統合認証基盤システム(JAIST-SSO)
学内の様々なシステムを利用する際の認証情報を一元化するシステムです。
SSO(シングルサインオン)の機能により、一度の認証(一定期間内、同一Webブラウザに限る(一部の認証方式は除く))で異なるシステムを利用することが可能となります。
学外から利用可能なシステムについては、FIDO2認証、またはユーザアカウントとパスワードの認証に加えワンタイムパスワードやクライアント証明書による多要素認証を必要としています。
なお、ワンタイムパスワードやFIDO2認証デバイスなどの多要素認証の設定はあらかじめ学内で設定しておくことをお勧めします。(学外ネットワーク環境からでも行えますが、ある程度環境を整えておく必要があります。)
電子証明書を使った認証に対応しました(2021/04)
JAIST-SSOでのユーザ認証 (WebMail, オンラインストレージシステム(J-storage-2018), リモートミーティング(Webex) 等のサービス利用時の認証)において、認証要素の一つとして電子証明書(クライアント証明書)が利用可能となりました。
これらのサービスを学外から利用する際は、これまで主に「ユーザ名 + パスワード + ワンタイム・パスワード(TOTP)」という認証が使われていましたが、これに加え、「ユーザ名 + パスワード + 電子証明書」でも認証可能となりました。
電子証明書は、予め普段使っている OS やブラウザに組み込んでおけばワンタイム・パスワードより手軽に利用できます。普段使いの PC 等では電子証明書で認証し、一時的に借用等した PC では TOTP を使って認証するといった、利用シーンに合わせた便利な活用が可能です。
なお、JAIST-SSO での認証時に、何度試しても内部エラー(Internal Server Error)が発生したり、パスワード等が間違っていない筈なのに認証失敗したりするという報告が何件か寄せられています。万一このような状況に陥った場合は、cookie の削除やブラウザの再起動により回復できる場合がありますので、お試しください。
FAQ
統合認証基盤システム(JAIST-SSO)
パスワード入力後に「認証に失敗しました」とメッセージが表示される場合、いくつかの理由が考えられます。以下によくある理由を示します。
- パスワードが違う
お問い合わせフォームでログインをお試しください。ログインに成功する場合(問い合わせ内容や詳細を入力できる画面が表示されます)、ユーザ名とパスワードは正しいです。ログインに失敗する場合、ユーザ名またはパスワードが正しくありません。
ブラウザにJAISTアカウントとは異なるパスワードが記憶されていたり、キー配列が普段と異なる端末を利用していたりして、パスワードが思い通りに入力されていない場合もあります。
パスワード変更後に新しいパスワードでログインできない場合は、パスワード変更が完了できていなかった可能性も考えられます。一度変更前のパスワードをお試しください。
- 認証要素が登録されていない(学外)
学外からのアクセスの場合、FIDO2認証、またはパスワードの認証に加えワンタイムパスワードやクライアント証明書による多要素認証が必要です。 これらの認証要素がされていないと、正しいパスワードが入力されている場合も、「認証に失敗しました」と表示されます。
- 電子証明書が正しくない(学外)
学外からJAIST-SSOにアクセスしたとき、そのブラウザに電子証明書がインポートされている場合は提示を求められます。ここで正しくない電子証明書を提示した場合、認証は失敗します。特に以下の点をご確認ください。
- ユーザ名に対応した電子証明書であるか(内部進学前の電子証明書は失敗します)
- メールアドレスを変更する前に取得した電子証明書を提示していないか
- 失効済みの電子証明書を提示していないか
ワンタイムパスワード(OTP)を設定済みの方は、証明書の提示をキャンセルしOTPの認証に進むことで認証が可能です。(証明書の提示画面が表示されない場合は、Cookieの削除または別のブラウザの利用をお試しください。)
- 正しくない認証の情報(Cookie)が残っている
使用しているWebブラウザのCookieを削除すると改善される場合があります。こちらのページ(cookieの削除)を参考にcookieを削除のうえ、再度ログインをお試しください。
| サービス | 削除するURL |
|---|---|
| SSL-VPN | auth.jaist.ac.jp + vpn.jaist.ac.jp |
| Web-Mail | auth.jaist.ac.jp + web-mail.jaist.ac.jp |
| J-Storage | auth.jaist.ac.jp + jstorage-2018.jaist.ac.jp |
統合認証で電子証明書を提示したとき「不明なエラー。システム管理者にお問合せ下さい。」と表示される場合は、以下の原因が考えられます。
- 不具合の出ている中間証明書がインポートされている
(2020年12月末までに証明書を発行された方)
不具合の出ている中間証明書を削除します。(こちらの資料の手順2と3を実行)
※Firefoxをご利用の場合は中間証明書の保存場所が異なる場合があります。
またはクライアント証明書を失効し、再発行を行って下さい。
- 不完全な証明書がインポートされている
(2021年1月以降に証明書を発行された方)
証明書のエクスポートを手順書どおりに実施し、エクスポートできい場合に該当します。
クライアント証明書を失効し、再発行を行って下さい。
また、OTP(ワンタイムパスワード)を設定済みの方は、証明書の提示をキャンセルし、OTPの認証に進むことで認証が可能です。
「入力値が誤っています」の表示は、入力したワンタイムパスワード(OTP)が正しくないときに表示されます。以下の原因が考えられます。
- 有効期限が切れた
ワンタイムパスワードは一定時間 (数十秒程度) 有効なパスワードです。
期限が切れたOTPは利用できません。
- デバイスの時間が合っていない
OTP は時刻をもとに生成されます。OTP を生成する端末の日付・時刻の設定が正しくない場合、その端末で発行したOTPは利用できません。タイムゾーンは日本時間を設定してください。
なお、電子証明書を発行済みの方は、ご利用のブラウザにインポートし提示することでOTPの入力を求められずログインできます。
【秘密鍵が書かれたハガキをお持ちの場合】
確認のために、現在OTPの生成に使っている端末とは別の端末を、OTP生成デバイスとして登録してください。(登録方法はこちら)
OTPは異なる端末で生成しても、秘密鍵と時刻が同じであれば同じ値を生成します。二つの端末の値を見比べていただき、もし生成される値が異なる場合は時刻設定か秘密鍵が間違っている可能性があります。
WinAuth(WindowsのOTP生成アプリ)をお使いの場合、以下の手順でも入力した秘密鍵が正しいかご確認いただけます。
- WinAuthを起動し、該当のOTPコードにカーソルを合わせて右クリックする
- "Show Secret Key..."をクリックする
- パスワードを求められる場合、WinAuthに設定しているパスワードを入力する
- 表示されるSecret Keyとハガキに書かれたSecret Keyを比べる
文字列が異なる場合、正しくOTPが登録できていませんので再登録してください。
ブックマークではなく、本Webサイトの各サービスへのリンクからアクセスをお試しください。(参考:リンク集)
各種サービス(WebMail、オンラインストレージ、SSL-VPN等)のURLはシステム更新により変更する場合があります。また、JAIST-SSO での認証が必要な各種サービスは、各ページにアクセス後JAIST-SSO の画面が表示されますが、このページをブックマークすることはお勧めしません。ブックマークする場合は、センターホームページで利用されているURL(右クリック→[リンクをコピー]などで確認できます)を登録してください。
Microsoftの「Windows Hello」の機能を持つ端末をご利用の場合、FIDO2の登録画面にアクセス、ログインすると最初にWindows Helloの登録画面が表示されます。セキュリティデバイスを登録したい場合は、「キャンセル」を選択することでセキュリティデバイスの登録画面が表示される場合があるのでお試しください。