Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
岐阜大学統合認証における
多要素認証の利用マニュアル
令 和 2 年 1 0 月 版
情報連携推進本部作成
1
内容
1. 本学統合認証における多要素認証の概要 .............................................................................. 2
2. 利用準備1(認証用機器にアプリをインストール) ............................................................ 4
(1) iOS機器の場合 ※iPhone で説明 ................................................................................. 4
(2) Android機器の場合 ※スマホで説明 ........................................................................... 7
(3) メール認証を利用する場合 ............................................................................................ 8
3. 利用準備2(共通) .............................................................................................................. 8
(1) システムに認証に使う機器を登録する .......................................................................... 8
(2) スマホ1台で登録を行う .............................................................................................. 14
4. ワンタイムパスワードの動作確認 ....................................................................................... 17
1. SSOに学内と同様の手順でログインする ......................................................................... 17
2. 登録機器でワンタイムパスワードを確認する(メールによる手順) ............................. 17
3. 登録機器でワンタイムパスワードを確認する(アプリによる手順) ............................. 18
4. ワンタイムパスワードを SSO で入力してログインする .................................................. 18
5. 注意事項 ............................................................................................................................... 19
2
1. 本学統合認証における多要素認証の概要
本学では,1つのユーザ IDとパスワードにより様々な学内システムがご利用いただけ
るようにしており,これを統合認証と言います。またユーザ IDとパスワードの入力1度
で済むよう.シングルサインオン(以下 SSOという)という仕組みを導入しています。
これは便利な反面,ユーザ IDとパスワードの組み合わせ(以下,アカウントと言う)
が何らかの方法で盗み取られると,本学システムに外部からの侵入を許すことになり,
学内外に重大な損害を及ぼす恐れが生じます。このような危険を未然に防ぐ方法とし
て,近年多要素認証の導入事例が増えています。
多要素認証とは,認証(システムへのログインや操作の確認等)の際にワンタイムパ
スワード(注 1)や生体認証(注 2)を用いたり,専用の認証機器(注 3)を用いることによ
り,ユーザ IDとパスワードの入力だけの場合より,本人あるいは登録機器からの接続や
操作であることを強固に担保する仕組みです。
本マニュアルでは,学外からの本学システム利用時の統合認証で多要素認証(ワンタ
イムパスワード)を利用するにあたり準備するべきこと,およびその利用方法について
ご説明します。※学内での利用は現状通りで,多要素認証は要求されません。
※注 1 ワンタイムパスワード:一定時間あるいは回数のみ効力を有するパスワード
注 2 生体認証:指紋や顔など,身体の情報を使って認証する方法
注 3 専用認証機器:USBドングルを PC等に挿す方法や,リーダーで認証用カードを
読み取る方法などがある
利用対象者
本学システム利用のため,本学より個人アカウントが発行されている者
※事務メールを出張先等から利用するなどの場合には,事務アカウントに対しても多要素
認証を設定する必要があります。
◆ ワンタイムパスワード受信用に利用登録できる端末(1 台およびメールアドレス 1つ)
公費又は私費で購入したノートパソコン,タブレット,スマートフォン等
※出張等の際に,常に身に着けて持ち歩く機器が望ましい。
