目次
MAFFIN外部からの認証強化に伴う利用手続きについて
1 認証強化の概要
- セキュリティ向上のため、MAFFIN外部から提供サービスを利用する際の認証について、2016年6月29日をもって、これまでの単一(1段階)認証から多要素(3段階)認証に変更しました。(MAFFIN内部(農林水産省本省を含む)からアクセスする利用者は、従来どおり単一認証です)
- この認証強化により、MAFFIN外部からのWebメール(PC/スマホ)の利用を再開しました。
- 多要素認証によりMAFFIN外部から提供サービスを利用するには利用申請が必要です。所属組織を通して申請手続きを行って下さい。(「農林水産研究情報総合センター利用申請書」を中核機関等を経由している競争的研究資金利用者が新規に申請する場合、同じように経由して必要な申請書類を提出して下さい。クライアント証明書の継続については、契約内容に変更が無ければ中核機関等の法人で継続の要否の判断をお願いいたします。)
- MAFFIN-VPN接続の認証についても、2016年8月31日に多要素認証に変更しました。また、MAFFIN-VPNの利用申請は所属組織を通して行うよう手続きを変更します。これに伴い、申請承認を一旦全て取り下げしますので、業務上必要な方は新たに利用申請を行って下さい。
※利用申請の方法は組織によって異なります(グループウェアから申し込む等)。また、利用可能な端末や業務用途は、組織により規程等で定められている場合があります。
利用手続きの詳細については、所属組織のシステム管理者に問い合わせ下さい。
多要素認証によるログインまでの流れ
○参考
情報総合センターニュース 第111号 【MAFFIN外部からの認証強化について】
2 利用手続き
MAFFIN外部から利用するサービスに応じて、下記の表のような申請が必要となります。
情報総合センターを新規に利用する場合は、農林水産研究情報総合センター利用申請も行って下さい。
| 利用サービス | 多要素認証に係る利用申請 | MAFFIN-VPNサービス利用申請 |
|---|---|---|
| ネットワークサービス(Webメール、共有フォルダ、Wiki、大容量ファイル転送等) ※研究データ交換システム(個人フォルダ)へのファイルアップロード及びダウンロードはMAFFIN-VPN接続により利用 | ◎ | ◎ ※個人フォルダへのファイルアップロード及びダウンロードを利用する場合のみ必要 |
| AGROPEDIAの一部のデータベース ※MAFFIN-VPN接続を使用した場合と学認(Shibboleth)認証を使用した場合で、利用できるデータベースが一部異なります。詳細は「情報総合センター提供データベース等のMAFFIN外部からの利用について」をご確認ください。 | ◎ | ◎ |
| 科学技術計算システム ※MAFFIN-VPN(クライアントアプリケーション接続機能)接続により利用 | ◎ | ◎ |
※この他、機関個別のシステム(グループウェア等)は、MAFFIN外部からMAFFIN-VPN経由でアクセスするようになっている場合があります。必要な手続きなど詳しくは所属組織のシステム管理者にお問い合わせ下さい。
1)多要素認証に係る利用申請
※利用手続きの共通的な説明となっています。利用申請の方法は組織によって異なりますので(グループウェアから申し込む等)、手続きの詳細は所属組織のシステム管理者に問い合わせ下さい。
新規利用申請
- 利用希望者は、「多要素認証に係る利用申請書(新規)」に所定の事項を記入のうえ、所属組織を通して提出して下さい。(所属組織おける申請方法について、詳しくはシステム管理者に問い合わせ下さい)
【APID】(端末識別コード): 「クライアント証明書利用説明書(2022/01/18更新)」をご参照下さい。※2022年3月よりiOS、iPadOSをお使いの方は、証明書インストール時の操作が一部変更となります。
・実際にサービスを利用するのに使用する端末かつアカウント(Guestは不可)で行って下さい。(申請時と利用時で端末やアカウントが異なるとインストールに失敗します)
・KeyManagerを使用する場合、コードが2種類表示されます。Windowsの場合は、APID(ユーザー)、Macの場合はAPID(ログイン)のほうを記入して下さい。iOSの場合はUDIDを利用します。
【アカウント】:情報総合センターに登録しているアカウント名を記入して下さい。(PCのログインアカウントを間違えて記入しないこと)
