KUDOS(キューダス) -近畿大学 情報処理教育棟-

FIDO認証について

FIDO認証について

 ・ FIDO認証とは
 ・ FIDO認証デバイスの登録方法
 ・ FIDO認証・ログイン方法
 ・ FIDO認証デバイスの登録内容変更
 ・ FIDO認証の注意点

FIDO認証とは

 予め登録したFIDO認証デバイス(自分の端末)にて、指紋や顔(生体情報)などで本人確認できれば、
共通認証対応のWebサービスを利用できるようになります。

FIDO認証(パスワードレス)のイメージ

FIDO認証は、公開鍵暗号方式でパスキー(Passkeys) を用いたユーザー認証の仕組みです。
FIDO認証デバイス(認証器)を登録すると、認証器には秘密鍵、共通認証(基盤)には、ユーザーに紐付いた
公開鍵が保管されます。本人確認のリクエストを受けると、ユーザーは認証器で生体認証(指紋や顔)を行い、
これに成功すると共通認証(基盤)に対して秘密鍵で署名したデータ(トークン)を送信します。
共通認証(基盤)では、公開鍵を用いてトークンを検証し、ペアとなる秘密鍵で署名されていることを確認して
からログインを許可します。

パスキーは、漏洩リスクの高いパスワードよりも使いやすく、安全です。
・上記のやり取りを第三者が傍受しても、秘密鍵や生体情報などのクレデンシャル(認証資格情報)を
 得ることができず、トークンを偽造しても不正ログインされることはありません。
・デバイスが盗まれても、生体認証による本人確認ができないので、アカウントが不正利用されるリスクは
 ありません。
・指紋や顔など生体情報による認証はすべて端末側で行われ、認証結果のみ共通認証(基盤)に伝えられるので、
 共通認証(基盤)に秘密鍵や生体情報などのクレデンシャルが保管されることはありません。

利用環境

●FIDO認証デバイス
・iOS:バージョン16以降
・Android:バージョン9以降、ただし、Google Chrome以外のブラウザを利用する場合は、バージョン12以降

(以下、参考)スマホ以外のデバイスをFIDO認証デバイスとして登録する必要はありません。(利用方法はこちら
・iPad : iPadOS 16以降
・macOS : macOS 13(Ventura)以降
・Windows10/Windows11 : バージョン21H2以降 +Windows Hello対応の近赤外線カメラor指紋認証リーダーが必要

パソコン教室などの共有パソコンでパスキーを作成してはいけません。
自分の端末以外を利用する機会がある、セキュリティレベルを高めたいユーザーは、
2段階認証の設定もしてください。

●FIDO対応ブラウザ
Apple Safari 16 以降
Google Chrome 109 以降
Microsoft Edge 109 以降

 ※OSやブラウザによっては、プライベートブラウジング(シークレットモード)に設定されていると
  パスキーを作成または使用できないことがあります。

FIDO認証デバイスの登録方法

● iPhone

iCloudキーチェーンが有効でないと、パスキーを作成できません。
※「iCloudキーチェーンを設定する」で検索して、手順を確認してください。

● Androidスマホ

Androidスマホでパスキーを作成する際の生体認証は、指紋認証のみとなります。
顔認証によりパスキーを作成できるAndroidスマホはありません。(2023.06.19現在)

※スマホをお持ちでない、スマホ以外のデバイスをFIDO認証デバイスとして登録されたい方は、
こちらよりお問い合わせください。

FIDO認証・ログイン方法

(1) iPhone
(2) Androidスマホ
(3) iPhone → Mac × ブラウザ(Apple Safari限定)
iPhoneで作成し、iCloudに保存されたパスキーを
同じApple ID でサインインしているMacにて、
Safariでログインするときに利用できます。

FIDO対応のブラウザでログインしようとする際に
表示される2次元コードを、スマホでスキャンする
ことで、ログインできます。

iPhone: iPhoneのカメラを使って2次元コードをスキャンしてください。
Androidスマホ: Google Lensを使って2次元コードをスキャンしてください。
(Windows10/11パソコンではデフォルトの)Wondows Helloが有効であることが
条件ですが、顔認証や指紋認証など、Wondows Helloの設定を完了しておく
必要はありません。
パソコンとスマホの両方でBluetoothをオンにする必要があります。
Bluetoothで接続(ペアリング)する必要はありません。

以下の教室のパソコンは、Bluetoothを搭載してないので、パスキーを使ったログインができません。
また、Bluetoothを搭載していても、Active Directoryのポリシーにより、Windows Helloの設定が無効となっている
パソコンでは、パスキーを使ったログインができません。その際は、2段階認証にてログインしてください。

