本文中のスクリーンショットには開発中の画面が含まれるため,実際の環境とは見た目が若干異なる場合があります.
TOTP (Time-based One-Time Password) 認証はスマートフォンやコンピュータに登録した認証トークンと 現在時刻から計算されるワンタイムパスワードによって認証を行う方法です.
このため,デバイスの時刻同期が正しく設定されていないとうまく動作しない場合があります. スマートフォンなど,自動的に時刻同期が行われるデバイスの利用をおすすめします.
ここでは,スマートフォンアプリ(FreeOTP)を用いる方法を説明します.
認証アプリケーションの登録方法
VPN接続のためのTOTP認証に使用する認証アプリケーションの登録・管理は Knossos【ネットワークID】 で行います.
Knossos【ネットワークID】へのアクセスはパソコン等で行ってください.
この方法では,スマートフォンやタブレットなどの 登録用デバイス の他に, 登録用のQRコードを表示するためのPCやタブレット等の 表示用デバイス が必要になります. 2つのデバイスをご用意のうえ,どちらのデバイスを操作するのか注意して登録作業を行ってください.
iPhoneの場合
FreeOTPのインストール
この操作はスマートフォン・タブレット等の登録用デバイスで行ってください.
(iPhone-1). 認証アプリケーションの準備
- App storeなどからFreeOTPを入手してください.
図1
(iPhone-2). アプリを起動する.
図2
(iPhone-3). 「Add a token」をクリックする.
図3
(iPhone-4). 「FreeOTPがカメラへのアクセスを求めています」が表示されたら「OK」をクリックする.
図4
Knossos【ネットワークID】 へのサインイン
この操作はPC・タブレット等の表示用デバイスで行ってください
(iPhone-5). ブラウザで https://knossos.center.kobe-u.ac.jp/auth/realms/networkid/account/#/ を開きます.
右上の「Sign In」ボタンをクリックする.
図5
(iPhone-6). Knossos【ネットワークID】 へのサインインを求められますので,お使いの ネットワークID と ネットワークID用パスワード を入力します.
図6
(iPhone-7). サインインに成功するとKnossos【ネットワークID】での管理画面が出てきます.
画面中の「アカウント・セキュリティー 」欄内の 「サインイン」のリンクをクリックする.
図7
(iPhone-8). 画面右側の項目下段にある「二要素認証」に注目します.
- ここで第二要素に使用する項目の管理ができます.
- この画面から新しい認証要素の追加や登録済み情報の削除などが行えます.
- この画面から新しい認証要素の追加や登録済み情報の削除などが行えます.
- TOTP認証を使用する場合は「認証アプリケーション」項目右側の「認証アプリケーション設定 」をクリックします.
図8
FreeOTPにQRコードを読み込む
次に,表示用デバイス(PCやタブレット等)に 登録用QRコードを表示させ, FreeOTPをインストールしたデバイスでこの QRコードを読み取る 手順を説明します.
(iPhone-9). 表示用デバイス(パソコン等)で Knossos【ネットワークID】にログインして、アカウント・セキュリティー > サインイン > 二要素認証 の 認証アプリケーション設定 をクリックする.
図9
(iPhone-10). パソコンの画面上に二次元コード(QRコード)が表示されるので、これを先ほどインストールしたFreeOTPで撮影する.
- この二次元コードにはアプリが保持する認証トークンの情報が含まれます.漏出すると不正ログイン等に利用される可能性があるため,他人と共有したりしないよう取り扱いに注意してください.
- 画面解像度が低いために,QRコードが読み取れない場合があります. うまく行かない場合は
Ctrl + +(macOSの場合Command + +)などで画面を拡大してみてください.
(スマートフォン)
図10
(iPhone-11). コードが読み込めたらFreeOTPで登録アイコンの選択画面が表示されるので、適当なものを選択する.(例として鍵のアイコンを選択していますが,どのアイコンを選択してもかまいません.)
図11
(iPhone-12). (スマートフォン)「Next」をクリックすると、アプリケーションの画面には「神戸大学 シングルサインオン Knossos【ネットワークID】」と表示され、クリックするとワンタイムパスワードが表示される.
図12
(iPhone-13). Knossos【ネットワークID】の二次元コードの表示画面下側に,ワンタイムパスワードを入力する欄があるので,そこにアプリに表示されているパスワードを入力する.
- 同時に登録名を「デバイス名」欄に記述して「送信」ボタンを押す.
- 登録に利用したデバイスをご自身で識別できるようなものを推奨します.
- 登録に利用したデバイスをご自身で識別できるようなものを推奨します.
- ワンタイムパスワードには有効期間があるので注意してください.
- ワンタイムパスワードは60秒毎に再生成され,有効期間は生成後120秒間です.
- 先に「デバイス名」を入力してからワンタイムパスワードを入力することをおすすめします.
- ワンタイムパスワードは60秒毎に再生成され,有効期間は生成後120秒間です.
図13
- コード検証に失敗した場合, QRコードが再発行されますので,コードの読み取りからやり直しになります.
- 画面上では変化が分かりにくいですが,違うコードになっていますので,先程読み込んだ設定は利用できません.
- アプリ側の失敗した設定を消去し,コードを読み込むところからやり直してください.
- 何回も失敗する場合は,デバイスの時刻設定が正しくなされているかを確認してください.
(iPhone-14). コードの検証を行い問題がなければ登録完了となり,Knossos【ネットワークID】のサインインメニュー画面に戻ってくる.
図14
エラーが表示された場合
コード検証に失敗した場合,アプリ側の失敗した設定を消去してください.
(iPhone-Error-1). ワンタイムパスワードを入力すると,「無効なオーセンティケータ・コードです。」と表示される.
