VPNの二要素認証設定

アップデート履歴

2024年2月14日初版公開

2024年3月4日目次を入れました。

はじめに

神戸大学では2024年3月28日(木) 18:00以降，VPN接続時の二要素認証が必要となります。詳細は情報基盤センターの下記お知らせをご覧ください。本記事は，二要素認証がどんなものとかはとりあえず置いておいて，とにかく今後もVPNが使えるようにしたい人向けに，設定手順を記したものです。

VPNの2要素認証導入のお知らせ（情報基盤センターのニュース）

本記事の対象者

本記事は以下の人向けです。

自分のスマホがある人（iPhoneまたはAndroidのスマホを持っていて，それにアプリをインストールできる人）
PC/Macまたはスマホでアプリ（F5 Accessなど）を使ってVPN接続を行う人

スマホを持っていない人，ブラウザでVPN接続する人は対象ではありません。情報基盤センターがどんな人がどんな方法を使えばいいか自己診断できるチャートを用意してくれていますので，どんな方法を使えばいいか分からない人はそちらをご覧ください。

VPN接続の二要素認証の方法を決める（情報基盤センター内のページ）

設定手順の概要

設定手順は以下のようになります。

スマホに二要素認証用のアプリをインストールする。
情報基盤センターにスマホの二要素認証用アプリを登録する。
VPN接続アプリの設定を確認（必要に応じて変更）する。

設定手順1）二要素認証アプリのインストール

まずスマホに二要素認証用のアプリをインストールします。情報基盤センター推奨のアプリ名は FreeOTP というものです。アプリストアで「FreeOTP」と検索して，出てきたものをインストールしてください。

詳しい手順は情報基盤センターのページを参照してください。

設定手順2）情報基盤センターへのスマホの二要素認証用アプリの登録

次に情報基盤センターのネットワークIDでのサインイン用に，二要素認証アプリを登録します。

以下では簡単に紹介するだけですので，詳細については情報基盤センターのページを参照してください。

1）Knossos（情報基盤センター認証管理システム）へのアクセス

まずお使いのPCまたはMacで以下のリンク先にアクセスします。

Knossos（ネットワークID用）画面

アクセスすると下記のような画面が表示されると思います。右上に【ネットワークID】と書かれていることを確認したら，左下の「サインイン」と書かれたリンクをクリックします。

※ 以下の作業の途中で「ネットワークIDにサインイン」という画面が表示される場合があります。その場合はご自身のネットワークIDとネットワークID用パスワード（通常，VPNでの接続に利用しているIDとパスワード）を利用してサインインしてください。

2）二要素認証アプリの登録画面への移動

続いて以下のような画面が表示されるので「認証アプリケーション」の右側の「認証アプリケーション設定」というリンクをクリックします。

3）二要素認証アプリへのKnossosの登録（スマホでの操作）

（以下iPhoneでの説明になります。Androidの場合は少し違う画面や設定になります。）

続けてPC/Mac上にQRコード画面が表示されます。なお，この画面は次の設定項目4）でも利用しますのでPC/Mac上では開いたままにしておきます。

スマホで FreeOTP を実行します。右上のQRコードアイコンをクリックしてPC/Mac上の画面に表示されているQRコードを読み込みます（スマホ画面1）。

続いてアイコンを選択します（スマホ画面2）。これは適当に選択して構いません。僕は「University」で検索して出てきたアイコンを設定しています。

最後にこの設定をロックするかどうかの画面（スマホ画面3）が表示されます。これはオフのままで結構です。これをオンにすると以下のような動作になります。

ワンタイムパスワードを生成するためにスマホのロックを外す必要があります（パスコード入力またはTouch ID/Face ID）。
この二要素認証設定はスマホのバックアップに含まれません。

これでスマホの二要素認証アプリ FreeOPT への Knossos の登録が終わりました。スマホの画面には「神戸大学シングルサインオン」の設定が登録されているはずです（スマホ画面4）。

スマホ画面1）QRリーダの起動

スマホ画面2）アイコンの選択

スマホ画面3）設定ロックの確認

スマホ画面4）設定の登録

4）二要素認証アプリのKnossosへの登録

最後に Knossos に二要素認証アプリの設定を登録します。

まず，PC/Macの画面に表示されているQRコード画面の一番下の部分「デバイス名」のところに設定の名称を入力します。これは，例えば自分のスマホの機種やメーカの名前など，自分のスマホと結びついた設定であることが分かるような名前をつけます。

続いて，スマホのFreeOTPを起動し，先ほど作成した「神戸大学シングルサインオン」の設定をタップして開きます。すると画面にワンタイムコード（6桁の数字）が表示されます（下記スマホ画面5）。

この6桁のコードをPC/MacのQRコード画面の下の「ワンタイムコード」と書かれたところに入力します。

最後に「送信」をクリックします。

スマホ画面5）ワンタイムコードの生成

Knossosの設定画面

5）設定の終了

Knossosの画面で「二要素認証」のところに自分の設定名称が表示されていればこれで設定は終了です。

設定手順3）VPN接続アプリの設定

VPN接続アプリによっては「ウェブログオン」の設定を「オン」にしないと二要素認証が利用できない場合があります。お使いのVPN接続アプリを確認してください。手順については情報基盤センターのページが詳しいです。

二要素認証設定後のVPNの使い方

以上でVPNで二要素認証を利用する準備は完了です。実際にVPNを使う場合の二要素認証のやり方については以下の情報基盤センターのページが詳しいです。具体的にはワンタイムコードを要求されたら，スマホで FreeOTP を実行して，ワンタイムコードを生成し，その6桁のコードを入力するという手順になります。

FreeOTPを利用したVPNへの接続手順（情報基盤センター内のページ）