- 利用希望者は、所属組織においてセキュリティ教育を受けて下さい。「AFFRITアカウントセキュリティ教育資料」(MAFFIN内アクセス限定)をご使用下さい。また、申請端末のセキュリティ状況について問題ないことの確認を受けて下さい。
- 「多要素認証に係る利用誓約書」に記入、押印のうえ、所属組織を通して提出して下さい。(原本は所属組織で保管、写しを情報総合センターへ提出)
利用誓約書は利用カードの発行を必要する際に提出をお願いします。その後の利用端末の追加、変更での提出は不要です。但し、組織を跨ぐ異動において、保有する利用カードにより異動先で多要素認証に係る利用申請を行う場合は、改めて利用誓約書の提出が必要となります。
<利用登録後の作業等>
【古いバージョンをお使いの方の注意点】
WindowsOSをご利用の方
- SolitonkeyManagerの最新バージョンをお使いいただくことを推奨します。
- 仮にV1.0.1を使用していて、最新バージョンV2.0.8へのアップデート手順は以下の通りです。
- V1.4.4にて一度証明書の更新が必要ですが、V2.0.8にアップデート後もインストール済みの証明書は使用可能であり、証明書更新の申請も可能です。
[アップデート手順]
- V1.0.1で申請情報が残っている場合は削除
- V1.0.1をアンインストール
- V1.4.4をインストールし証明書を更新する
- V2.0.8へアップデート
macOSをご利用の方
- SolitonkeyManagerの最新バージョンをお使いいただくことを推奨します。
- 仮にV1.0.2をお使いのユーザ様は注意がございます。
- V1.0.2で申請情報が残っている場合は削除
- 最新バージョンV2.0.4へアップデート
- V1.0.2でシステム証明書を利用していた場合は更新
○クライアント証明書の申請端末へのインストール ※利用開始する前に行ってください(MAFFIN内でも可能)
端末認証のため申請端末にクライアント証明書をインストールして下さい。インストール手順は、「クライアント証明書利用説明書(2022/01/18更新)」をご参照下さい。※※2022年3月よりiOS、iPadOSをお使いの方は、証明書インストール時の操作が一部変更となります。
MAFFIN内からインストールを行った場合、証明書が正しくインストールされたかどうか下記アドレスにアクセスすることで確認できます。(クライアント証明書に対応したブラウザからアクセスして下さい)
発行者は「AFRIT Private CA」となっていて、ご本人のAFFRITアカウント名が表示されていればOKです。証明書を選択したり閉じる際にエラーメッセージが表示される場合無視してブラウザを終了させて下さい。
※クライント証明書のインストールについて、うまくいかない場合は、下記「3 利用上の注意、よくある質問(FAQ)」の「クライアント証明書のインストールでのトラブル」を参照下さい。
○ワンタイムパスワード利用カードの受領、管理
ワンタイムパスワード認証に必要なパスコードが印字された利用カードを配布します。アカウントのパスワードと同様に厳重に管理をお願いします。
(万が一、利用カードを紛失等した場合は所属組織を通して速やかにご連絡下さい)
継続利用申請
- ワンタイムパスワード利用カードは、利用カード自体に有効期限はありませんので、所属組織に変更がなければ、そのまま継続利用が可能です。
異動により所属組織が変更になった場合は、異動先の承認を得ることで、利用カードの継続利用が可能です。
(業務遂行上、多要素認証によるサービス利用が不要となった場合は利用終了の手続きを行って下さい。)
- クライアント証明書の有効期限は翌年度4月末までとします(4月一ヶ月は失効猶予期間です)。このため、翌年度の利用継続を希望する登録端末は、当該年度の継続申請受付期間(2月~3月)において、新規利用申請と同様(利用誓約書の提出は不要)に所属組織を通して申請手続きを行って下さい。(新たな証明書を発行しますので申請端末にインストールして下さい)
利用終了申請
- 利用終了希望者は、「多要素認証に係る利用申請書(終了)」に所定の事項を記入のうえ、所属組織を通して提出して下さい。利用カードは所属組織において裁断処分して下さい。(返却不要)
- MAFFIN-VPNサービス利用登録者の場合は、多要素認証に係る利用登録を抹消する際に併せてMAFFIN-VPNサービスの利用登録も抹消します。(MAFFIN-VPNサービスの利用に多要素認証の利用が必須であるため)
- 利用端末の更新・廃棄等によるクライアント証明書登録端末の利用終了の際、利用終了申請は必要ありません。
