生研メールサーバ二要素認証について/About two-factor authentication (2FA) of IIS mail server

  • 電子計算機室提供の生研メールサーバでは、パスワード漏洩時の被害を少しでも軽減するために、二要素認証を必須としています。設定が完了しないと、メールの読み書きができません。
  • まだ二要素認証の設定がお済みでなく、二要素認証とはどういうものか、すでにご存知の方は「設定方法/How to Set」の手順にしたがって設定を完了させてください。
  • 二要素認証とはなにか、概要についてお知りになりたい方は「二要素認証とは」をご覧ください。
  • 二要素認証設定後、認証アプリの入ったスマホの機種変更やPC環境の変更があった場合は、「生研メールサーバ二要素認証設定初期化申請」が必要です。

生研メール二要素認証の大雑把なご説明図

  • 二要素認証でのWebメールへのログイン
    • ログイン画面が2つになり、パスワードとコードの入力が必要です。
    • about2FA-01.jpeg

(画像クリックで拡大します)

  • 二要素認証の設定のためにはWebメールでの操作が必須です。
  • メールソフトでメールを読み書きする場合の設定については、Webメールでのログイン後アプリケーションコードの設定が必要となります。ご注意ください。

設定方法/How to Set

「二要素認証」についてすでにご存知の方は、この「設定方法/How to Set」内のみご確認いただければ設定は完了し、メールの読み書きができるようになります。

全体の流れ/Overview (スマートフォンによる認証設定のケース)

  • 以下のスクリーンショットはAndroidで設定するケースとなります。
  • スマートフォン、タブレットが利用できない場合は、詳細PDFマニュアル/ Setting Manuals の『YubiKey』の資料をご覧ください。
  • 以前当ページに掲載していた、『WinAuth』はいくつかの事情で非推奨になりました。現在は、スマートフォン上の 『Google Authenticator』 もしくは 『YubiKey』の利用を推奨しています。
  1. スマートフォンまたはタブレット(iOSまたはAndroid端末)に認証アプリをインストールします。
    Install "Google Authenticator" on your smartphone or tablet (iOS or Android device).

    • Overview-01.png
  2. メールアカウントの設定変更のため、Webメールにログインします。
    Log in to WebMail for changing the settings of the mail account.

    • Overview-02.png
  3. Webメールの設定画面とスマホの認証アプリを使って二要素認証(画面の項目名は「2段階認証」)の設定をします。
    Set up 2FA using WebMail setting function and Google Authenticator on smartphone.

    • Overview-03.png
  4. Webメールの設定画面に表示されたキーをスマホの認証アプリに設定します。
    Enter the Key displayed on WebMail setting to smartphone's Authenticator setting.

    • Overview-04-01.png
  5. スマホの認証アプリの設定が出来たら、表示されたコード(6桁の数字)をWebメール設定画面に入力します。
    Enter the code displayed on the smartphone's Authenticator to WebMail setting.

    • Overview-07-01.png
  6. 「成功です!」が表示されたら、設定は完了です。
    The WebMail setting was successful.

    • Overview-09.png
  7. 二要素認証設定後、ワンタイムコードを取得します。これはスマートフォンが手元にないときにスマートフォンで生成されるコードの代わりに入力可能なコードで、一度使用すると使えなくなります。
    After setting up two-factor authentication, get a one-time code. This is a code that can be entered instead of the code generated by the smartphone when the smartphone is not at hand.

    • Overview-11.png
  8. 10回分用意されており、1回使用すると1つ使えなくなります。印刷して手元にお持ちください。
    It is prepared for 10 times, and if you use it once, you will not be able to use one.Please keep on a printed paper.

    • Overview-12.png
  9. 設定完了後、Webメールにログインする際に、スマホの認証アプリに表示されるコードを入力する必要があります。
    After completing 2FA setting, when logging in WebMail, you need to enter the code displayed on the smartphone's Authenticator.

  • ログイン画面に生研のユーザーID(生研メールアドレス)とパスワードを入力
    Log in to WebMail with User ID and password.
    • Overview-02.png
  • 次の画面でスマホの認証アプリに表示されるコードを入力
    You need to enter the code displayed on the smartphone's Authenticator.
    • Overview-08.png

アプリケーションコード(Application Passcode)

  • ThunderbirdやOutlook等、Webメール以外のメールソフトウェアでメールの送受信をするには、Webメールの設定画面で「アプリケーションキー」を作成し、メールソフトウェアの「パスワード」に生研アカウントのパスワードの代わりに、アプリケーションキーを設定します。
    To send and receive e-mail with Thunderbird, Outlook, and other e-mail software, create an "application key" with the WebMail setting function. Then, instead of the IIS account password, set the application key in the "password" of the e-mail software.
  1. アプリケーションコードの設定開始
    • AppCode-01.png
  2. アプリケーション名の入力(ご自身でわかる適当な名称で構わない)
    • AppCode-02.png
  3. アプリケーションコードの表示
    • AppCode-03.png
  4. メールクライアントでの設定
    • アプリケーションコードの表示で表示されたコードを、メールクライアント(メールソフトウェア)の設定において、パスワードとして設定し、保存する。
    • 詳しくは、メールソフトウェアの設定にて確認ください。その際パスワード入力・保存している部分には、生研アカウントのパスワードではなく、上記で取得したアプリケーションコードを設定ください。

詳細PDFマニュアル/ Setting Manuals

(PDFファイルは随時更新しています。設定される際は過去にダウンロードしたものではなく、リンク先より最新版を入手してください。)
(PDF files are updated from time to time. When setting 2FA, please obtain the latest version from the link destination, not the one downloaded in the past.)

