事前登録されたYubiKeyを注文する

この手順では、新規および既存ユーザー向けの事前登録されたYubiKeyを個別に、または一括して注文する方法について説明します。

YubiKeyの配送に必要な情報は、Okta Universal Directoryまたは外部のHRIS(人事情報システム)アプリ(ServiceNowやWorkdayなど)のいずれかからソーシングされます。ユーザーのYubiKeyを注文する前にソーシング元でユーザーの配送情報を更新してください。

開始する前に

事前登録のYubiKeyを使用したフィッシング耐性のある認証を必須にする」へのジャーニーの最後の部分には、Admin Consoleで実行するタスクが含まれます。以下の各タスクを順番に完了してから次のステップに進みます。

  1. FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップする
  2. YubiKey配送用のOkta Workflowsをセットアップする

YubiKeyの製品ID、在庫製品ID、およびカスタマイゼーションIDを手元に用意します。「YubiKeyの製品IDおよび在庫製品IDに関するドキュメント」と「YubiKeyのカスタマイゼーションIDに関するドキュメント」を参照してください。

ステージング済みユーザーを作成する

ユーザーがOktaに存在しないときは、ユーザーを[Staged(ステージング済み)]ステータスで作成します。

  1. ユーザーを手動で追加します。
  2. 以下の必須のユーザー詳細を入力します。
    • User type(ユーザータイプ)
    • First name(名)
    • Last name(姓)
    • Username(ユーザー名)
    • Primary email(プライマリメールアドレス)
    • Secondary email(セカンダリメールアドレス):YubiKey PINを送信するユーザーのセカンダリメールアドレスを入力します。
    • Groups(グループ):「FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップする」で作成した新しいユーザーグループにユーザーを割り当てます。
    • Activation(アクティブ化):[Activate later(後でアクティブ化)]を選択します。これにより、ユーザーが[Staged(ステージング済み)]ステータスで作成されます。

アクティブユーザーのグループ割り当てを更新する

ユーザーがOktaですでに[Active(アクティブ)]になっている場合は、「FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップする」で作成した既存のユーザーグループにユーザーを割り当てます。

  1. Admin Console[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. [User(ユーザー)] [Groups(グループ)]に移動します。
  3. 既存のユーザーグループにユーザーを追加します。

ユーザーの配送情報を更新する

[Staged(ステージング済み)]または[Active(アクティブ)]ユーザーがUniversal Directoryからソーシングされるときは、そのユーザーの配送情報を更新します。

  1. [ユーザー]ページで[User(ユーザー)][Profile(プロファイル)][Edit(編集)]に移動します。
  2. ユーザー プロファイルに次の詳細が含まれていることを確認します。これらの詳細はYubiKeyを発送するために必要です。
    • Secondary email(セカンダリメールアドレス):アカウントにサインインしたことがないすべての[Staged(ステージング済み)]ユーザーと[Active(アクティブ)]ユーザーに必要です。
    • Primary phone(メインの電話番号)
    • Street Address(番地)
    • City(市)
    • State(州)
    • Zip code(郵便番号)
    • Country Code(国番号)
    • Organization(組織)
  3. [Save(保存)]をクリックします。

ユーザーがHRISからソーシングされる場合は、HRISで配送情報を更新します。

個々のユーザーのYubiKeyを注文する

個々の[Staged(ステージング済み)]ユーザーまたは[Active(アクティブ)]ユーザーについて以下のタスクを実行します。

  1. [People(ユーザー)] [User(ユーザー)] [Pre-enrolled authenticators(事前登録されたAuthenticator)]に移動します。
  2. [Security Key(セキュリティキー)]セクションで、[Add a pre-enrolled security key(事前登録されたセキュリティキーを追加)]をクリックします。
  3. [YubiKeyの登録および配送]ページで、以下のセキュリティ詳細を入力します。
    • Product ID(製品ID)
    • Inventory Product ID(在庫製品ID)
    • Customization ID(カスタマイゼーションID)
  4. [Security key delivery(セキュリティキーの配送)]セクションで、ユーザーの情報が正しいことを確認します。この情報を変更する必要があるときは、Universal DirectoryまたはHRISのユーザープロファイルで更新します。
  5. [Submit(送信)]をクリックします。ユーザーの[Security Key(セキュリティキー)]セクションに事前登録されたYubiKeyとその配送ステータスが表示されます。

このイベントにより、「YubiKey配送用のOkta Workflowsをセットアップする」でセットアップしたOkta Workflowsテンプレートがトリガーされ、YubiKeyの配送が開始されます。

