事前登録されたYubiKeyセキュリティキーを注文する
この手順では、ユーザーに事前登録されたYubiKeyセキュリティキーを注文する方法について説明します。
Okta Universal Directoryまたは外部の人事情報システム(HRIS)アプリ(ServiceNowやWorkdayなど)を注文に関する配送情報のソースとして使用できます。ユーザーのYubiKeyを注文する前にソースシステムでユーザーの配送情報を更新してください。
開始する前に
この手順を実行する前に、次のタスクが完了していることを確認してください。
- FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップする
- YubiKey配送用のOkta Workflowsをセットアップする
- 次のYubiKey情報を収集します。
- 製品ID
- 在庫製品ID
- カスタマイゼーションID
「製品および在庫識別子」と「YubiKeyのカスタマイゼーションIDに関するドキュメント」を参照してください。
「事前登録のYubiKeyを使用したフィッシング耐性のある認証を必須にする」を参照してください。
ステージング済みユーザーを作成する
ユーザーがOktaに存在しないときは、ユーザーを[Staged(ステージング済み)]ステータスで作成します。
- ユーザーを手動で追加します。
- 以下のユーザー詳細を入力します。
- User type(ユーザータイプ)
- First name(名)
- 姓
- Username(ユーザー名)
- Primary Email (プライマリメールアドレス)
- [Secondary email(セカンダリメールアドレス)]:ユーザーのセカンダリメールアドレスを入力します。YubiKey PINの送信先になります。
- [Groups(グループ)]:FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップするで作成したユーザーグループにユーザーを割り当てます。
- Activation(アクティブ化):[Activate later(後でアクティブ化)]を選択します。これにより、ユーザーが[Staged(ステージング済み)]ステータスで作成されます。
アクティブユーザーをグループに割り当てる
ユーザーのステータスがOktaで[Active(アクティブ)]になっている場合は、FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップするで作成したグループにユーザーを割り当てます。
-
Admin Consoleで、 に移動します。
- に移動します。
- ユーザーをグループに追加します。
ユーザーの配送情報を更新する
ステータスが[Staged(ステージング済み)]または[Active(アクティブ)]のユーザーをUniversal Directoryからソーシングする場合は、Oktaでそのユーザーの配送情報を更新します。それ以外の場合は、HRISで配送情報を更新します。
- [People(ユーザー)]ページで、 に移動します。
- ユーザープロファイルに次の詳細が表示されていることを確認します。これらの詳細はYubiKeyを発送するために必要です。
- [Secondary email(セカンダリメールアドレス)]:このメールアドレスは、アカウントにサインインしたことがなくステータスが[Staged(ステージング済み)]または[Active(アクティブ)]のすべてのユーザーに必要です。
- Primary Phone(優先電話番号)
- Street Address(番地)
- City(市)
- State(州)
- Zip code(郵便番号)
- Country Code(国番号)
- Organization(組織)
- [Save(保存)]をクリックします。
個々のユーザーのYubiKeyを注文する
ステータスが[Staged(ステージング済み)]または[Active(アクティブ)]の各ユーザーに以下のタスクを実行します。
- に移動します。
- [Security Key(セキュリティキー)]セクションで、[Add a pre-enrolled security key(事前登録されたセキュリティキーを追加)]をクリックします。
- [YubiKeyの登録および配送]ページで、以下のセキュリティ詳細を入力します。
- Product ID(製品ID)
- Inventory Product ID(在庫製品ID)
- Customization ID(カスタマイゼーションID)
- [Security key delivery(セキュリティキーの配送)]セクションで、ユーザーの情報が正しいことを確認します。この情報を変更する必要があるときは、Universal DirectoryまたはHRISのユーザープロファイルで更新します。
- [Submit(送信)]をクリックします。ユーザーの[Security Key(セキュリティキー)]セクションに事前登録されたYubiKeyとその配送ステータスが表示されます。
このイベントにより、「YubiKey配送用のOkta Workflowsをセットアップする」でセットアップしたOkta Workflowsテンプレートがトリガーされ、YubiKeyの配送が開始されます。
事前登録されたYubiKeyを一括で注文する
Okta APIを使用して、対象ユーザーのYubiKeyを注文します。
- Oktaにユーザーをインポートします。