申請書類は「農林水産研究情報総合センター利用申請書(終了)」のみで結構です。「多要素認証に係る利用申請書(終了)」及び「MAFFIN-VPNサービス利用申請書」の提出は不要です。
2)MAFFIN-VPNサービス利用申請
※利用手続きの共通的な説明となっています。利用申請の方法は組織によって異なりますので(グループウェアから申し込む等)、手続きの詳細は所属組織のシステム管理者に問い合わせ下さい。
新規利用申請
- 利用希望者は、「MAFFIN-VPNサービス利用申請書(新規)」に所定の事項を記入のうえ、所属組織を通して提出して下さい。(所属組織における申請方法について、詳しくはシステム管理者に問い合わせ下さい)
継続利用申請
- 所属組織に変更がなければ、そのまま継続利用が可能です。
異動により所属組織が変更になった場合は、異動先での再申請(新規利用申請と同様の手続き)が必要となります。
利用終了申請
- 利用終了希望者は、「MAFFIN-VPNサービス利用申請書(終了)」に所定の事項を記入のうえ、所属組織を通して提出して下さい。
※MAFFIN-VPNサービス利用については、こちらをご覧下さい。
3 利用上の注意、よくある質問(FAQ)
「多要素認証トラブルシューティング資料」(MAFFIN内アクセス限定)
・所属, 氏名, アカウント, OS(バージョン), ブラウザ(バージョン)
・利用しようとしたサービスなどの基本情報(URL等)
・問題発生日時(外国の場合、国名の申告と、日本時間に換算した日時とすること)
・利用ネットワーク(企業/大学/研究機関等のLAN,プロバイダ,公衆LAN等)
・どの画面まで正常に表示されたか ⇒ 画面キャプチャがあるとベスト
・どんなエラー画面が表示されたか ⇒ 画面キャプチャがあるとベスト
・確認したこと、試したこと ⇒ 画面キャプチャがあるとベスト
よくあるトラブルについては、下記に記載します。
利用開始までの手続き、端末の設定におけるトラブル
クライアント証明書のAPIDとは
利用申請にはAPIDまたはUDID(iOSの場合)が必要です。APIDやUDIDは端末を一意に識別するためのユニークなIDです。
APID/UDIDは、以下のような場合にコードが変わる可能性があります。利用申請時とコードが変わってしまうと証明書はインストール出来ません。
申請済みの端末においてAPID/UDIDの登録を変更したい場合は、所属組織のシステム管理者を通して登録するAPID/UDIDをご連絡下さい。登録を変更します。
- 端末のログインアカウントの変更
- MACアドレスの変更(複数のNIC搭載の場合に申請時のNICから変わった場合も該当)
- Windowsの場合、参加ドメインやワークグループ、コンピュータ名の変更
- Soliton KeyManager起動時の権限(標準ユーザ、管理者)の変更
端末のOSを故障により入れ直したり、OSバージョンアップを行った場合もAPID/UDIDが変わる可能性があります。その場合も同様に登録変更をご依頼下さい。
※上記以外のケースでもAPIDが変わる可能性があります。
クライアント証明書のインストールでのトラブル
○ Macからの証明書のインストールで、「クライアント証明書発行基盤利用者マニュアル」の「4.2.クライアント証明書インストール手順(Mac)」の手順5の画面でダウンロード実行後、手順6の画面が出ない
これに該当する場合、次の方法をお試し下さい。
- 「cacert.php.mobileconfig」もしくは「cacert.php」という名前のファイルがダウンロードされていないか確認する。
- 上記ファイルがあれば、「cacert.php.mobileconfig」はそのまま、「cacert.php」は名前を「cacert.php.mobileconfig」に変更して、ファイルを実行する。(手順6の画面が表示されましたら、そのまま手順に沿ってインストールを実施して下さい)
○証明書のインストールの途中で「デバイスを識別する情報が登録されていません。」とメッセージが表示されて先に進めない
このメッセージが表示される場合、以下のことを確認してください。
・申請したAPIDが間違っていないか
Soliton KeyManagerによりAPIDの確認を行う際、以下のように2種類のAPIDが表示されます。
【Windowsの場合】APID(ユーザー)、APID(コンピューター)
【Macの場合】APID(ログイン)、APID(システム)
それぞれ、申請するAPIDは前者の表記(太字)のほうです。