※本マニュアルでは,主にスマートフォンを使用する想定で説明しています。
※学外者(他大学学生や非常勤講師等で本学アカウント発行対象者)で原則学内にいない方
の多要素認証については,担当部局等を通じて情報館までご相談ください。
多要素認証は令和 2年 10 月 19日適用の予定で,それまで学外から初回設定が可能です。
相談窓口
情報館 1 階
内 線:2041
3
統合認証での多要素認証 フロー図
認証用機器(手持ちのスマホ)に認証用アプリをダウンロードする
メール認証を利用の場合はアプリ不要
iPhone用アプリ Android用アプリ ※メール受信設定をする
認証用機器等の登録設定を行う ※初回または変更時のみ(初回は原則学内PCが必要)
PCで大学アカウントマネージャ(GUAM)にログインし、「SSO利用者ポータル」画面から、アカウントの設定(メール)あるいはワンタイムパスワードの設定(QRコード表示)を選択する
アプリでQRコードを読み込む ワンタイムパスワード送信用※その他(Google,Facebook)を選択 メールアドレスを設定する※読み込めない場合は、アカウント ※アプリ認証を主で利用する場名とキーコードの入力で代用可 合でも予備として登録を推奨
アプリに表示されたワンタイムパスワードをPC側に入力する
学外から統合認証を利用して大学システムを利用する(大学メール含)※多要素開始後は必須 (学内利用の場合は不要)
通常と同じ手順で統合認証画面でIDとパスワードを入力すると、認証方式を選択する画面になる
ワンタイムパスワード ワンタイムパスワード(メール認証)
登録機器のアプリを開き、表示され 登録メールに送信されたているワンタイムパスワードを入力 メールに記載のワンタイム
パスワードを入力
大学システムの利用開始 大学システムの利用開始
テストサイトで設定した認証用機器等の動作確認を行う
4
2. 利用準備1(認証用機器にアプリをインストール)
(1) iOS 機器の場合 ※ iPhone で説明
① Appストアで,以下のアプリを検索してインストールします。
「Microsoft Authenticator」 Microsoft 社提供の無料アプリ
② インストール後,アプリを開くと初回起動時に以下の事柄を確認されます。
「通知の送信(スマホ上の通知表示)」では許可,「プライバシー(個人を特定しない情
報の収集等)」では OKを,それぞれタッチします。
⇒ ⇒
③ 「QRコードのスキャン」をタッチすると,QRコード用カメラが起動します。QRコード読
み取り用のカメラ画面が出てきたら,利用準備2に進んでください。
※初回スキャン時に「カメラへのアクセス」を求められた場合は OKとし,④に進んでく
ださい。
※いったんアプリを閉じても問題ありません。
⇒
5
④ アプリを閉じ再度開いた場合は,アカウント設定時の画面順が異なります。以下に示す順
に開いて QR コード用カメラ画面を出してください。
※アカウントを追加(設定済の場合右上「+」から追加) → その他(Google,Facebook な
ど) → カメラ画面
⇒ ⇒
また iOS の設定によっては,起動時にアプリロックという機能が働く場合があります。指
紋や顔認証あるいはパスコード入力による,より厳重なアプリの利用制限がかかります。
なお,推奨ではありませんが,アプリ内設定から OFFにすることも可能です。
職場または学校アカウント
ではないことに注意
本説明画面では指紋認証
認証すると④の通り進み
ます。
6
⑤ 初回スキャン時に「このアプリをアクティブ化し,・・・」と出てきた場合は,以下のよ
うに対応してください。
1) 設定に移動 → Authenticator → 通知と進む
⇒ ⇒
2) 「通知を許可」を OFF(グレー)→ON(緑)に変更する
※いくつかの項目が表示されるが,変更の必要はない。
⇒
7
(2) Android 機器の場合 ※スマホで説明
① GooglePlay ストアで,以下のアプリを検索してインストールします。
「Microsoft Authenticator」 Microsoft 社提供の無料アプリ
② インストール後,アプリを開くと初回起動時に以下の事柄を確認されます。
「通知の送信(スマホ上の通知表示)」では許可,「プライバシー(個人を特定しない情
報の収集等)」では OKを,それぞれタッチします。
⇒
③ 「QRコードのスキャン」をタッチすると,QR コード用カメラが起動します。QR コード読み
取り用のカメラ画面が出てきたら,利用準備2に進んでください。
※初回スキャン時に「カメラへのアクセス」を求められた場合は OKにしてください。
※いったんアプリを閉じても問題ありませんが,(1)-④のように「アカウントを追加 →
他のアカウント(Google,Facebook など) → カメラ画面」と動作する必要があります。
⇒
8
④ アプリを閉じ再度開いた場合は,アカウント設定時の画面順が異なります。以下に示す順に
開いて QRコード用カメラ画面を出してください。
※アカウントを追加(設定済の場合右上「+」から追加) → 他のアカウント
(Google,Facebook など) → カメラ画面
⇒ ⇒
(3) メール認証を利用する場合
① メール認証を利用したいメールアドレスで,@gifu-u.ac.jpからのメールが受け取れるよ
うに設定しておいてください。
3. 利用準備2(共通)
(1) システムに認証に使う機器を登録する
① 岐阜大学アカウントマネージャ(通称 GUAM)を開きます。
※この認証機器登録は重要な作業なので,必ず学内の信頼できる PCから行ってください。
