OneLoginの他要素認証にYubikeyを使う

AWS運用自動化サービス「Cloud Automator」

宮澤です。
今回は、OneLoginを利用してるユーザーに、Yubikeyを他要素認証デバイスとして使わせる設定を紹介します。

管理者設定

OneLoginに管理者画面でログインして”SETTING > Authentication Factors”を開き、”NEW AUTH FACTOR”を押します。

Partnersの一覧にある”YUBIKEY”の”CHOSE”を押します。

OneLogin上の表示名を設定し”SAVE”を押します。

次に”SETTINGS > Policies”を押します。

Yubikeyを使わせたいユーザー用のポリシーに設定を行います。
新規ポリシーにYubikeyを設定する場合は、右上の”NEW USER POLICY”を押します。
既存のポリシーにYubikeyを設定する場合は、下の一覧にある既存のポリシー名を選択します。
※新規ポリシーを作成した場合は、既存のユーザーに別途ポリシーを割り当てる必要があります。

新規にポリシーを作成した場合は、上部の欄にポリシー名を設定します。
MFAタブを開き、”OTP Auth Required”にチェックを入れたあとに、”Yubikey”にチェックを入れて”SAVE”を押します。
※OTP Auth Requiredをにチェックを入れることでユーザーに他要素設定を必須にさせることができます。

ユーザー設定

OTP Auth Requiredが有効になっている場合、ユーザーがOneLoginにログインしたタイミングで他要素認証の設定が求められます。
その時は、YubikeyIDの入力欄を選択した状態で、Yubikeyの金色の部分をタップします。

 

 

 

 

 

 

ログイン済みのユーザーや、ユーザーが任意で設定する場合は、ログイン後、右上のユーザー名をクリックし”プロフィール”を押します。

2要素認証部分の”+”を押します。

以下の画面が表示されるので、YubikeyIDの入力欄を選択した状態で、Yubikeyの金色の部分をタップします。

ログイン

OneLoginにメールアドレスとパスワードを使ってログインすると、以下のようにセキュリティコードの入力を求められるので、そのタイミングで、Yubikeyの金色の部分をタップして、ログインを行うことができます。

まとめ

今回紹介した方法で、OneLoginの他要素認証をYubikeyで行うことができました。
他要素認証を行いたいけれど、モバイルデバイスを使いたくないなどの場合は、Yubikeyの利用は適切だと思います。

AWS運用自動化サービス「Cloud Automator」