図15
(iPhone-Error-2). (スマートフォン)「神戸大学 シングルサインオン KNOSSOS」を削除する.
図16
(iPhone-Error-3). (スマートフォン)再度、コードを撮影する.
(iPhone-Error-4). コードが読み込めたら,アプリケーションの画面には「神戸大学 シングルサインオン KNOSSOS」と表示され、クリックすると使い捨てパスワードが表示される.
(iPhone-Error-5). Knossos【ネットワークID】の二次元コードの表示画面下側に,ワンタイムパスワードを入力する欄があるので,そこにアプリに表示されているパスワードを入力する.
Androidの場合
FreeOTPのインストール
(Android-1). 認証アプリケーションの準備
- Google Play からFreeOTPを入手してください.
- 開発元が「Red Hat」であることを確認してください.
図17
(Android-2). アプリを起動する.
図18
(Android-3). 「Password」と「Confirm Password」を入力して「DONE」をクリックする. - パスワードは任意の文字を設定してください. - パスワードは変更できません.
図19
(Android-4). 「+」をクリックし、QRコードのアイコン が表示されたらクリックする.
図20
(Android-5). 「写真と動画の撮影を「FreeOTP」に許可しますか?」が表示されたら「アプリの使用時のみ」をクリックする.
図21
Knossos【ネットワークID】 へのサインイン
この操作はPC・タブレット等の表示用デバイスで行ってください
(Android-6). ブラウザで https://knossos.center.kobe-u.ac.jp/auth/realms/networkid/account/#/ を開きます.
右上の「Sign In」ボタンをクリックする.
図22
(Android-7). Knossos【ネットワークID】 へのサインインを求められますので,お使いの ネットワークID と ネットワークID用パスワード を入力します.
図23
(Android-8). サインインに成功するとKnossos【ネットワークID】での管理画面が出てきます.
画面中の「アカウント・セキュリティー 」欄内の 「サインイン」のリンクをクリックする.
図24
(Android-9). 画面右側の項目下段にある「二要素認証」に注目します.
- ここで第二要素に使用する項目の管理ができます.
- この画面から新しい認証要素の追加や登録済み情報の削除などが行えます.
- この画面から新しい認証要素の追加や登録済み情報の削除などが行えます.
- TOTP認証を使用する場合は「認証アプリケーション」項目右側の「認証アプリケーション設定 」をクリックします.
図25
FreeOTPにQRコードを読み込む
次に,表示用デバイス(PCやタブレット等)に 登録用QRコードを表示させ, FreeOTPをインストールしたデバイスでこの QRコードを読み取る 手順を説明します.
(Android-10). 表示用デバイス(パソコン等)で Knossos【ネットワークID】 にログインして、アカウント・セキュリティー > サインイン > 二要素認証 の 認証アプリケーション設定 をクリックする.
図26
(Android-11). パソコンの画面上に二次元コード(QRコード)が表示されるので、これを先ほどインストールしたFreeOTPで撮影する.
- この二次元コードにはアプリが保持する認証トークンの情報が含まれますので,取り扱いに注意してください.
- 画面解像度が低いために,QRコードが読み取れない場合があります. うまく行かない場合は
Ctrl + +(macOSの場合Command + +)などで画面を拡大してみてください.
(パソコン等)
図27
(スマートフォン)
図28
(Android-12). (スマートフォン)コードが読み込めたら,アプリケーションの画面には「神戸大学 シングルサインオン KNOSSOS【ネットワークID】」と表示され、クリックするとワンタイムパスワードが表示される.
図29
(Android-13). Knossos【ネットワークID】の二次元コードの表示画面下側に,ワンタイムパスワードを入力する欄があるので,そこにアプリに表示されているパスワードを入力する.
- 同時に登録名を「デバイス名」欄に記述して「送信」ボタンを押す.
- 登録に利用したデバイスをご自身で識別できるようなものを推奨します.
- 登録に利用したデバイスをご自身で識別できるようなものを推奨します.
- ワンタイムパスワードには有効期間があるので注意してください.
- ワンタイムパスワードは60秒毎に再生成され,有効期間は生成後120秒間です.
- 先に「デバイス名」を入力してからワンタイムパスワードを入力することをおすすめします
- ワンタイムパスワードは60秒毎に再生成され,有効期間は生成後120秒間です.
図30
- コード検証に失敗した場合, QRコードが再発行されますので,コードの読み取りからやり直しになります.
- 画面上では変化が分かりにくいですが,違うコードになっていますので,先程読み込んだ設定は利用できません.
- アプリ側の失敗した設定を消去し,コードを読み込むところからやり直してください.
- 何回も失敗する場合は,デバイスの時刻設定が正しくなされているかを確認してください.
(Android-14). コードの検証を行い問題がなければ登録完了となり,Knossos【ネットワークID】のサインインメニュー画面に戻ってくる
図31
エラーが表示された場合
コード検証に失敗した場合,アプリ側の失敗した設定を消去してください.
(Android-Error-1). ワンタイムパスワードを入力すると,「無効なオーセンティケータ・コードです。」と表示される.
図32
(Android-Error-2). (スマートフォン)「神戸大学 シングルサインオン KNOSSOS」を削除する.
図33
(Android-Error-3). (スマートフォン)再度、コードを撮影する.
(Android-Error-4). コードが読み込めたら,アプリケーションの画面には「神戸大学 シングルサインオン KNOSSOS」と表示され、クリックすると使い捨てパスワードが表示される.
(Android-Error-5). Knossos【ネットワークID】の二次元コードの表示画面下側に,ワンタイムパスワードを入力する欄があるので,そこにアプリに表示されているパスワードを入力する.