本文中のスクリーンショットには開発中の画面が含まれるため,実際の環境とは見た目が若干異なる場合があります.
TOTP (Time-based One-Time Password) 認証はスマートフォンやコンピュータに登録した認証トークンと 現在時刻から計算されるワンタイムパスワードによって認証を行う方法です.
このため,デバイスの時刻同期が正しく設定されていないとうまく動作しない場合があります. スマートフォンなど,自動的に時刻同期が行われるデバイスの利用をおすすめします.
ここでは,スマートフォンアプリ(FreeOTP)を用いる方法を説明します.
認証アプリケーションの登録方法
VPN接続のためのTOTP認証に使用する認証アプリケーションの登録・管理は Knossos【ネットワークID】 で行います.
Knossos【ネットワークID】へのアクセスはパソコン等で行ってください.
この方法では,スマートフォンやタブレットなどの 登録用デバイス の他に, 登録用のQRコードを表示するためのPCやタブレット等の 表示用デバイス が必要になります. 2つのデバイスをご用意のうえ,どちらのデバイスを操作するのか注意して登録作業を行ってください.
iPhoneの場合
FreeOTPのインストール
この操作はスマートフォン・タブレット等の登録用デバイスで行ってください.
(iPhone-1). 認証アプリケーションの準備
- App storeなどからFreeOTPを入手してください.
図1
(iPhone-2). アプリを起動する.
図2
(iPhone-3). 「Add a token」をクリックする.
図3
(iPhone-4). 「FreeOTPがカメラへのアクセスを求めています」が表示されたら「OK」をクリックする.
図4
Knossos【ネットワークID】 へのサインイン
この操作はPC・タブレット等の表示用デバイスで行ってください
2024/8/19以降、システムアップデートにより,左上部の"神戸大学シングルサインオンKnossos"は、
"Red Hat | Red Hat build of Keycloak"と表示されています.」
(iPhone-5). ブラウザで https://knossos.center.kobe-u.ac.jp/auth/realms/networkid/account/#/account-security/signing-in を開きます.
(iPhone-6). Knossos【ネットワークID】 へのサインインを求められますので,お使いの ネットワークID と ネットワークID用パスワード を入力します.
図5
(iPhone-7). サインインに成功すると「Red Hat | Red Hat build of Keycloak」画面が出てきます.
図6
(iPhone-8). 画面右側の項目下段にある「二要素認証」に注目します.
- ここで第二要素に使用する項目の管理ができます.
- この画面から新しい認証要素の追加や登録済み情報の削除などが行えます.
- この画面から新しい認証要素の追加や登録済み情報の削除などが行えます.
- TOTP認証を使用する場合は「認証アプリケーション」項目右側の「認証アプリケーション設定 」をクリックします.
FreeOTPにQRコードを読み込む
次に,表示用デバイス(PCやタブレット等)に 登録用QRコードを表示させ, FreeOTPをインストールしたデバイスでこの QRコードを読み取る 手順を説明します.
(iPhone-9). 表示用デバイス(パソコン等)で 「Red Hat | Red Hat build of Keycloak」にログインして、 認証アプリケーション設定 をクリックする.
図7
(iPhone-10). パソコンの画面上に二次元コード(QRコード)が表示されるので、これを先ほどインストールしたFreeOTPで撮影する.
- この二次元コードにはアプリが保持する認証トークンの情報が含まれます.漏出すると不正ログイン等に利用される可能性があるため,他人と共有したりしないよう取り扱いに注意してください.
- 画面解像度が低いために,QRコードが読み取れない場合があります. うまく行かない場合は
Ctrl + +(macOSの場合Command + +)などで画面を拡大してみてください.
(スマートフォン)
図8
(iPhone-11). コードが読み込めたらFreeOTPで登録アイコンの選択画面が表示されるので、適当なものを選択する.(例として鍵のアイコンを選択していますが,どのアイコンを選択してもかまいません.)
図9
(iPhone-12). (スマートフォン)「Next」をクリックすると、アプリケーションの画面には「神戸大学 シングルサインオン Knossos【ネットワークID】」と表示され、クリックするとワンタイムパスワード(数字6桁)が表示される.
図10
(iPhone-13). 二次元コードの表示画面下側に,ワンタイムパスコード欄があるので,そこにアプリに表示されているパスワード(数字6桁)を入力する.
- 同時に登録名を「デバイス名」欄に記述して「送信」ボタンを押す.
- 登録に利用したデバイスをご自身で識別できるようなものを推奨します.
- 登録に利用したデバイスをご自身で識別できるようなものを推奨します.
- ワンタイムパスワードには有効期間があるので注意してください.
- ワンタイムパスワードは60秒毎に再生成され,有効期間は生成後120秒間です.
- 先に「デバイス名」を入力してからワンタイムパスワードを入力することをおすすめします.
- ワンタイムパスワードは60秒毎に再生成され,有効期間は生成後120秒間です.
図11
- コード検証に失敗した場合, QRコードが再発行されますので,コードの読み取りからやり直しになります.
- 画面上では変化が分かりにくいですが,違うコードになっていますので,先程読み込んだ設定は利用できません.
- アプリ側の失敗した設定を消去し,コードを読み込むところからやり直してください.
- 何回も失敗する場合は,デバイスの時刻設定が正しくなされているかを確認してください.
(iPhone-14). コードの検証を行い問題がなければ登録完了となり,「Red Hat | Red Hat build of Keycloak」画面のサインインメニュー画面に戻ってくる.
図12
エラーが表示された場合
コード検証に失敗した場合,アプリ側の失敗した設定を消去してください.
(iPhone-Error-1). ワンタイムパスワード(数字6桁)を入力すると,「無効なオーセンティケータ・コードです。」と表示される.
