ページ履歴

eduroam JP認証連携IDサービス利用ガイド（ユーザ向け）

概要

本サービスは、世界的な学術無線LANローミング基盤である eduroam において、 本サービスは、世界的な学術無線LANローミング基盤である eduroamにおいて、 端末をアクセスポイントに接続してネットワークを利用するために必要となる アカウントの発行を行います。 アカウントの発行を受けるためには、 所属機関が学術認証フェデレーションに参加しており、 本サービスサイトにアクセスする際に、 学術認証フェデレーションにおける認証に成功する必要があります。 発行されるアカウントは有効期間が限定された一時的なものになります。 このアカウント自体には、個人やその所属機関を特定する情報が含まれていませんので、 所属機関が学術認証フェデレーション（学認）に参加しており、 本サービスサイトにアクセスする際に、 所属機関のIdPで認証をうける必要があります。 発行されるアカウントは有効期間が限定された一時的なものであり、毎回異なるものが発行されます。 このアカウント自体には、個人を特定する情報が含まれていませんので、 eduroamの利用に際して、プライバシーが侵害される恐れはありません。 また、パスワードも一時的なものであるため、 不正なアクセスポイントに誤って接続してしまう等の不注意により パスワードが漏洩してしまったとしても、その被害を最小限に抑えることができます。
加えて、本サービスは学認に参加していない機関向けに代理認証機能も提供しています。

...

利用方法

...

本システムへのログイン

本サービスサイトからログインを行うと まず学術認証フェデレーションの認証が要求されます。 認証が成功すると、仮名アカウント発行システムメニューが表示されます。 メニューでは次の４つの操作が選択できます。認証が成功すると、メニューが表示されます。 メニューでは自分自身が利用するアカウントに関する操作として、次の４つが選択できます。

• 新規ID/Passwordアカウント発行
• 発行済みID/Passwordアカウントの確認および失効

• 新規証明書[EAP-TLS]アカウント発行
• 発行済み証明書[EAP-TLS]アカウントの確認および失効

...

（ここで発行されたアカウントは 、他人に利用させてはならないと利用規約に定められていますので、ご注意ください。）

機関の管理者が学生によるアカウントの発行を許可していない場合は、学生はアカウントの発行を行うことができません。

機関の管理者が許可している場合は、教職員に対して次のメニューも表示されます。

• ビジター用アカウント(eduroam JP Visitor Account)発行機能

（このアカウントは、原則としてアカウントを発行した者が所属する機関が提供するアクセスポイントでのみ利用できます。訪問者に一時的にアカウントを提供する必要がある場合には、こちらのアカウントをご利用ください。なお、同一アカウントを複数の訪問者に提供しないようにお願いいたします。）

なお、いずれのアカウントも、発行された後で有効期限を変更することはできません。

アカウントは「発行上限数」を越えない範囲で何回でも発行することができます（有効期限内のアカウントの総数に対する上限値）。この値は、機関毎に設定されるもので、有効期限を過ぎたアカウントおよび失効済みのアカウントを除いたものが利用者毎にカウントされます。

...

eduroam利用のための設定

本サービスで発行されるeduroam用アカウントは、一般的な設定方法で利用できます。設定方法については、利用者向け情報などを参考にしてください。本サービスでは、各機関の一般ユーザ向けのサポートは行っておりません。

設定の際に認証サーバ名（あるいはドメイン）を指定する必要がある場合は、federated-id.eduroam.jp をご指定ください。

検証すべきサーバ証明書

eduroamの認証は802.1Xによりパスワードが盗聴されないように安全に行われますが、そのためには正しいアクセスポイントに接続されていることを確認する必要があります。確認は、認証サーバで用いられているサーバ証明書を検証することで行います。

発行されたアカウントを用いて認証を行う際に検証すべきサーバ証明書については、https://federated-id.eduroam.jp/cert.html を参照してください。 

...