申請書に記載する際の転記ミスにもご注意下さい(手入力は避けてコピー&ペーストで行う)。
・PCのログインアカウントが間違っていないか
申請時のAPID確認、クライアント証明書のインストール、サービス利用において、PCのログインアカウントは同一である必要があります。 アカウントが一致しない場合は証明書のインストールやサービス利用時の認証で失敗します。
なお、Windowsの場合、Guestアカウントは利用出来ません。
APIDを間違って申請した場合は、所属組織のシステム管理者を通して正しいAPIDをご連絡下さい。登録を修正します。端末のログインアカウント変更に伴いAPIDを変更したい場合も同様に対応しますので、再度APIDを確認してご連絡下さい。
利用する際のトラブル
PCにログインする際のアカウント
クライアント証明書のインストール時と同じアカウントでPCにログインしないと、証明書の認証に失敗します。
仮に異なるアカウントでログインして利用しようとした場合、認証の一段階目のAFFRITアカウントとパスワードを入力した後、証明書の選択のところで何も証明書が表示されなかったり、「指定された証明書は正しくありません」などのエラーメッセージが表示されます。
MacからSafariでアクセスする際のトラブル
Google Chromeからは正常にアクセス出来るけどSafariからアクセスすると、認証の一段階目のAFFRITアカウントとパスワードを入力した後、証明書の選択のところで先に進めないといったトラブルが生じた場合、こちらの対処方法をお試しください。
(対処方法が少し面倒なため、Google Chromeの利用で事足りる場合はそちらをお使いいただくのが良いかと思います)
原因
MacのSafariの場合、クライアント認証を行うWebサイトで証明書の自動選択がされないため、事前にキーチェーンの設定によりWebサイトのURLに対して優先する証明書を紐付けしておく必要があります。
キーチェンに複数の証明書が存在する場合、本来とは異なる証明書によりアクセスされてしまうことがあります。その場合証明書の認証に失敗します。
対処方法
キーチェーンでWebサイトのURLに対して優先する証明書を紐付けを行う方法は以下のとおりです。
クライント証明書を更新した際は、同じ作業を行ってください。
・設定する証明書とURL
“AFRIT Private CA” ではなく、
“AFRIT Private CA” から発行された、“AFFRITアカウント名” に対する設定になります。
また、設定するURLは以下の二つです。
・設定手順
1) 「キーチェーンアクセス」(アプリケーション→ユーティリティにある)を開きます。
2) まずは不要な設定(誤った証明書の紐付け)を削除します。
分類:全ての項目 を表示して
““で始まるアドレスが存在するか確認します。
もし存在する場合それらは不要ですので、証明書の上で、CTRL + マウスクリックにより表示されるコンテキストメニューから「削除」を選択します。
3) 分類:自分の証明書 を表示して
自分の”AFFRITアカウント名” の上で、CTRL + マウスクリックにより表示されるコンテキストメニューから「新規識別プリファレンス」を選択します。
4) ダイアログが開くので、
「場所またはメールアドレス」の欄に、““を入力します。
「証明書」は自分の”AFFRITアカウント名”が設定されていることを確認します。「追加」をクリックします。
5) 3)~4)の操作により、もう一つのURLも追加します。
“”
6) 分類:全ての項目 を再度表示して、識別プリファレンスとして
“”
“”
の二つが存在することを確認します。
それぞれ選択して内容を表示して、場所が名前と同じであることと
優先する証明書が自分の“AFFRITアカウント名”となっていることを確認します。
以上で設定は終了です。
再度Safariを起動して多要素認証でのアクセスが出来るか確認をお願いします。
うまくいかない場合は、お手数ですがキーチェーンアクセス(分類:全ての項目) の画面キャプチャを付けて、ご連絡下さい。
利用上の制約、注意事項
利用ブラウザ
○ ブラウザとしてMozilla Firefoxは利用出来ません(クライアント認証に対応していないため)。Internet ExplorerやGoogle Chrome等の他のブラウザをお使い下さい。
MAFFIN-VPN利用端末のOS
○ MAFFIN-VPN接続時の端末のOSとしてLinuxは利用出来ません(クライアント認証に対応していないため)。Windows や Mac OS X にてお使い下さい。