図13
(iPhone-Error-2). (スマートフォン)「神戸大学 シングルサインオン Knossos」を削除する.
図14
(iPhone-Error-3). (スマートフォン)再度、二次元コードを撮影する.
(iPhone-Error-4). 二次元コードが読み込めたら,アプリケーションの画面には「神戸大学 シングルサインオン Knossos」と表示され、クリックすると使い捨てパスワード(数字6桁)が表示される.
(iPhone-Error-5). 二次元コードの表示画面下側に,ワンタイムパスコード欄があるので,そこにアプリに表示されているパスワード(数字6桁)を入力する.
Androidの場合
FreeOTPのインストール
(Android-1). 認証アプリケーションの準備
- Google Play からFreeOTPを入手してください.
- 開発元が「Red Hat」であることを確認してください.
図15
(Android-2). アプリを起動する.
図16
(Android-3). 「Password」と「Confirm Password」を入力して「DONE」をクリックする. - パスワードは任意の文字を設定してください. - パスワードは変更できません.
図17
(Android-4). 「+」をクリックし、QRコードのアイコン が表示されたらクリックする.
図18
(Android-5). 「写真と動画の撮影を「FreeOTP」に許可しますか?」が表示されたら「アプリの使用時のみ」をクリックする.
図19
Knossos【ネットワークID】 へのサインイン
この操作はPC・タブレット等の表示用デバイスで行ってください
(Android-6). ブラウザで https://knossos.center.kobe-u.ac.jp/auth/realms/networkid/account/#/account-security/signing-in を開きます.
(Android-7). Knossos【ネットワークID】 へのサインインを求められますので,お使いの ネットワークID と ネットワークID用パスワード を入力します.
図20
(Android-8). サインインに成功するとサインインに成功すると「Red Hat | Red Hat build of Keycloak」画面が出てきます.
図21
(Android-9). 画面右側の項目下段にある「二要素認証」に注目します.
- ここで第二要素に使用する項目の管理ができます.
- この画面から新しい認証要素の追加や登録済み情報の削除などが行えます.
- この画面から新しい認証要素の追加や登録済み情報の削除などが行えます.
- TOTP認証を使用する場合は「認証アプリケーション」項目右側の「認証アプリケーション設定 」をクリックします.
FreeOTPにQRコードを読み込む
次に,表示用デバイス(PCやタブレット等)に 登録用QRコードを表示させ, FreeOTPをインストールしたデバイスでこの QRコードを読み取る 手順を説明します.
(Android-10). 表示用デバイス(パソコン等)で 「Red Hat | Red Hat build of Keycloak」にログインして、 認証アプリケーション設定 をクリックする.
図22
(Android-11). パソコンの画面上に二次元コード(QRコード)が表示されるので、これを先ほどインストールしたFreeOTPで撮影する.
- この二次元コードにはアプリが保持する認証トークンの情報が含まれますので,取り扱いに注意してください.
- 画面解像度が低いために,二次元コード(QRコード)が読み取れない場合があります. うまく行かない場合は
Ctrl + +(macOSの場合Command + +)などで画面を拡大してみてください.
(パソコン等)
図23
(スマートフォン)
図24
(Android-12). (スマートフォン)二次元コード(QRコード)が読み込めたら,アプリケーションの画面には「神戸大学 シングルサインオン Knossos【ネットワークID】」と表示され、クリックするとワンタイムパスワード(数字6桁)が表示される.
図25
(Android-13). 二次元コード(QRコード)の表示画面下側に,ワンタイムパスコード欄があるので,そこにアプリに表示されているパスワード(数字6桁)を入力する.
- 同時に登録名を「デバイス名」欄に記述して「送信」ボタンを押す.
- 登録に利用したデバイスをご自身で識別できるようなものを推奨します.
- 登録に利用したデバイスをご自身で識別できるようなものを推奨します.
- ワンタイムパスワードには有効期間があるので注意してください.
- ワンタイムパスワードは60秒毎に再生成され,有効期間は生成後120秒間です.
- 先に「デバイス名」を入力してからワンタイムパスワードを入力することをおすすめします
- ワンタイムパスワードは60秒毎に再生成され,有効期間は生成後120秒間です.
図26
- コード検証に失敗した場合, QRコードが再発行されますので,コードの読み取りからやり直しになります.
- 画面上では変化が分かりにくいですが,違うコードになっていますので,先程読み込んだ設定は利用できません.
- アプリ側の失敗した設定を消去し,二次元コード(QRコード)を読み込むところからやり直してください.
- 何回も失敗する場合は,デバイスの時刻設定が正しくなされているかを確認してください.
(Android-14). コードの検証を行い問題がなければ登録完了となり,「Red Hat | Red Hat build of Keycloak」画面のサインインメニュー画面に戻ってくる.
図27
エラーが表示された場合
コード検証に失敗した場合,アプリ側の失敗した設定を消去してください.
(Android-Error-1). ワンタイムパスワードを入力すると,「無効なオーセンティケータ・コードです。」と表示される.
図28
(Android-Error-2). (スマートフォン)「神戸大学 シングルサインオン Knossos」を削除する.
図29
(Android-Error-3). (スマートフォン)再度、二次元コードを撮影する.
(Android-Error-4). コードが読み込めたら,アプリケーションの画面には「神戸大学 シングルサインオン Knossos」と表示され、クリックすると使い捨てパスワードが表示される.
(Android-Error-5). 二次元コードの表示画面下側に,ワンタイムパスコード欄があるので,そこにアプリに表示されているパスワード(数字6桁)を入力する.
注意事項
認証アプリケーションの登録を行なったスマートフォンやタブレットを機種変更された場合は、機種変更したデバイスで認証アプリケーションの登録を行ってください.