岐阜大学統合認証における 多要素認証の利用 ... - gifu...
TRANSCRIPT
岐阜大学統合認証における
多要素認証の利用マニュアル
令 和 2 年 8 月 版
情報連携推進本部作成
1
内容
1. 本学統合認証における多要素認証の概要 .............................................................................. 2
2. 利用準備1(認証用機器にアプリをインストール) ............................................................ 4
(1) iOS機器の場合 ※iPhone で説明 ................................................................................. 4
(2) Android機器の場合 ※スマホで説明 ........................................................................... 7
(3) メール認証を利用する場合 ............................................................................................ 8
3. 利用準備2(共通) .............................................................................................................. 8
(1) システムに認証に使う機器を登録する .......................................................................... 8
4. ワンタイムパスワードの利用方法 ....................................................................................... 14
1. SSOに学内と同様の手順でログインする ......................................................................... 14
2. 登録機器でワンタイムパスワードを確認する(メールによる手順) ............................. 14
3. 登録機器でワンタイムパスワードを確認する(アプリによる手順) ............................. 15
4. ワンタイムパスワードを SSO で入力してログインする .................................................. 15
5. 注意事項 ............................................................................................................................... 16
2
1. 本学統合認証における多要素認証の概要
本学では,1つのユーザ IDとパスワードにより様々な学内システムがご利用いただけ
るようにしており,これを統合認証と言います。またユーザ IDとパスワードの入力1度
で済むよう.シングルサインオン(以下 SSOという)という仕組みを導入しています。
これは便利な反面,ユーザ IDとパスワードの組み合わせ(以下,アカウントと言う)
が何らかの方法で盗み取られると,本学システムに外部からの侵入を許すことになり,
学内外に重大な損害を及ぼす恐れが生じます。このような危険を未然に防ぐ方法とし
て,近年多要素認証の導入事例が増えています。
多要素認証とは,認証(システムへのログインや操作の確認等)の際にワンタイムパ
スワード(注 1)や生体認証(注 2)を用いたり,専用の認証機器(注 3)を用いることによ
り,ユーザ IDとパスワードの入力だけの場合より,本人あるいは登録機器からの接続や
操作であることを強固に担保する仕組みです。
本マニュアルでは,学外からの本学システム利用時の統合認証で多要素認証(ワンタ
イムパスワード)を利用するにあたり準備するべきこと,およびその利用方法について
ご説明します。※学内での利用は現状通りで,多要素認証は要求されません。
※注 1 ワンタイムパスワード:一定時間あるいは回数のみ効力を有するパスワード
注 2 生体認証:指紋や顔など,身体の情報を使って認証する方法
注 3 専用認証機器:USBドングルを PC等に挿す方法や,リーダーで認証用カードを
読み取る方法などがある
利用対象者
本学システム利用のため,本学より個人アカウントが発行されている者
※事務メールを出張先等から利用するなどの場合には,事務アカウントに対しても多要素
認証を設定することができます。
◆ 利用登録できる端末(1 台およびメールアドレス 1 つ)
公費又は私費で購入したノートパソコン,タブレット,スマートフォン等
※出張等の際に,常に身に着けて持ち歩く機器が望ましい
※本マニュアルでは,主にスマートフォンを使用する想定で説明しています
※学外者(他大学学生や非常勤講師等で本学アカウント発行対象者)で原則学内にいない方
の多要素認証については,情報館までご相談ください
相談窓口
情報館 1 階
内 線:2041
3
統合認証での多要素認証 フロー図
認証用機器(手持ちのスマホ)に認証用アプリをダウンロードする
メール認証を利用の場合はアプリ不要
iPhone用アプリ Android用アプリ ※メール受信設定をする
認証用機器等の登録設定を行う ※初回または変更時のみ(初回は原則学内PCが必要)
PCで大学アカウントマネージャ(GUAM)にログインし、「SSO利用者ポータル」画面から、アカウントの設定(メール)あるいはワンタイムパスワードの設定(QRコード表示)を選択する