  • スマートフォン、タブレット等(iOSまたはAndroid)を用いた設定手順/Setting procedure using smartphone, tablet etc. (iOS or Android)
    • [日本語/Japanese] 生研メール 二要素認証設定手順 (PDF):第2.1版 2018/12/20更新
      ※スマートフォン/タブレットは、Webメールログイン時に必要な「認証コード」生成のために使用します。どの端末でメールを読むかにかかわらず、スマートフォン/タブレットが利用可能な場合は、こちらの手順に沿って設定してください。
      ※認証アプリ「Google Authenticator(iOS)/認証システム(Android)」をインストールする端末は1台のみです。1つの認証アプリで、複数環境にてWebメールにログインできます。
      ※二要素認証設定後、Webメール上で作成する「アプリケーションコード」を利用することで、PCを含む複数端末上のメールクライアントソフトウェアで、メール送受信が可能です。「アプリケーションコード」は利用環境数分作成します。
  • [英語/English] How to enable two-factor authentication feature (User Web Client) (Zimbra official website)
    ※A smartphone or tablet is used to generate the "authentication code" required for WebMail login. Regardless of which device you read mail on , if you can use your smartphone or tablet, please follow this procedure.
    ※Install the authentication application "Google Authenticator" on only one device. With one authentication application, you can log in to WebMail in multiple environments.
    ※In order to send and receive emails using email client software on PC etc. after enabling 2FA, use "application code" created in WebMail. "Application code" must be created for the number of usage environments.

二要素認証とは

二要素認証とは、その名の示すとおり「二つの要素を用いて認証を実施」する方法のことです。生研メールサーバで用いている「二つの要素」は

  1. 利用者本人の記憶(=パスワード)
  2. 利用者が所有している端末上の認証アプリケーションが生成するコード

です。

似たような言葉に「二段階認証」がありますが(一部、生研メールサーバのWebメール設定画面でも「二段階認証」と表記されている箇所がありますが)こちらは同じ要素で、二回認証を行う方法です。
例えば、「パスワード」と「秘密の質問の答え」の組み合わせ等が二段階認証に該当します。どちらも「本人の記憶」であり、要素としては「一つ」だけです。

二要素認証の利用イメージ

2FA-image-draft1.jpg

(図をクリックすると拡大します。)

2FA-image-draft1-e.jpg

(Click on image to enlarge.)

生研メール二要素認証におけるパスワード的な概念の整理と説明

FAQ (よくある質問)

Q:二要素認証を有効化した後、webへのログインに失敗する

認証アプリを動作させる環境の時刻にズレがないか、ご確認ください。

二要素認証で利用するワンタイムパスワードは、時刻ベースの方式(TOTP)を利用しています。認証アプリを動作させる環境の時刻にズレがある場合、正確なワンタイムパスワードが生成されません。 ご利用のOSにて、「日付の自動設定」を有効にし、時刻ズレが無い状態にしてください。

時刻ズレの有無の確認には下記リンクが便利です。 (外部リンク 国立研究開発法人 情報通信研究機構 日本標準時のページ http://www.nict.go.jp/JST/JST.html )

時刻ズレに問題が無くても、webへのログインに失敗に失敗する場合は、事前に生成したワンタイムコードを利用してください。

Q:二要素認証の認証アプリが動作しない、(または、認証アプリが手元から離れた場所にある)

例えば、スマートフォンを自宅に置き忘れた等で、認証アプリが手元にない場合は、事前に生成したワンタイムコードを利用してください。

このため、ワンタイムコードは認証アプリが動作するスマートフォン内にメモとして保存するのではなく、別の方法で携帯いただくことをおすすめします。

なお、ワンタイムコードは一度限りの利用となります。ログインに成功した後は、再びそのワンタイムコードを利用することはできません。

zimbraのwebメールにログインできた後、ワンタイムコードの生成画面にて、「新しいコードを生成」ボタンを押せば、再度10個のワンタイムを生成できます。

Q:二要素認証webログイン時に、「このコンピュータを信頼する」にチェックを入れても次回ログイン時にコードを要求される

「このコンピュータを信頼する」の機能では、Cookieを利用しています。

webブラウザの「プライベートブラウズモード」等、Cookieを利用しない環境では利用できません。お使いのwebブラウザの環境をご確認ください。

Q:二要素認証を有効化した後、メールソフトウェア(thunderbird、outlook等)の認証に失敗する。

二要素認証を有効化した後は、メールソフトウェアでは従来のパスワードを利用することはできません。従来のパスワードの代わりに、アプリケーションコードを利用して下さい。詳しくは設定方法をご覧ください。

Q:webメール内でワンタイムコード表示のリンクがみつからない

二要素認証にて、ワンタイムコードを表示する際は、webメールログイン時に、クライアントを「アドバンスト(Ajax)」にしてください。

Q:webメール内でアプリケーションコード追加のボタンがみつからない

二要素認証にて、アプリケーションコードを追加する際は、webメールログイン時に、クライアントを「アドバンスト(Ajax)」にしてください。

参考

UTokyo-CERT セキュリティ対策ガイドライン2017年7月号 二段階認証のススメ(学内からのみアクセス可)


Last-modified: 2019/08/29 (木) 15:06:28 (17d)