生研メールサーバ二要素認証について/About two-factor authentication (2FA) of IIS mail server

生研メール二要素認証の大雑把なご説明図

(画像クリックで拡大します)

設定方法/How to Set

「二要素認証」についてすでにご存知の方は、この「設定方法/How to Set」内のみご確認いただければ設定は完了し、メールの読み書きができるようになります。

全体の流れ/Overview (スマートフォンによる認証設定のケース)

  1. スマートフォンまたはタブレット(iOSまたはAndroid端末)に認証アプリをインストールします。
    Install "Google Authenticator" on your smartphone or tablet (iOS or Android device).

    • Overview-01.png
  2. メールアカウントの設定変更のため、Webメールにログインします。
    Log in to WebMail for changing the settings of the mail account.

    • Overview-02_2021.png
  3. Webメールの設定画面とスマホの認証アプリを使って二要素認証(画面の項目名は「2段階認証」)の設定をします。
    Set up 2FA using WebMail setting function and Google Authenticator on smartphone.

    • Overview-03_2021.png
  4. 再度生研アカウントのパスワードを入力します。
    Enter password again.

    • Overview-03-01_2021.png
  5. 「次へ」進みます。
    Continue next.

    • Overview-03-02_2021.png
  6. Webメールの設定画面に表示されたキーをスマホの認証アプリに設定します。
    Enter the Key displayed on WebMail setting to smartphone's Authenticator setting.

    • Overview-04-01_2021.png
  7. スマホの認証アプリの設定が出来たら、表示されたコード(6桁の数字)をWebメール設定画面に入力します。
    Enter the code displayed on the smartphone's Authenticator to WebMail setting.

    • Overview-07-01_2021.png
  8. 「成功です!」が表示されたら、設定は完了です。
    The WebMail setting was successful.

    • Overview-09_2021.png
  9. 二要素認証設定後、ワンタイムコードを取得します。これはスマートフォンが手元にないときにスマートフォンで生成されるコードの代わりに入力可能なコードで、一度使用すると使えなくなります。
    After setting up two-factor authentication, get a one-time code. This is a code that can be entered instead of the code generated by the smartphone when the smartphone is not at hand.

    • (画面右上に歯車アイコンが表示されていない場合)、左上の三本線アイコンをクリックします。
      (If the gear icon is not displayed in the upper right corner of the screen), click the three-line icon in the upper left corner.
      • Overview-11-2_2021.png
    • 歯車アイコンをクリックし、ドロップダウンメニューの「設定」をクリックします。
      Click the gear icon, and then click "Settings" in the drop-down menu.
      • Overview-11-3_2021.png
    • 「アカウントの追加」をクリックし、DEFAULT(あなたのメールアドレス)をクリックします。
      Click "Accounts" and then click DEFAULT(your email address).
      • Overview-11-4_2021.png
    • 画面をスクロールダウンして「ワンタイムコード」を探し「未使用コード10」をクリックします。
      Scroll down to "One-time codes" and click "10 unused codes."
      • Overview-11-5_2021.png
  10. 10回分用意されており、1回使用すると1つ使えなくなります。印刷して手元にお持ちください。
    It is prepared for 10 times, and if you use it once, you will not be able to use one.Please keep on a printed paper.

    • Overview-11-6_2021.png
  11. 設定完了後、Webメールにログインする際に、スマホの認証アプリに表示されるコードを入力する必要があります。
    After completing 2FA setting, when logging in WebMail, you need to enter the code displayed on the smartphone's Authenticator.

アプリケーションコード(Application Passcode)

  1. アプリケーションコードの設定開始
    • (画面右上に歯車アイコンが表示されていない場合)、左上の三本線アイコンをクリックします。
      (If the gear icon is not displayed in the upper right corner of the screen), click the three-line icon in the upper left corner.
      • Overview-11-2_2021.png
    • 歯車アイコンをクリックし、ドロップダウンメニューの「設定」をクリックします。
      Click the gear icon, and then click "Settings" in the drop-down menu.
      • Overview-11-3_2021.png
    • 「アカウントの追加」をクリックし、DEFAULT(あなたのメールアドレス)をクリックします。
      Click "Accounts" and then click DEFAULT(your email address).
      • Overview-11-4_2021.png
    • 画面をスクロールダウンして「二要素認証をサポートしないアプリのパスコード」を探し「+パスコードを追加」をクリックします。
      Scroll down to "Passcodes for apps that do not support two-factor authentication" and click "+Add a passcode."
      • Overview-11-7_2021.png
  2. アプリケーション名の入力(ご自身でわかる適当な名称で構わない)
    Enter a name for the application. (You can name it.)
    • AppCode-02_2021.png
  3. アプリケーションコードの表示
    The application code will be displayed.
    • AppCode-03_2021.png
  4. メールクライアントでの設定
    Configure the mail client using the application code displayed as a password substitute.
    • アプリケーションコードの表示で表示されたコードを、メールクライアント(メールソフトウェア)の設定において、パスワードとして設定し、保存する。
    • 詳しくは、メールソフトウェアの設定にて確認ください。その際パスワード入力・保存している部分には、生研アカウントのパスワードではなく、上記で取得したアプリケーションコードを設定ください。