アプリでQRコードを読み込む ワンタイムパスワード送信用※その他(Google,Facebook)を選択 メールアドレスを設定する※読み込めない場合は、アカウント ※アプリ認証を主で利用する場名とキーコードの入力で代用可 合でも予備として登録を推奨
アプリに表示されたワンタイムパスワードをPC側に入力する
学外から統合認証を利用して大学システムを利用する(大学メール含)※多要素開始後は必須 (学内利用の場合は不要)
通常と同じ手順で統合認証画面でIDとパスワードを入力すると、認証方式を選択する画面になる
ワンタイムパスワード ワンタイムパスワード(メール認証)
登録機器のアプリを開き、表示され 登録メールに送信されたているワンタイムパスワードを入力 メールに記載のワンタイム
パスワードを入力
大学システムの利用開始 大学システムの利用開始
4
2. 利用準備1(認証用機器にアプリをインストール)
(1) iOS 機器の場合 ※ iPhone で説明
① Appストアで,以下のアプリを検索してインストールします。
「Microsoft Authenticator」 Microsoft 社提供の無料アプリ
② インストール後,アプリを開くと初回起動時に以下の事柄を確認されます。
「通知の送信(スマホ上の通知表示)」では許可,「プライバシー(個人を特定しない情
報の収集等)」では OKを,それぞれタッチします。
⇒ ⇒
③ 「QRコードのスキャン」をタッチすると,QRコード用カメラが起動します。QRコード読
み取り用のカメラ画面が出てきたら,利用準備2に進んでください。
※初回スキャン時に「カメラへのアクセス」を求められた場合は OKとし,④に進んでく
ださい。
※いったんアプリを閉じても問題ありません。
⇒
5
④ アプリを閉じ再度開いた場合は,アカウント設定時の画面順が異なります。以下に示す順
に開いて QR コード用カメラ画面を出してください。
※アカウントを追加(設定済の場合右上「+」から追加) → その他(Google,Facebook な
ど) → カメラ画面
⇒ ⇒
また iOS の設定によっては,起動時にアプリロックという機能が働く場合があります。指
紋や顔認証あるいはパスコード入力による,より厳重なアプリの利用制限がかかります。
なお,推奨ではありませんが,アプリ内設定から OFFにすることも可能です。
職場または学校アカウント
ではないことに注意
本説明画面では指紋認証
認証すると④の通り進み
ます。
6
⑤ 初回スキャン時に「このアプリをアクティブ化し,・・・」と出てきた場合は,以下のよ
うに対応してください。
1) 設定に移動 → Authenticator → 通知と進む
⇒ ⇒
2) 「通知を許可」を OFF(グレー)→ON(緑)に変更する
※いくつかの項目が表示されるが,変更の必要はない。
⇒
7
(2) Android 機器の場合 ※スマホで説明
① GooglePlay ストアで,以下のアプリを検索してインストールします。
「Microsoft Authenticator」 Microsoft 社提供の無料アプリ
② インストール後,アプリを開くと初回起動時に以下の事柄を確認されます。
「通知の送信(スマホ上の通知表示)」では許可,「プライバシー(個人を特定しない情
報の収集等)」では OKを,それぞれタッチします。
⇒
③ 「QRコードのスキャン」をタッチすると,QR コード用カメラが起動します。QR コード読み
取り用のカメラ画面が出てきたら,利用準備2に進んでください。
※初回スキャン時に「カメラへのアクセス」を求められた場合は OKにしてください。
※いったんアプリを閉じても問題ありませんが,(1)-④のように「アカウントを追加 →
他のアカウント(Google,Facebook など) → カメラ画面」と動作する必要があります。
⇒
8
④ アプリを閉じ再度開いた場合は,アカウント設定時の画面順が異なります。以下に示す順に
開いて QRコード用カメラ画面を出してください。
※アカウントを追加(設定済の場合右上「+」から追加) → 他のアカウント
(Google,Facebook など) → カメラ画面
⇒ ⇒
(3) メール認証を利用する場合
① メール認証を利用したいメールアドレスで,@gifu-u.ac.jpからのメールが受け取れるよ
うに設定しておいてください。
3. 利用準備2(共通)
(1) システムに認証に使う機器を登録する
① 岐阜大学アカウントマネージャ(通称 GUAM)を開きます。
※この認証機器登録は重要な作業なので,必ず学内の信頼できる PCから行ってください。
※学外者(他大学学生や非常勤講師等で本学アカウント発行対象者)で原則学内にいない
方の多要素認証については,情報館までご相談ください。
情報館のページにある右バナーの「GUAM」をクリック
し,次の画面では上側の「一般利用者機能・・」(パス
ワード変更等)をクリックしてください
※個人 ID,パスワードで入ってください
職場または学校アカウント
ではないことに注意
9
② 「SSO 利用者ポータル」をクリックし,SSO管理画面を表示します。
③ メール認証を利用する場合(予備的に設定しておくことを推奨)
「アカウントの設定」でワンタイムパスワードを送信する学外メールアドレスを設定しま
す。本欄に学内メールを設定した場合,学外から認証に失敗する状況では変更不能となる
可能性があります。
※登録メールアドレスで,@gifu-u.ac.jpのメールが受信できるよう設定してください。
※日本語と英語が選択でき,登録機器以外で読めるメールアドレスでも問題ありません。
④ 二次元コード認証を利用する場合
「ワンタイムパスワードの設定」から登録用 QRコードを表示します。
右図の下線部が「Google Authenticator」「Google」になっています。
(注意) 「同意したサービス」をクリックする
と SSO利用状況が確認できますが,多
要素認証とは関係ない機能なので,本マ
ニュアルでは説明しません