新規ID/Passwordアカウント発行

新規にID/Passwordアカウントの発行を行う場合は、 まず、そのID/Passwordアカウントの利用開始日と有効期限を設定します。 設定の後、申請ボタンを押すことによって、新規ID/Passwordアカウントの発行を行う場合に利用します。まず、利用したいアカウントの利用開始日と有効期限を指定します。 その後、申請ボタンを押すことによって、新規ID/Passwordアカウントが発行され、 アカウント名(ID)と対応するパスワード(Password)が表示されます。 これをメモしておき、eduroamのアクセスポイントに接続する際に利用します。これをメモしておき、eduroamのアクセスポイントに接続する際に利用します。複数のアカウントを発行する場合に、それぞれのアカウントの用途（利用する端末の機種等）をアカウントメモに記録しておくことができます。なお、パスワードの変更や、有効期限の延長はできません。

発行済みID/Passwordアカウントの確認および失効

これまでに発行されたID/Passwordアカウントを確認することができます。 パスワードも併せて表示されますので、 過去に発行を受けたアカウントのアカウント名やパスワードを忘れてしまった場合は、 ここで再度確認することができます。

また、発行済ID/Passwordアカウントに対して、指定したものを廃止し、 Passwordアカウントに対して、指定したものを失効させ、 利用できなくすることが可能です。 不要になったID/Passwordアカウントや、パスワードの漏洩が懸念されるID/Passwordアカウントについては、 速やかに廃止手続きを行ってください。速やかに廃止手続きを行ってください。なお、有効期限が過ぎたアカウントは自動的に利用不可となり、さらに失効させる必要がないため、失効の手続きはできません（不要です）。

発行済みIDについて、24時間以内の認証ログを確認することができます。

...

新規証明書[EAP-TLS]アカウント発行

新規に証明書ID/Passwordアカウントの代わりに証明書[EAP-TLS]アカウント（クライアント証明書）を用いた認証を行うことができます。端末によっては、毎回Passwordを入力せずに認証することができるため、eduroamへの接続がさらに容易になります。

新規に証明書アカウントの発行を行う場合は、 まず、その証明書[EAP-TLS]アカウントの利用開始日と有効期限を設定します。 設定の後、申請ボタンを押すことによって、新規証明書アカウントの発行を行う場合は、 まず、利用したいアカウントの利用開始日と有効期限を指定します。 その後、申請ボタンを押すことによって、新規証明書[EAP-TLS]アカウントが発行され、 証明書ダウンロードアドレスと証明書証明書ダウンロードURLと証明書インストール時に利用するパスワードが表示されます。 証明書をeruroamのアクセスポイントに接続する端末にパスワードを使ってeruroamのアクセスポイントに接続する端末に証明書をパスワードを使ってインストールしておき、 eduroamのアクセスポイントに接続する際に利用します。eduroamのアクセスポイントに接続する際に利用します。（端末のeduroam接続設定において、インストールした証明書を利用するように指定します。端末によっては、同時にアカウントのIDを指定する必要がありますが、その際には同時に発行されたIDを指定してください。）複数のアカウントを発行する場合に、それぞれのアカウントの用途（利用する端末の機種等）をアカウントメモに記録しておくことができます。なお、パスワードの変更や、有効期限の延長はできません。

発行済み証明書[EAP-TLS]アカウントの確認および失効

これまでに発行された証明書[EAP-TLS]アカウントを確認することができます。 証明書ダウンロードアドレスとパスワードも併せて表示されますので、 過去に発行を受けた証明書[EAP-TLS]アカウントの証明書を紛失してしまった場合やパスワードを忘れてしまった場合は、 ここで再度取得と確認をすることができます。

また、発行済証明書[EAP-TLS]アカウントに対して、指定したものを廃止し、 アカウントに対して、指定したものを失効させ、 利用できなくすることが可能です。 不要になった証明書[EAP-TLS]アカウントや、パスワードの漏洩が懸念される証明書[EAP-TLS]アカウントについては、 速やかに廃止手続きを行ってください。速やかに廃止手続きを行ってください。なお、有効期限が過ぎたアカウントは自動的に利用不可となり、さらに失効させる必要がないため、失効の手続きはできません（不要です）。

発行済みIDについて、24時間以内の認証ログを確認することができます。

...

ビジター用アカウント発行機能

機関の管理者が許可している場合は、教職員であればビジター用のアカウントを発行することができます。

発行するアカウントの種別は、自身用のアカウントと同様に、ID/Passwordアカウントと証明書[EAP-TLS]アカウントの2種類となります。発行できるアカウントの有効期限は1週間と1か月の2種類が用意されており、それぞれの最大発行数は機関管理者によって指定されます。なお、最大発行数は、発効したアカウントのうち、有効期限を迎えていないものが全てカウントされます。利用開始日前のアカウントであってもカウントされますので、ご注意ください。

発行されるアカウントは原則として、アカウントを発行した機関が管理するeduroamアクセスポイントでのみ利用が可能です（利用範囲制限）。

アカウント発行の要領は、自身用の場合と同様です。アカウントメモには、アカウントを提供したビジターに関する情報を記録しておくことができます（アカウントメモの内容は、あとで変更することも可能です）。