※学外者(他大学学生や非常勤講師等で本学アカウント発行対象者)で原則学内にいない
方の多要素認証については,担当部局等を通じて情報館までご相談ください。
情報館のページにある右バナーの「GUAM」をクリッ
クし,次の画面では上側の「一般利用者機能・・」(パ
スワード変更等)をクリックしてください
※大学発行の ID,パスワードで入ってください
職場または学校アカウント
ではないことに注意
9
② 「SSO 利用者ポータル」をクリックし,SSO管理画面を表示します。
③ メール認証を利用する場合(予備的に設定しておくことを推奨)
「アカウントの設定」でワンタイムパスワードを送信する学外メールアドレスを設定しま
す。設定後は動作確認をしてください。
※本欄に学内メールを設定した場合,学外から認証に失敗する状況ではログインも変更も
不能となる可能性があります。
※登録メールアドレスで,@gifu-u.ac.jpのメールが受信できるよう設定してください。
※日本語と英語が選択でき,登録機器以外で読めるメールアドレスでも問題ありません。
④ 二次元コード認証を利用する場合
「ワンタイムパスワードの設定」から登録用 QRコードを表示します。
(注意) 「同意したサービス」をクリックする
と SSO利用状況が確認できますが,多
要素認証とは関係ない機能なので,本マ
ニュアルでは説明しません
Googleになっているの
で,アプリのアカウント
設定時には,「学校アカ
ウント」でなく「その他」
を選択してください
10
表示された QR コードは,端末側で準備した Microsoft Authenticator で読み込みます。
アプリを起動し,カメラで QR コードを読み込む準備をしてください。
(Android,iOSともほぼ共通)
⇒
⇒ ⇒
⇒
1. 「QR コードをスキャン」 をタッチで
QR コード用カメラ画面を表示する
1. 「QR コードをスキャン」 をタッチ
2. 「アカウントを追加」をタッチ
3. 「その他(Google,Facebook など)」をタッチ
で QR コード用カメラ画面を表示する
その他(Google,Facebook など)
を選択する
※職場または学校アカウントで
はないことに注意
11
⑤ 黄色枠内に QRコードが入るように機器をかざして,QR コードを読み込んでください。読
み込みに成功すれば,自動的にワンタイムパスワード表示画面に切り替わります。
ワンタイムパスワードが表示されたら,次は⑦を実行してください。
(iOS の場合)
⇒
(Androidの場合)
⇒
12
⑥ QR コードが読み込めない等の場合には,ユーザとコードを直接アプリに登録する必要があ
ります。PC側で「QRコードが読み込めない場合」ボタンをクリックし,シークレットコー
ドを表示してください。アプリ側でカメラ画面の下「またはコードを手動で入力」をタッ
チし,アカウント名にユーザ名を,秘密鍵にシークレットを入力し,「完了」をタッチし
てください。ワンタイムパスワードが表示されたら,次は⑦を実行してください
※iOSと Android で若干表示名等が異なります。
⇒ ⇒
⇒
※ QR コードの読み込み,シークレットコードの入力のどちらも失敗する場合
ブラウザを閉じて開き直し,以下 URLにアクセスし設定を試してください。
https://gakunin.gifu-u.ac.jp/user/index.php?app=qrsecret&st=ga
アカウント情報を入力すると QR コードが表示されるので,すぐに読み込ん
でください。画面を変えると QR コードが変化し,やり直しになります。
その後,登録ボタンから機器登録(次ページ)を必ず行ってください。
13
⑦ アプリ側にアカウントが正常に作成されたら,PC側は QRコード下の「登録」をクリックし
てください。アプリに表示されたワンタイムパスワードを,PC 側の登録画面のパスワード
に入力し,機器を登録します。
⇒
正常に登録完了すると,
「ワンタイムパスワード認証の設定が完了しました」
と表示されます。
以後,端末側では設定作業不要で,「Authenticator」アプリ起動後すぐワンタイムパスワード
画面が表示できます。
※アカウント名をタッチした先の画面でワンタイムパスワードが表示される場合があります。
14
(2) スマホ1台で登録を行う
① 岐阜大学アカウントマネージャ(通称 GUAM)を開きます。
※機種によっては画面表示等が若干異なる場合がありますが、手順は基本的に同じです。
⇒ ⇒
⇒ ⇒ ⇒
情報館のページにある右バナーの「GUAM」
をクリックし,次の画面では上側の「一般利用
者機能・・」(パスワード変更等)をクリックして
ください
※大学発行の ID,パスワードでログイン
SSO利用者ポータルをクリック
15
② メール認証で設定する場合
「アカウントの設定」の画面で,通知用メールアドレス欄にワンタイムパスワードを送信
する学外メールアドレスを設定します。設定後は動作確認をしてください。
※本欄に学内メールを設定した場合,学外から認証に失敗する状況ではログインも変更も
不能となる可能性があります。
※登録メールアドレスで,@gifu-u.ac.jpのメールが受信できるよう設定してください。
※日本語と英語が選択でき,登録機器以外で読めるメールアドレスでも問題ありません。
⇒ ⇒
③ アプリ認証で設定する場合
「ワンタイムパスワードの設定」の画面で,自動登録をタッチしてください。自動的にイ
ンストール済みの Microsoft Authenticator アプリに登録されます。
