Clientlose SSO-Authentifizierung

Clientloses SSO wird durch den Einsatz von Sophos Transparent Authentication Suite realisiert.

Der zugehörige Ablauf sieht folgendermaßen aus:
  1. Der Benutzer meldet sich von einem Arbeitsplatzrechner im LAN am Active-Directory-Domänencontroller an. Der Domänencontroller authentifiziert die Zugangsdaten des Benutzers.
  2. AD erhält die Sitzungsinformationen und erstellt ein Sicherheitsauditprotokoll. Nach erfolgreicher Benutzeranmeldung erstellt AD ein Ereignis mit der ID 672 (Windows 2003) oder 4768 (Windows 2008 und neuer).
  3. Während der Agent den AD-Server überwacht, erhält er die Sitzungsinformationen von den oben genannten Ereignis-IDs.
  4. Der Agent gibt zur gleichen Zeit den Benutzernamen und die IP-Adresse an den Collector über den Standard-TCP-Port (5566) weiter.
  5. Der Collector antwortet, indem er Aktualisierungen über die erfolgreiche Authentifizierung an die Firewall auf Port 6060 sendet.
  6. Wenn die Firewall Verkehr von einer IP sieht, über die sie keine Informationen hat, kann sie den Collector auf Port 6677 befragen.
  7. Ein Benutzer startet eine Internetanfrage.
  8. Die Firewall vergleicht die Benutzerinformationen mit ihrer lokalen Benutzerliste und wendet die Sicherheitsrichtlinien entsprechend an.

Die Firewall bittet den AD-Server eine Gruppenmitgliedschaft zu bestimmen, basierend auf den Daten vom STAS-Agent. In Abhängigkeit von den Daten wird der Zugang gewährt oder abgelehnt. Benutzer, die direkt (oder lokal) an einem Arbeitsplatzrechner aber nicht an einer Domäne angemeldet sind, werden nicht authentifiziert und werden als unauthentifizierte Benutzer eingestuft. Benutzer, die nicht an einer Domäne angemeldet sind, müssen sich über das Captive-Portal authentifizieren.