発行済みアカウント一覧では、発行されたアカウントに対する同意書を出力することが可能です。PDFで出力されるので、印刷してビジターに配付し、署名してもらうことができるようになっています。また、アカウント一覧をCSVで取得することも可能なので、他のシステムで同意書を発行したりすることも容易です。アカウント一覧のページで項目名のところにあるチェックボックスをクリックすることで、一覧のすべてのアカウントに同時にチェックを入れることができます。また、最近発行したアカウントに対してのみチェックを入れることもできます。

なお、後述の「ビジター用アカウント発行数上限緩和機能」を用いるなどして、1人が発行するビジター用アカウントの有効アカウント数が1000を越える場合は、システムの設計上、チェックボックスによる指定での同意書出力やCSV出力の際にエラーが発生する場合があります。そのような場合は「同意書全出力」あるいは「CSV全出力」のボタンを利用してください。チェックボックスの指定の有無にかかわらず、有効な全てのアカウントに対して出力が行われます。

発行済みIDについて、24時間以内の認証ログを発行者が確認することができます。

ビジター用アカウント発行数上限緩和機能を用いた発行

大きな会議の開催の際に一時的に多数のビジター用アカウントの発行が必要な場合には、機関管理者が「ビジター用アカウント発行数上限設定機能」を用いて、発行できるビジター用アカウントの上限を一時的に緩和することが可能です。機関管理者から、ビジター用アカウントの発行数上限一時緩和のためのパスワードを教えてもらい、「発行済みアカウントの確認および失効」のページの中でパスワードを入力することにより、機関管理者が設定を解除するまでの間、ビジター用アカウントの発行数上限が一時的に緩和されます。なお、発行数上限緩和中は、平常時に発行したビジター用アカウントの数は、発行済みアカウント数として考慮されず、新たに機関管理者が指定した上限までビジター向けアカウントの発行が可能となります。発行可能なビジター向けアカウントの有効期間は最大１年です。機関管理者が設定を解除した後は、発行数上限緩和中に発行したビジター向けアカウントの数は、平常時の発行済みアカウント数として考慮されません。

また、本機能を利用することにより、利用範囲制限のないビジター用アカウントを発行することが可能です（機関管理者が利用範囲制限のないアカウントの発行を許可した場合のみ）。

代理認証機能

学認加入していない eduroam JP 加入機関の構成員向けのアカウント発行機能です。機能の利用は機関の管理者からの申請にもとづいておこなわれます。ユーザへのアカウント発行・配布は機関の管理者を通じておこなわれます。

ビジター用アカウント提供時の注意事項

利用期限を過ぎた/失効したアカウントを設定した端末については、eduroamに接続するWiFiのプロファイルを削除するように配布対象者にお願いしてください。無効なアカウントであってもeduroamのSSIDが存在する場所ではeduroamに対してのアクセスをリトライし続けるため、eduroam JPのRADIUSサーバに対して多大な負荷を与えます。

...

利用継続確認について（学生のみ）

機関管理者が、年度替わりなどに利用継続確認を求めることがあります。有効なeduroamのアカウントがある場合、利用継続の確認を求めるメッセージが出力されますので、継続利用を希望する場合は、継続確認の操作を行ってください。継続確認の操作を行わなかった場合、あるいは失効を選択した場合は、利用継続確認期間の終了後に、発行されているeduroamのアカウントが強制的に失効されます。継続確認を忘れてeduroamのアカウントが失効されてしまった場合は、改めてアカウントの新規発行を行ってください。

...

注意事項

本サービスでは、仮名アカウントの発行により、 個人やその所属機関が特定できない仕組みを提供しています。 個人が特定できない仕組みを提供しています。 アカウント発行の際には所属機関のIdPから送られてくる eduPersonTargetedID という匿名情報のみを参照しますので、 本サービスサイトにおいても、具体的な個人を特定できない仕組みになっています。 ただし、アカウント発行時の記録を一定期間保存していますので、 このアカウントを用いた不正アクセス等が発生した場合は、 所属機関のIdPとの協力に基づいて当該アカウントの発行を要求した利用者を 特定することができます。

このサービスの利用にあたっては、利用規程の遵守をお願いします。

...

問い合わせについて

本サービスについてのお問い合わせは、所属機関の担当者からお願いしています。一般ユーザからの直接のお問い合わせはご遠慮ください。

改定履歴