カウントダウンが十分残っている時点のコードを確認し,前画面に戻って次へをタッチし
た次の画面でコードを入力して確認してください。(13 ページと同じ流れ)
学外メール(gifu-u.ac.jp以外)の
メールアドレスを設定してください
※多要素認証のワンタイムパスワ
ードメールの送信先になります
16
なお同様の認証アプリを複数インストールしている場合,自動登録をタッチしたときに
どのアプリを利用するか確認されます。
(iPhoneの動作) ※Microsoft Authenticator がインストールされていれば優先選択されます。
(Android の動作) ※呼び出すアプリの選択を要求されるので MicrosoftAuthenticator を選択
します。似た名称のアプリを選択しないようご注意ください。
17
4. ワンタイムパスワードの動作確認
1. SSO に学内と同様の手順でログインする
① 下記テストサイトにアクセスし,学内と同様の IDとパスワードで本学システムにログイン
する手順を実行してください。 テストサイト https://gust.gifu-u.ac.jp
ログインしようとすると,認証方式を尋ねられます。
認証方式は「ワンタイムパスワード(メール認証)」と「ワンタイムパスワード」が選択
できます。認証方式を選択し,後述の各方式の手順でワンタイムパスワードを入力してく
ださい。 ※テストサイトでは、「パスワードの保存」をしないようにしてください。
⇒
2. 登録機器でワンタイムパスワードを確認する(メールによる手順)
① パスワード入力画面が表示され,下に「パスワードを送信しました」と表示されます。
② (登録したスマートフォン等で)メールを表示し,書かれているワンタイムパスワードを
1.-①のパスワード入力画面に入力してください。メールはその後削除してください。
大学 ID(メールアドレスの@の前の部分)と
パスワード(ワンタイムパスワードではない)
を入力する
認証方式の選択画面
ワンタイムパスワード(メール認証)を選択 パスワード欄にワンタイムパスワードを入力
※パスワードは保存しないこと
パスワード欄にワンタイムパスワードを入力
※パスワードは保存しないこと
18
3. 登録機器でワンタイムパスワードを確認する(アプリによる手順)
① パスワード入力画面が表示されます。
② (登録したスマートフォン等で)「Authenticator」アプリを起動し,表示されているワン
タイムパスワードを入力画面に入力してください。その後アプリは閉じてください。
4. ワンタイムパスワードを SSO で入力してログインする
① 「サービスに送信する情報」でユーザー情報の送信確認が表示された場合は,「同意」す
るとログインでき,学内と同様にシステムが利用できるようになります。
⇒
テストサイトでは,成功すると「岐阜大学 SSOの多要素認証に成功しました」と表示され
ます。(テストサイトでは実際のシステム利用には進みません)
※パスワードを保存するかどうか聞いてきた場合、保存しないようにしてください。
ワンタイムパスワードを選択 パスワード欄にワンタイムパスワードを入力
パスワード欄にワンタイムパスワードを入力
テストサイトの成功表示
19
5. 注意事項
① 本マニュアルにより登録した機器やメールアドレスの管理については,本学パスワードガ
イドライン 3.4 および 3.5に準じた厳重な管理が必要なものとなりますので,それを踏ま
えた管理および利用をお願いします。
② 本マニュアルで登録するワンタイムパスワード送信用メールアドレスは,学外で利用可能
なもので,かつ@gifu-u.ac.jpからのメールが受け取れる設定にしておいてください。登
録後に,学外での利用を想定した動作確認をしておくことを推奨します。
③ 本マニュアルにより登録できる機器は,最後に登録した機器,パスワードメールは最後に
送信されたメールのものだけが有効となります。登録機器でワンタイムパスワード画面を
出したまま,あるいは利用後のメールを削除せず放置する,などの行為は不必要に他人に
本学システムへのアクセス情報を与えてしまいます。利用後の情報は適切に処理してくだ
さい。
④ 登録機器の機種変更などを行なう場合には,変更前の機器からアプリやメールを削除し,
適切に情報を消去してください。その後,変更後の機器を新たに登録しておくなど必要な
作業を行ってください。
⑤ 事務アカウントに多要素認証設定をした場合(事務メールを出張先等から利用の場合),
異動により不要となるメールアドレス登録やアプリの設定は確実に削除してください。
また引き継ぎを受けた事務アカウントは,前任者の設定が残っていないか確認してくださ
い。
⑥ 利用準備2に使用できるのは,原則学内の PC からとなります。学外から本学システムを
利用する必要はあるが学内で登録作業ができないといった方は,担当部局等を通じ情報館
にご相談ください。
※利用準備および利用方法の部分をメール内にリンクを記載する形式でご案内することは
ありません。各自,情報館 HP や PC等に登録済みのお気に入りなどからアクセスしてく
ださい。
⑦ 登録機器を紛失したなどの場合には,速やかに本設定を別機器や別メールアドレスに変更
するなどの措置を講じてください。それが困難な場合は情報館(内線 2041)までご相談
ください。
⑧ その他,ご利用に関する疑問点等は情報館(内線 2041)までご相談ください。
ワンタイムパスワードのテストサイト https://gust.gifu-u.ac.jp/
※本説明の「4. ワンタイムパスワードの動作確認」で使用