製品ID(Product ID)
    • 在庫製品ID(Inventory Product ID)
    • カスタマイゼーションID(Customization ID)
  4. セキュリティキーの配送(Security key delivery)セクションで、ユーザーの情報が正しいことを確認します。この情報を変更する必要があるときは、Universal DirectoryまたはHRISのユーザープロファイルで更新します。
  5. 送信(Submit)をクリックします。ユーザーの[Security Key(セキュリティキー)]セクションに事前登録されたYubiKey(Security Key)とその配送ステータスが表示されます。

このイベントにより、「YubiKey配送用のOkta Workflowsをセットアップする」でセットアップしたOkta Workflowsテンプレートがトリガーされ、YubiKeyの配送が開始されます。

事前登録されたYubiKeyを一括で注文する

Okta APIを使用して、対象ユーザーのYubiKeyを注文します。

  1. Oktaにユーザーをインポートします。
  2. Universal Directoryでそれらのユーザーのユーザープロファイルを更新し、YubiKeyの配送に必要な情報を含めます。この情報がHRISからソーシングされる場合は、HRISで更新します。情報がOktaのユーザープロファイルに正しくマッピングされていることを確認します。プロファイルを管理するを参照してください。
  3. YubiKeyの配送には、以下に記載されたユーザー詳細が必要です。
    • セカンダリメールアドレス(Secondary email):このメールアドレスは、アカウントにサインインしたことがなくステータスがステージング済み(Staged)またはアクティブ(Active)のすべてのユーザーに必要です。
    • 優先電話番号(Primary Phone)(Primary phone)
    • 番地(Street Address)(Street address)
    • 市(City)
    • 州(State)
    • 郵便番号(Zip code)
    • 国番号(Country Code)(Country code)
    • 組織(Organization)
  4. 注文するYubiKeyタイプの製品IDと在庫製品IDを取得します。「製品と在庫識別子」を参照してください。
  5. 注文するYubiKeyタイプのカスタマイゼーションIDを取得します。「YubiKeyのドキュメント」を参照してください。
  6. 次のエンドポイントとリクエストを使用して一括配送を作成します。OktaユーザーIDごとにこのエンドポイントを呼び出します。
    • エンドポイント:POST /webauthn-registration/api/v1/initiate-fulfillment-request(Endpoint)POST /webauthn-registration/api/v1/initiate-fulfillment-request

    • リクエスト(Request)

      {
  "userId": "${oktaUserId}",
  "fulfillmentProvider": "yubico",
  "fulfillmentData": [
    {
      "productId": "${productId}",
      "customizationId": "${customizationId}",
      "inventoryProductId": "${inventoryProductId}"
    }
  ]
}

    このイベントにより、Okta Workflows配送の作成トリガー - MFA開始(Create shipment trigger- MFA Initiated)アプリイベントがトリガーされ、ユーザーにYubiKeyが割り当てられます。リクエストでユーザーIDごとに指定したパラメーターが使用されます。このフローは、フルフィルメントデータのリストを生成し、配送を作成(Create Shipment)フローを介してそのリストをYubicoに送信します。

リクエストパラメーター

APIエンドポイントリクエストでは、以下のパラメーターを使用します。

パラメーター

説明

パラメータータイプ

データ型

必須

userId

OktaのユーザーID。

本文

文字列

TRUE

fulfillmentProvider

配送フルフィルメントプロバイダーの名前(yubico)。

本文(Body)

文字列

TRUE

fulfillmentData

ユーザーに割り当てられるYubiKeyの詳細。

本文

配列

TRUE

productId

ユーザーに割り当てられるYubiKeyの製品ID。

本文

文字列

TRUE

customizationId

ユーザーに割り当てられるYubiKeyのカスタマイゼーションID。

本文

文字列

TRUE

inventoryProductId

ユーザーに割り当てられるYubiKeyの在庫製品ID。

本文

文字列

TRUE

配送がトリガーされた後の管理者のエクスペリエンス

Okta Workflowsで配送イベントがトリガーされると、イベントがYubicoコンソールにも登録されます。キーがアクティブ化されると、YubiKey PINがユーザーに送信されます。キー番号の横にあるPINを送信(Send PIN)をクリックして、PINを再送信します。

既存のキー配送が完了するまでユーザーの新しいセキュリティキーを登録することはできません。この段階で別のセキュリティキーを登録する場合は、最初に既存のセキュリティキー配送を削除し、Yubicoコンソールでキーフルフィルメントプロセスをキャンセルします。このYubiKeyを削除すると、キーの登録とユーザーの資格情報が完全に削除されます。

YubiKeyのステータスは次のいずれかとなります。

  • フルフィルメント開始(Fulfillment started):OktaでYubicoによる登録とフルフィルメントフローが開始されました。
  • フルフィルメントエラー(Fulfillment errored):フルフィルメントプロセスでエラーが発生しました。詳細については、Okta WorkflowsでFlow Packの実行履歴を確認してください。これは一時的なエラーかもしれません。既存のフルフィルメントフローを変更してから、失敗した箇所からプロセスを再開して、問題が解消されるか確認してください。
  • 発送済み(Shipped)YubicoからOktaにキーのセットアップと発送が通知されました。キーはまだ使用されていません。PINは利用可能であり、ユーザーに送信することができます。
  • アクティブ(Active):キーがOktaへのサインインに使用されています。Oktaに保存されていたPINは削除されました。

次の手順

ユーザーエクスペリエンス