●東大阪キャンパス
 ・KUDOS リテラシー教室 自由利用教室 多目的演習室
 ・B館 302~306教室
 ・G館 SIS1~SIS5教室
 ・21号館 LL教室 MIPS PC教室
 ・38号館 第5~第8情報処理実習室
 ・33号館 OSEC教室
●奈良キャンパス
 ・全ての教室
●大阪狭山キャンパス
 ・専門棟5F IT教室
●和歌山キャンパス
 ・3号館 情報処理演習室
 ・1号館 254 CAD室
●広島キャンパス
 ・H館PC教室
 ・G館159 情報学科 PC教室
 ・D館339 電子情報学科 PC教室
●福岡キャンパス
 ・2号館 2305(CAD室)
 ・3号館 3205(CG準備室)
 ・3号館 3307A(ソフトウェア演習室A)
 ・3号館 3307B(ソフトウェア演習室B)
 ・4号館 3F電算機センター全室

FIDO認証デバイスの登録内容変更

スマホの買い替えなどにより、登録したFIDO認証デバイスを使わなくなった場合は、こちらの手順を参考に
登録削除をお願いします。端末側で生体認証による本人確認ができないので、アカウントが不正利用される
リスクはありませんが、サービス運用には不要な情報ですので、ご協力をお願いします。

FIDO認証の注意点

【ログアウト】
 一度、FIDO認証で共通認証に対応したサービスにログインを行うと、同じブラウザを開いている間は、他の
共通認証に対応したサービスにアクセスした際、改めてFIDO認証を行うことなくログインすることが可能です。
この効力は、いずれかのサービスからログアウトしても、ブラウザを閉じるまでの間は継続します。
サービスの利用を終了する際は、タブではなく、ブラウザを「×」で閉じてください。

【メールソフト(Outlook等)で利用する場合】
 FIDO認証を設定すると、共通認証に対応のKindai MailなどのGmailを、Outlook等のメールソフトで利用する
際に使うパスワードが、通常利用しているパスワードではなく、長い文字長のランダムパスワードとなりますので
下記の手順で「メールソフト専用パスワード」の取得、設定を行ってください。
※2段階認証の設定により、既に「メールソフト専用パスワード」をご利用の方は、対応不要です。

① KINDAI ID設定変更Web にログインしてください。
② 「メールソフト設定情報表示」メニューの「メールソフト専用パスワード」に表示されているパスワードを
  お使いのメールソフトのPOP/IMAPアカウント情報(メールサーバへのログイン接続用パスワード)に
  設定してください。

  • ※ FIDO認証の解除を行った場合は、メールソフトの設定を通常ログイン時に使用しているパスワードに戻して
      ご利用ください。
  • ※ Gmailでは、「IMAPを有効にする」ことと「安全性の低いアプリ許可を有効にする」ことでOutlookなどの
      メールソフトを使ったメールの送受信も可能ですが、不正ログインのリスクが高まりますのでWebブラウザ
      での利用を推奨します。
  • ※ 「IMAPを有効にする」、「安全性の低いアプリ許可を有効にする」手順は、それぞれのマニュアルの
      「Outlook等のメールソフトを使ったメールの利用方法」をご覧ください。

【共通認証のセッションタイムアウト】
ブラウザとセッションが張られてから8時間経過すると、共通認証側でタイムアウトとなりますので、
ログインからやり直してください。

【複数のユーザーIDをご利用の場合】
KINDAI IDを個人用と部署用で複数お持ちの方は、目的に応じて使い分けていると思いますが、ご利用になる
サービスが共通認証対応の場合、同一ブラウザ上では先にログインしたKINDAI IDでログインした状態が
維持されます。KINDAI IDを使い分ける方法を以下に記載します。

  • Webサービスからログアウトし、ブラウザ再起動する。
    ブラウザを閉じたらセッションが切れますので、ブラウザを閉じた後、もう一度ブラウザを開いて
    サービスを利用してください。
  • 別のブラウザを起動する。
    ログインしたユーザーのセッションは、同一ブラウザで維持されますが、異なるブラウザ間で
    セッションを引き継ぐことはありません。他のブラウザを開いてサービスを利用してください。

【スマホ用Gmailアプリをご利用の場合】
スマホ用Gmailアプリをご利用の場合、下表の●印のパターンでは、Gmail側のパスワードが変更されます。
Gmail側のパスワードが変更されると、Gmailアプリの仕様により、
 [iOSの場合] アカウントがアプリから消えますので、改めてアカウントを追加してください。
 [Androidの場合] ログアウト状態になりますので、再ログインしてください。
 ※アカウントがアプリから消えたり、ログアウト状態となったりしても、メールが削除されることはありません。

  教育系(@kindai.ac.jp)/事務系(@itp.kindai.ac.jp)共通
FIDO認証を設定したとき(OFF→ON)
FIDO認証の設定を解除したとき(ON→OFF)

  FIDO認証がONの状態 FIDO認証がOFFの状態
利用者がパスワード変更したとき
利用者がメールソフト専用PWを再発行したとき
パスワードを再発行したとき
パスワードをリセットしたとき
(パスワードリセット機能)