Webサービス用多要素認証を利用する手順を説明します。

はじめに

情報科学センターの提供する一部のWebサービスは学外からも利用可能となっています。
しかしながら、同時に学外からの不正アクセス試行も可能となってしまうため、フィッシングメールなどを通じてアカウント名・パスワードが漏洩してしまうと学外からの不正アクセスによる被害を受ける恐れがあります。

パスワード漏洩による不正アクセスを防ぐ手段として、System11では多要素認証機能を備えた認証サーバ(AXIOLE)を導入しました。
各利用者が多要素認証設定を有効にすることで、多要素認証に対応したWebサービスに学外からログインする際はワンタイムパスワード(OTP)を用いた多要素認証が行われます。

System11では電子メールサービス (MailSuite) においても多要素認証機能が導入されていますが、メールサーバ製品独自の仕組みとなっているため本資料の利用手順は該当しません。
電子メールサービスで多要素認証機能を利用する際は、電子メールサービスの多要素認証を利用するをご覧ください。

多要素認証が利用可能なWebサービス

現在、以下の Web サービスについて、学外からのアクセスに対する多要素認証が利用できます。

  • ファイル共有サービス (Nextcloud)
  • ブラウザ VPN のログイン画面(SAML ログインを選んだ場合)
  • 端末 VPN  のログイン画面(SAML ログインを選んだ場合)

利用手順

学内のネットワーク接続環境から以下の設定を行うことで、学外からのアクセスに対する多要素認証を利用できるようになります。

「利用者情報管理サービス」上で多要素認証を有効にする

  1. 利用者ポータル(https://cis.kit.ac.jp/portal/)にある「利用者情報管理」にアクセス
  2. 「利用者情報管理」サービスの「利用サービス指定」画面で「多要素認証」を有効にする:

「多要素認証設定サービス」上で多要素認証アプリの設定をする

  1. 利用者ポータル(https://cis.kit.ac.jp/portal/)にある「多要素認証設定」にアクセスし、CISアカウントでログインします。

  2. ログインしたら「2段階認証設定」ボタンをクリックします。

  3. 「2段階認証設定」の画面が表示されたら、「トークンアプリを使用する」を選択します。次に、スマートフォンのトークンアプリで画面上のQRコードを読み込み、ワンタイムパスワード情報を登録します。
    トークンアプリにはTOTP方式に対応したワンタイムパスワード管理用アプリケーション(Google Authenticator, Microsoft Authenticator等)が利用可能です(iPhone/iPad標準のパスワード管理アプリも利用可能です。

    トークンアプリの設定が済んだら「次へ」ボタンをクリックします。
  4. トークンアプリの設定が正常に行えたかを確認するために「認証コード」の入力を求められます。トークンアプリ上に表示されている認証コード(ワンタイムパスワード)を入力し、「確認」ボタンをクリックします。
  5. 入力した認証コードが正しい場合は以下の画面が表示され、2段階認証設定状況が「オン」になります。


これで多要素認証を利用できるようになります

多要素認証対応Webサービスへのログイン手順

  1. 多要素認証対応Webサービスへ学外からアクセスし、CISアカウントでログインします。
  2. 通常の認証に引き続き、次の「認証コード入力」画面が表示されます:
  3. トークンアプリに表示されている認証コード(ワンタイムパスワード)を入力し、「ログイン」ボタンをクリックしてください:

これで多要素認証を用いたログインが完了します。

認証コードは一定時間おきに更新されるため、ログインボタンを押す直前に新しい認証コードに切り替わってしまい、ログインに失敗するケースがあります。

「認証コードが一致しません」というエラーが出た時は、最新の認証コードを入力しなおしてください。