Yubico OTPの初期設定についてはこちらのページを、FIDO認証をするための初期設定についてはこちらのページを参照してください。

管理者側の設定

初めにOneLoginにおける管理者権限を持っていることをご確認ください。

Yubico OTP

ポリシーを作成する
  1. お使いのOneLoginの環境に移動し、管理者権限を持つアカウントでログインします。
  2. 管理者アイコンの隣にある管理ボタンをクリックして管理ページに移動します。
  3. Security >> Authentication Factorsに移動します。
  4. 「New Auth Factor」をクリックします。
  5. 「YubiKey」を選択します。
  6. 必要があればUser Descriptionに説明文を加えます。
  7. 入力が完了したら「Save」をクリックします。

以上で認証要素にYubico OTPが追加できました。

OneLoginの認証要素にYubikeyを追加
ユーザーポリシーの設定
  1. Security >> Policiesに移動します。
  2. 「New User Policy」をクリックします。
  3. 画面左上部の「Policies」に任意のポリシー名を入力します。
  4. ページ左側のMFAタブをクリックします。
  5. One-time passwordsで「OTP Auth Required」にチェックを入れることで、ユーザーがOneLoginにログインするときにMFAが要求されるようになります。
  6. MFAとしてYubico OTPを使えるようにするために「YubiKey」にチェックを入れます。
  7. 同じページの下部にあるEnforcement Settingsで「OTP required for」でOTPを要求するユーザー、「OTP required at」でOTPを要求する頻度を選択します。
  8. ページ左側のAccount Recoveryタブをクリックします。
  9. Select Factors Availableで「YubiKey」にチェックを入れることでユーザーがパスワードリセットをするときにもYubico OTPが使えます。
  10. 設定が完了したら「Save」をクリックします。

以上でユーザーポリシーの設定は完了です。

OneLogin ユーザーポリシーの設定

FIDO認証

ポリシーを作成する
  1. お使いのOneLoginの環境に移動し、管理者権限を持つアカウントでログインします。
  2. 管理者アイコンの隣にある管理ボタンをクリックして管理ページに移動します。
  3. Security >> Authentication Factorsに移動します。
  4. 「New Auth Factor」をクリックします。
  5. 「WebAuthn」を選択します。
  6. 必要があればUser Descriptionに説明文を加えます。
  7. 入力が完了したら「Save」をクリックします。

以上で認証要素にFIDO認証が追加できました。

OneLoginにFIDO認証を追加
ユーザーポリシーの設定
  1. Security >> Policiesに移動します。
  2. 「New User Policy」をクリックします。
  3. 画面左上部の「Policies」に任意のポリシー名を入力します。
  4. ページ左側のMFAタブをクリックします。
  5. One-time passwordsで「OTP Auth Required」にチェックを入れることで、ユーザーがOneLoginにログインするときにMFAが要求されるようになります。
  6. MFAとしてYubiKeyのFIDO認証を使えるようにするために「WebAuthn」にチェックを入れます。
  7. 同じページの下部にあるEnforcement Settingsで「OTP required for」でどのユーザーにOTPを要求するか、「OTP required at」でどの頻度でOTPを要求するかを選択します。
  8. ページ左側のAccount Recoveryタブをクリックします。
  9. Select Factors Availableで「WebAuthn」にチェックを入れることでユーザーがパスワードリセットをするときにもYubiKeyのFIDO認証が使えます。
  10. 設定が完了したら「Save」をクリックします。

以上でユーザーポリシーの設定は完了です。

OneLogin FIDO認証のユーザーポリシーを追加する

ユーザー側の設定

Yubico OTP

はじめにOneLogin管理者がYubiKeyを認証要素として設定していること、OneLogin管理者がポリシーでログイン時にMFAを必須としていることをご確認ください。

One LoginのMFAとしてYubico OTPを設定する方法
  1. YubiKey Manager >> Interfacesを開き、OTPを有効にします。
  2. お使いのOneLoginの環境に移動し、OneLoginのユーザー名を入力します。
  3. パスワードを入力します。
  4. 2要素認証の登録が求められるので、「セットアップを始める」をクリックします。
  5. 認証要素を選ぶ画面が表示されるので、「YubiKey」を選択します。
  6. YubiKeyの金属部分のボタンを押します。
  7. Yubico OTPの入力が終わると、ポータル画面が表示されます。
OneLoginのポータル画面

以上の設定でOne LoginのMFAとしてYubico OTPが設定できました。

Yubico OTP設定後のログイン手順
  1. お使いのOneLoginの環境に移動し、OneLoginのユーザー名を入力します。
  2. パスワードを入力します。
  3. Yubico OTPの入力が求められるので、YubiKeyの金属部分のボタンを押します。
  4. Yubico OTPの入力が終わると、ポータル画面が表示されます。

以上でOneLoginへのログインが完了です。

OneLoginにYubikeyを認証要素として使用

FIDO認証

はじめにOneLogin管理者がWebAuthnを認証要素として設定していること、OneLogin管理者がポリシーでログイン時にMFAを必須としていることをご確認ください。

One LoginのMFAとしてYubiKeyのFIDO認証を使う方法
  1. YubiKey Manager >> Interfacesを開き、FIDO2,FIDO U2Fを有効にします。
  2. お使いのOneLoginの環境に移動し、OneLoginのユーザー名を入力します。
  3. パスワードを入力します。
  4. 2要素認証の登録が求められるので、「セットアップを始める」をクリックします。
  5. 認証要素を選ぶ画面が表示されるので、「WebAuthn」を選択します。
  6. WebAuthnのホップアップが表示されます。YubiKeyを使うので、「USBセキュリティ キー」を選択します。
  7. YubiKeyの金属部分のボタンを押します。
  8. FIDO2を有効にしている場合は、PINを入力します。(FIDO U2Fを有効にしている場合はPINの入力は求められません)
  9. 認証が通ると、ポータル画面が表示されます。
Yubikeyのインターフェイス

以上の設定でOneLoginのMFAとしてYubiKeyのFIDO認証ができるようになりました。

PC
  1. お使いのOneLoginの環境に移動し、OneLoginのユーザー名を入力します。
  2. パスワードを入力します。
  3. WebAuthnのホップアップが表示されます。YubiKeyを使うので、「USBセキュリティ キー」を選択します。
  4. YubiKeyの金属部分のボタンを押します。
  5. FIDO2を有効にしている場合は、PINを入力します。(FIDO U2Fを有効にしている場合はPINの入力は求められません)
  6. 認証が通ると、ポータル画面が表示されます。

以上の設定で以上でOneLoginへのログインが完了です。

Yubikeyを使用
OneLoginのWebAuthnでYubikeyを使用
iOS(iPhone with NFC)

FIDO認証ではUSB接続だけでなく、NFC接続をすることもできます。活用例として、iPhoneを使ってOneLoginのFIDO認証を紹介します。

  1. お使いのOneLoginの環境に移動し、OneLoginのユーザー名を入力します。
  2. パスワードを入力します。
  3. 「セキュリティキーをアクティベートするか、キーをiPhoneの上部に近づけて続けてください。」という文字が表示されるので、YubiKeyとiPhoneを右の画像のように近づけます。
  4. FIDO2を有効にしている場合は、PINを入力します。(FIDO U2Fを有効にしている場合はPINの入力は求められません)
  5. 認証が通ると、ポータル画面が表示されます。

以上のように、NFC接続を使うことでIOSでもFIDO認証が使えます。

iosのOneLoginでYubikeyを使用する