事前登録されたYubiKeyを一括で注文する

Okta APIを使用して、一群のユーザー向けのYubiKeyを注文できます。

  1. Oktaにユーザーをインポートします。
  2. Universal Directoryでそれらのユーザーのユーザープロファイルを更新し、YubiKeyの配送に必要な情報を含めます。
  3. この情報がHRISからソーシングされる場合は、HRISで更新します。この情報がOktaのユーザープロファイルに正しくマッピングされていることを確認します。「プロファイルを管理する」を参照してください。
  4. YubiKeyの配送には、以下のユーザー詳細が必要です。
    • Secondary email(セカンダリメールアドレス):アカウントにサインインしたことがないすべての[Staged(ステージング済み)]ユーザーと[Active(アクティブ)]ユーザーに必要です。
    • Primary phone(メインの電話番号)
    • Street Address(番地)
    • City(市)
    • State(州)
    • Zip code(郵便番号)
    • Country Code(国番号)
    • Organization(組織)
  5. YubiKeyの製品IDと在庫製品IDを取得します。「YubiKeyのドキュメント」を参照してください。
  6. YubiKeyのカスタマイゼーションIDを取得します。「YubiKeyのドキュメント」を参照してください。
  7. 次のエンドポイントとリクエストを使用して一括配送を作成します。OktaユーザーIDごとにこのAPIエンドポイントを呼び出す必要があります。
    • エンドポイント:POST /webauthn-registration/api/v1/initiate-fulfillment-request

    • リクエスト

      コピー
      {
        "userId": "${oktaUserId}",
        "fulfillmentProvider": "yubico",
        "fulfillmentData": [
          {
            "productId": "${productId}",
            "customizationId": "${customizationId}",
            "inventoryProductId": "${inventoryProductId}"
          }
        ]
      }

このイベントにより、Okta Workflowsの「配送の作成トリガー - MFA開始」アプリイベントがトリガーされます。リクエストでユーザーIDごとに指定したパラメーターに基づいて、ユーザーに適切なYubiKeyが割り当てられます。このフローは、フルフィルメントデータのリストを生成し、[Create Shipment(配送を作成)]フローを介してそのリストをYubicoに送信します。

リクエストパラメーター

APIエンドポイントリクエストでは、以下のパラメーターを使用します。

パラメーター

説明

パラメータータイプ

データ型

必須

userId

OktaでのユーザーのID

本文

文字列

TRUE

fulfillmentProvider

配送フルフィルメントプロバイダーの名前。この場合はyubicoです。

本文

文字列

TRUE

fulfillmentData

ユーザーに割り当てられるYubiKeyの詳細のリスト

本文

配列

TRUE

productId

ユーザーに割り当てられるYubiKeyの製品ID

本文

文字列

TRUE

customizationId

ユーザーに割り当てられるYubiKeyのカスタマイゼーションID

本文

文字列

TRUE

inventoryProductId

ユーザーに割り当てられるYubiKeyの在庫製品ID

本文

文字列

TRUE

配送がトリガーされた後の管理者のエクスペリエンス

Okta Workflowsで配送イベントがトリガーされると、イベントがYubicoコンソールにも登録されます。キーがアクティブ化されると、YubiKey PINがユーザーに送信されます。キーの横の[Send PIN(PINを送信)]をクリックしてキーを再送信することもできます。

既存のキー配送が完了するまでユーザーの新しいセキュリティキーを登録することはできません。この段階で新しいセキュリティキーを追加するときは、最初に既存のセキュリティキー配送を削除し、Yubicoコンソールでキーフルフィルメントプロセスをキャンセルします。YubiKeyを削除すると、キーの登録とユーザーの資格情報も完全に削除されます。

YubiKeyのステータスは次のいずれかとなります。

  • [Fulfillment started(フルフィルメント開始)]Oktaが登録を開始し、Yubicoによるフルフィルメントフローがトリガーされました。
  • [Fulfillment errored(フルフィルメントエラー)]:フルフィルメントプロセスでエラーが発生しました。詳細については、Okta WorkflowsでFlow Packの実行履歴を確認してください。これは一時的なエラーかもしれません。既存のフルフィルメントフローを変更してから、失敗した箇所からプロセスを再開して、問題が解消されるか確認してください。
  • [Shipped(配送済み)]:キーがセットアップされ、配送されたという情報をOktaYubicoから受け取りました。キーはまだ使用されていません。この時点でPINが利用可能になり、ユーザーに再送信できるようになります。
  • [Active(アクティブ)]:キーがOktaへのサインインに使用されています。Oktaに保存されているPINはワイプされます。

次の手順

ユーザーエクスペリエンス