10
表示された QR コードは,端末側で準備した Microsoft Authenticator で読み込みます。
アプリを起動し,カメラで QR コードを読み込む準備をしてください。
(Android,iOSともほぼ共通)
⇒
⇒ ⇒
⇒
1. 「QR コードをスキャン」 をタッチで
QR コード用カメラ画面を表示する
1. 「QR コードをスキャン」 をタッチ
2. 「アカウントを追加」をタッチ
3. 「その他(Google,Facebookなど)」をタッチ
で QR コード用カメラ画面を表示する
その他(Google,Facebookなど)
を選択する
※職場または学校アカウントで
はないことに注意
11
⑤ 黄色枠内に QRコードが入るように機器をかざして,QR コードを読み込んでください。読
み込みに成功すれば,自動的にワンタイムパスワード表示画面に切り替わります。
ワンタイムパスワードが表示されたら,次は⑦を実行してください。
(iOS の場合)
⇒
(Androidの場合)
⇒
12
⑥ QR コードが読み込めない等の場合には,ユーザとコードを直接アプリに登録する必要があ
ります。PC側で「QRコードが読み込めない場合」ボタンをクリックし,シークレットコー
ドを表示してください。アプリ側でカメラ画面の下「またはコードを手動で入力」をタッ
チし,アカウント名にユーザ名を,秘密鍵にシークレットを入力し,「完了」をタッチし
てください。※iOSと Androidで若干表示名等が異なります。
⇒ ⇒
⇒
13
⑦ 表示されたワンタイムパスワードを,PC側の登録画面で入力し,機器を登録します。
正常に登録完了すると,
「ワンタイムパスワード認証の設定が完了しました」
と表示されます。
以後,端末側では設定作業不要で,「Authenticator」アプリ起動後すぐワンタイムパスワード
画面が表示できます。
※Android端末では,アカウント名をタッチした先の画面でワンタイムパスワードが表示され
る場合があります。
14
4. ワンタイムパスワードの利用方法
1. SSO に学内と同様の手順でログインする
① 学内と同様の IDとパスワードで本学システムにログインする手順を実行してください。
ログインしようとすると,認証方式を尋ねられます。
認証方式は「ワンタイムパスワード(メール認証)」と「ワンタイムパスワード」が選択
できます。認証方式を選択し,後述の各方式の手順でワンタイムパスワードを入力してく
ださい。 テストサイト https://gust.gifu-u.ac.jp
2. 登録機器でワンタイムパスワードを確認する(メールによる手順)
① パスワード入力画面が表示され,下に「パスワードを送信しました」と表示されます。
② (登録したスマートフォン等で)メールを表示し,書かれているワンタイムパスワードを
1.-①のパスワード入力画面に入力してください。メールはその後削除してください。
15
3. 登録機器でワンタイムパスワードを確認する(アプリによる手順)
① パスワード入力画面が表示されます。
② (登録したスマートフォン等で)「Authenticator」アプリを起動し,表示されているワン
タイムパスワードを入力画面に入力してください。その後アプリは閉じてください。
4. ワンタイムパスワードを SSO で入力してログインする
① 「サービスに送信する情報」でユーザー情報の送信確認が表示された場合は,「同意」す
るとログインでき,学内と同様にシステムが利用できるようになります。
テストサイトでは,成功すると「岐阜大学 SSOの多要素認証に成功しました」と表示され
ます。(テストサイトでは実際のシステム利用には進みません)
16
5. 注意事項
① 本マニュアルにより登録した機器やメールアドレスの管理については,本学パスワードガ
イドライン 3.4 および 3.5に準じた厳重な管理が必要なものとなりますので,それを踏ま
えた管理および利用をお願いします。
② 本マニュアルで登録するワンタイムパスワード送信用メールアドレスは,学外で利用可能
なもので,かつ@gifu-u.ac.jpからのメールが受け取れる設定にしておいてください。登
録後に,学外での利用を想定した動作確認をしておくことを推奨します。
③ 本マニュアルにより登録できる機器は,最後に登録した機器,パスワードメールは最後に
送信されたメールのものだけが有効となります。登録機器でワンタイムパスワード画面を
出したまま,あるいは利用後のメールを削除せず放置する,などの行為は不必要に他人に
本学システムへのアクセス情報を与えてしまいます。利用後の情報は適切に処理してくだ
さい。
④ 登録機器の機種変更などを行なう場合には,変更前の機器からアプリやメールを削除し,
適切に情報を消去してください。その後,変更後の機器を新たに登録しておくなど必要な
作業を行ってください。
⑤ 事務アカウントに多要素認証設定をした場合(事務メールを出張先等から利用の場合),
異動により不要となるメールアドレス登録やアプリの設定は確実に削除してください。
また引き継ぎを受けた事務アカウントは,前任者の設定が残っていないか確認してくださ
い。
⑥ 利用準備2に使用できるのは,原則学内の PC からとなります。学外から本学システムを
利用する必要はあるが学内で登録作業ができないといった方は,担当部局等を通じ情報館
にご相談ください。
※利用準備および利用方法の部分をメール内にリンクを記載する形式でご案内することは
ありません。各自,情報館 HP や PC等に登録済みのお気に入りなどからアクセスしてく
ださい。
⑦ 登録機器を紛失したなどの場合には,速やかに本設定を別機器や別メールアドレスに変更
するなどの措置を講じてください。それが困難な場合は情報館(内線 2041)までご相談
ください。
⑧ その他,ご利用に関する疑問点等は情報館(内線 2041)までご相談ください。
ワンタイムパスワードのテストサイト https://gust.gifu-u.ac.jp/
※本説明の「4. ワンタイムパスワードの利用」で使用