roundcubeの設定例

多要素認証導入の背景

パスワードによる認証が突破される事案が世界中で頻発しています。名古屋大学のメールシステムでも、パスワードの突破による情報流出が確認されました。
このようなことから、セキュリティの強化のため、突破されない認証システムが必要とされ、名古屋大学でも多要素認証と呼ばれる、より強固な認証システムを導入することとなりました。
名古屋大学の多要素認証は、パスワード以外の個人を確認する要素として、「認証コード」と呼ばれる30秒ごとに変化する6桁の数字を要素として用いる認証になります。

roundcubeの設定例

2021年11月29日（月）以降、多要素認証の設定ができるようになります。
roundcubeを使用する場合は、スマートフォンなどの認証アプリを用いた二段階認証が必要です。 不明点や、エラーが発生した際は「よくある質問」をご覧ください

事前準備

ログイン前に二段階認証に使う認証アプリをダウンロードしておきます。

認証アプリの入手方法

• androidはGoogle ストアで、iOSのiPhoneやタブレットではApp Storeにより、二段階認証できるアプリをソフトウェア名または「認証」のキーワードなどで検索してダウンロードします。
• 二段階認証の出来る代表的なアプリはスマートフォン、タブレットでは
  　・Google Authenticator
  　・Microsoft Autenticator
  
• パソコンでは
  ・WinAuth(Windows用)
  ・Step Two(macOS用)
  があります。(2022年2月現在）。
  

以下、代表的な認証アプリへの登録の手順を示します。

• Google Authenticatorへの登録
  
• Microsoft Autenticatorへの登録
  
• WinAuthへの登録(Windows用)
  
• Step Two(macOS用アプリ)への登録
  30秒更新のOATH-TOTP規格(時間ベース)を受け付ける認証アプリでしたら、 どの認証アプリでも問題ありません。各自が使いやすい物を使って下さい。

PCからの初回アクセス時の設定

既存の秘密鍵を確認、後から他の端末にも登録するなどの場合は、こちらを参照してください。

1. 「https://mail.DOMAIN.nagoya-u.ac.jp/webmail/」にアクセスすると、以下のようなログイン画面が表示されます。
   (DOMAINは各部局ごとにご利用されているドメインに置き換えてください。)
   ここで、「ユーザ名」「パスワード」を入力し、「ログイン」をクリックします。

   

2. ログインに成功すると、以下のように二段階認証の設定を求めるポップアップが表示されるので「×」をクリックしてポップアップを閉じます。

3. 以下は二段階認証の設定画面です。まず「全フィールド設定(保存必要)」をクリックします。 　※この時、秘密鍵のボックスに値が入っていると「全フィールド設定(保存必要)」をクリックしても反応しません。その場合は秘密鍵のボックスの値を削除した後に再度「全フィールド設定(保存必要)」をクリックしてください。

4. 「全フィールド設定(保存必要)」をクリックすると以下のようなポップアップが表示されるので「OK」をクリックして閉じます。

5. 以下のように、各種値が生成され、設定用のQRが表示されるので、先にインストールしておいた認証アプリを起動し、QRコードをスキャンして読み込みます。
   
   • Google Authenticatorへの登録
     
   • Microsoft Autenticatorへの登録
     
   • Step Two(macOS用アプリ)への登録
     

   WinAuthでは、QRコード読み取り機能が無いため、秘密鍵を直接入力する必要があります。

   • WinAuthへの登録(Windows用)
     

   認証アプリに、6桁の数字からなるワンタイムパスワードが表示されるので、「コードチェック」横のボックスに入力し、「コードチェック」をクリックします。

6. 設定が正しければ、以下のようにコードOKとポップアップが表示されるので、「OK」ボタンをクリックしポップアップを閉じてください。
   もしコードが違っていますとポップアップに表示された場合は、コードの有効期限が切れているか、設定が間違っていると思われます。
   認証アプリ上の最新のワンタイムパスワードを入力、表示されているワンタイムパスワードの期限が切れるまでに「コードチェック」をクリックして、それでもコードが違っています、と出る場合は、入力したワンタイムパスワードがroundcubeのものか確認してください、これらが正しい場合、認証アプリを使用している端末の時間が現在時刻からずれている可能性があります。

7. 次に、表示されているリカバリーコードを記録してください。
   ※リカバリーコードは、認証アプリや、それを入れたスマートフォンが使えなくなった時など、緊急の際にログインのためワンタイムパスワードの代わりに使用するコードです。１つのリカバリーコードにつき1度だけコードを使用してログインできます。（1回使われてしまったリカバリーコードは無効になり、2回目からは使用できません）。このような性質上、認証アプリを入れた端末と同じ端末上のみでコードを保存したり、自分以外の人に知られるような形でコードを保存することは望まれません。
   

8. リカバリーコードを記録したら、「保存」をクリックしてください。 この際、秘密鍵の値を変えたり、有効の☑を外したりしないでください。
   このような操作を行うと、アクセスができなくなります。

9. 「保存」をクリックすると、値がマスクされ以下のような表示になります。
   設定はこれで終了ですが、確認のため一度ブラウザをすべて閉じた後に、再度「https://mail.DOMAIN.nagoya-u.ac.jp/webmail/」にアクセスし、正しくログインできるか確認してください。

10. ブラウザをとじた後に「https://mail.DOMAIN.nagoya-u.ac.jp/webmail/」にアクセスすると、以下のようなログイン画面が表示されます。
    ここで、「ユーザ名」、「パスワード」を入力し、「ログイン」をクリックします。

11. 二段階認証の設定が正しく行われている場合、以下のように二段階認証のワンタイムパスワードを求める画面が表示されます。認証アプリのワンタイムパスワードを入力し「ログイン」をクリックしてください(認証アプリを使用している端末の時間が現在時刻からずれている場合弾かれます)。また。ここでワンタイムパスワードの代わりにリカバリーコードを使用することでもログインできます。 ※「この端末で以後30日間はコードの入力を求めません」にチェックをつけた状態でログインすると30日間の間ユーザ名とパスワードのみでのログインとなります。

ログインできなくなった場合
リカバリーコードも無く、認証アプリの紛失等で、WEBメール（roundcube）にログインできなくなった場合は、以下のリンクから、多要素認証の初期化を依頼してください。 WEBメール（roundcube）多要素認証初期化依頼 (基本的には本人からの申請しか受け付けられませんが、本formsに回答するための機構アカウントを持っていないなど、特別の事情がある場合、そのメールアドレス所持者の本人性を保証でき、責任者として妥当な職責を持つ方を、代理申請者として認める場合があります。 代理申請をする場合、初期化を必要としている人が、本人であることを"必ず"確認してください。)
なお多要素認証の初期化には1~数営業日ほどかかります。

不明点や、エラーが発生した際は「よくある質問」をご覧ください

(最終更新日: 2021年7月頃）