- Universal Directoryでそれらのユーザーのユーザープロファイルを更新し、YubiKeyの配送に必要な情報を含めます。この情報がHRISからソーシングされる場合は、HRISで更新します。情報がOktaのユーザープロファイルに正しくマッピングされていることを確認します。「プロファイルを管理する」を参照してください。
- YubiKeyの配送には、以下に記載されたユーザー詳細が必要です。
- [Secondary email(セカンダリメールアドレス)]:このメールアドレスは、アカウントにサインインしたことがなくステータスが[Staged(ステージング済み)]または[Active(アクティブ)]のすべてのユーザーに必要です。
- Primary Phone(優先電話番号)
- Street Address(番地)
- City(市)
- State(州)
- Zip code(郵便番号)
- Country Code(国番号)
- Organization(組織)
- 注文するYubiKeyタイプの製品IDと在庫製品IDを取得します。「製品と在庫識別子」を参照してください。
- 注文するYubiKeyタイプのカスタマイゼーションIDを取得します。「YubiKeyのドキュメント」を参照してください。
- 次のエンドポイントとリクエストを使用して一括配送を作成します。OktaユーザーIDごとにこのエンドポイントを呼び出します。
- エンドポイント:POST /webauthn-registration/api/v1/initiate-fulfillment-request
[Request(リクエスト)]:
コピー{
"userId": "${oktaUserId}",
"fulfillmentProvider": "yubico",
"fulfillmentData": [
{
"productId": "${productId}",
"customizationId": "${customizationId}",
"inventoryProductId": "${inventoryProductId}"
}
]
}
このイベントにより、Okta Workflowsの[Create shipment trigger- MFA Initiated(配送の作成トリガー - MFA開始)]アプリイベントがトリガーされ、ユーザーにYubiKeyが割り当てられます。リクエストでユーザーIDごとに指定したパラメーターが使用されます。このフローは、フルフィルメントデータのリストを生成し、[Create Shipment(配送を作成)]フローを介してそのリストをYubicoに送信します。
リクエストパラメーター
APIエンドポイントリクエストでは、以下のパラメーターを使用します。
パラメーター |
説明 |
パラメータータイプ |
データ型 |
必須 |
---|---|---|---|---|
userId |
OktaのユーザーID。 |
本文 |
文字列 |
TRUE |
fulfillmentProvider |
配送フルフィルメントプロバイダーの名前(yubico)。 |
本文 |
文字列 |
TRUE |
fulfillmentData |
ユーザーに割り当てられるYubiKeyの詳細。 |
本文 |
配列 |
TRUE |
productId |
ユーザーに割り当てられるYubiKeyの製品ID。 |
本文 |
文字列 |
TRUE |
customizationId |
ユーザーに割り当てられるYubiKeyのカスタマイゼーションID。 |
本文 |
文字列 |
TRUE |
inventoryProductId |
ユーザーに割り当てられるYubiKeyの在庫製品ID。 |
本文 |
文字列 |
TRUE |
配送がトリガーされた後の管理者のエクスペリエンス
Okta Workflowsで配送イベントがトリガーされると、イベントがYubicoコンソールにも登録されます。キーがアクティブ化されると、YubiKey PINがユーザーに送信されます。キー番号の横にある[Send PIN(PINを送信)]をクリックして、PINを再送信します。
既存のキー配送が完了するまでユーザーの新しいセキュリティキーを登録することはできません。この段階で別のセキュリティキーを登録する場合は、最初に既存のセキュリティキー配送を削除し、Yubicoコンソールでキーフルフィルメントプロセスをキャンセルします。このYubiKeyを削除すると、キーの登録とユーザーの資格情報が完全に削除されます。
YubiKeyのステータスは次のいずれかとなります。
- [Fulfillment started(フルフィルメント開始)]:OktaでYubicoによる登録とフルフィルメントフローが開始されました。
- [Fulfillment errored(フルフィルメントエラー)]:フルフィルメントプロセスでエラーが発生しました。詳細については、Okta WorkflowsでFlow Packの実行履歴を確認してください。これは一時的なエラーかもしれません。既存のフルフィルメントフローを変更してから、失敗した箇所からプロセスを再開して、問題が解消されるか確認してください。
- [Shipped(発送済み)]:YubicoからOktaにキーのセットアップと発送が通知されました。キーはまだ使用されていません。PINは利用可能であり、ユーザーに送信することができます。
- [Active(アクティブ)]:キーがOktaへのサインインに使用されています。Oktaに保存されていたPINは削除されました。