学内ネットワーク(VPN含む)からのアクセスと学外ネットワークからのアクセスで、認証フローに違いがあります。(右の画像にあるいずれかの認証要素を登録することにより、SSO認証が可能となります。)
学外ネットワークからのアクセスする際、FIDO2認証もしくは多要素認証(パスワード+OTP or パスワード+クライアント証明書認証)となります。OTP認証デバイスが登録されていない、または利用するWebブラウザにクライアント証明書の設定(もしくは提示)がされていない場合はパスワードが正しい場合でも認証要素が足りないため、ユーザ認証に失敗します。