Classic UI の場合

Classic UI を使っている場合のアプリケーションコード発行方法は概ね次のとおりです。

  1. アプリケーションコードの設定開始
    • AppCode-01.png
  2. アプリケーション名の入力(ご自身でわかる適当な名称で構わない)
    • AppCode-02.png
  3. アプリケーションコードの表示
    • AppCode-03.png
  4. メールクライアントでの設定
    • アプリケーションコードの表示で表示されたコードを、メールクライアント(メールソフトウェア)の設定において、パスワードとして設定し、保存する。
    • 詳しくは、メールソフトウェアの設定にて確認ください。その際パスワード入力・保存している部分には、生研アカウントのパスワードではなく、上記で取得したアプリケーションコードを設定ください。

詳細PDFマニュアル/ Setting Manuals

(PDFファイルは随時更新しています。設定される際は過去にダウンロードしたものではなく、リンク先より最新版を入手してください。)
(PDF files are updated from time to time. When setting 2FA, please obtain the latest version from the link destination, not the one downloaded in the past.)

二要素認証とは

二要素認証とは、その名の示すとおり「二つの要素を用いて認証を実施」する方法のことです。生研メールサーバで用いている「二つの要素」は

  1. 利用者本人の記憶(=パスワード)
  2. 利用者が所有している端末上の認証アプリケーションが生成するコード

です。

似たような言葉に「二段階認証」がありますが(一部、生研メールサーバのWebメール設定画面でも「二段階認証」と表記されている箇所がありますが)こちらは同じ要素で、二回認証を行う方法です。
例えば、「パスワード」と「秘密の質問の答え」の組み合わせ等が二段階認証に該当します。どちらも「本人の記憶」であり、要素としては「一つ」だけです。

二要素認証の利用イメージ

2FA-image-draft1.jpg

(図をクリックすると拡大します。)

2FA-image-draft1-e.jpg

(Click on image to enlarge.)

生研メール二要素認証におけるパスワード的な概念の整理と説明

FAQ (よくある質問)

Q:二要素認証を有効化した後、webへのログインに失敗する

認証アプリを動作させる環境の時刻にズレがないか、ご確認ください。

二要素認証で利用するワンタイムパスワードは、時刻ベースの方式(TOTP)を利用しています。認証アプリを動作させる環境の時刻にズレがある場合、正確なワンタイムパスワードが生成されません。 ご利用のOSにて、「日付の自動設定」を有効にし、時刻ズレが無い状態にしてください。

時刻ズレの有無の確認には下記リンクが便利です。 (外部リンク 国立研究開発法人 情報通信研究機構 日本標準時のページ https://www.nict.go.jp/JST/JST5.html )

時刻ズレに問題が無くても、webへのログインに失敗に失敗する場合は、事前に生成したワンタイムコードを利用してください。

Q:二要素認証の認証アプリが動作しない、(または、認証アプリが手元から離れた場所にある)

例えば、スマートフォンを自宅に置き忘れた等で、認証アプリが手元にない場合は、事前に生成したワンタイムコードを利用してください。

このため、ワンタイムコードは認証アプリが動作するスマートフォン内にメモとして保存するのではなく、別の方法で携帯いただくことをおすすめします。

なお、ワンタイムコードは一度限りの利用となります。ログインに成功した後は、再びそのワンタイムコードを利用することはできません。

zimbraのwebメールにログインできた後、ワンタイムコードの生成画面にて、「新しいコードを生成」ボタンを押せば、再度10個のワンタイムを生成できます。

Q:二要素認証webログイン時に、「このコンピュータを信頼する」にチェックを入れても次回ログイン時にコードを要求される

「このコンピュータを信頼する」の機能では、Cookieを利用しています。

webブラウザの「プライベートブラウズモード」等、Cookieを利用しない環境では利用できません。お使いのwebブラウザの環境をご確認ください。

Q:二要素認証を有効化した後、メールソフトウェア(thunderbird、outlook等)の認証に失敗する。

二要素認証を有効化した後は、メールソフトウェアでは従来のパスワードを利用することはできません。従来のパスワードの代わりに、アプリケーションコードを利用して下さい。詳しくは設定方法をご覧ください。

Q:webメール内でワンタイムコード表示のリンクがみつからない

二要素認証にて、ワンタイムコードを表示する際は、webメールログイン時に、クライアントを「アドバンスト(Ajax)」にしてください。

Q:webメール内でアプリケーションコード追加のボタンがみつからない

二要素認証にて、アプリケーションコードを追加する際は、webメールログイン時に、クライアントを「アドバンスト(Ajax)」にしてください。

参考

UTokyo-CERT セキュリティ対策ガイドライン2017年7月号 二段階認証のススメ(学内からのみアクセス可)


Last-modified: 2022/04/28 (木) 14:49:08