Chromebook Single Sign-On konfigurieren

Lernen Sie, wie Sie XG Firewall konfigurieren, um Chromebook-Benutzer an XG Firewall zur gleichen Zeit anzumelden, wenn diese sich an ihrem Chromebook anmelden.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
  • Einen Active-Directory-Server in XG Firewall für die Verwendung mit Google Chrome Enterprise konfigurieren.
  • Ein Chromebook für die Verwendung mit XG Firewall konfigurieren.
  • Google Chrome Enterprise für die Verwendung mit XG Firewall konfigurieren.

Chromebook SSO mit Active Directory konfigurieren

Konfigurieren Sie zunächst XG Firewall.

  • Ihr Active-Directory-Server ist bereits für die Verwendung mit G Suite konfiguriert und die Synchronisierung hat stattgefunden.
  • Sie wissen, wie man einen Active-Directory-Server in XG Firewall konfiguriert.
  • Sie wissen, wie man Zertifikate erstellt oder importiert.
  • Sie wissen, wie man Firewallregeln erstellt.
  • Chromebooks können sich mit dem von XG Firewall kontrollierten Netzwerk verbinden, z.B. dem LAN oder WLAN.
  1. Active-Directory-Server erstellen.
    Die Chromebook-Benutzer im AD müssen E-Mail-Adressen haben, welche die bei G Suite registrierte Domäne verwenden. Wenn Ihre registrierte Domäne z.B. example.com ist, müssen AD-Chromebook-Benutzer eine E-Mail-Adresse der Form user@example.com haben.
  2. Ändern Sie den Appliance-Zugriff, um Chromebook SSO zuzulassen.
    Gehen Sie zu Verwaltung > Appliance-Zugriff und wählen Sie Chromebook SSO für die Zone, aus der sich die Chromebook-Benutzer verbinden dürfen, z.B. LAN und WLAN.
  3. Erstellen oder importieren Sie ein gültiges Zertifikat.
    Wichtig: Der CN muss mit der Zone oder dem Netzwerk übereinstimmen, wo sich die Chromebook-Benutzer befinden, z.B. gateway.example.com.

    Das Zertifikat darf nicht durch ein Kennwort geschützt sein.

    Das Zertifikat wird für die SSL-verschlüsselte Kommunikation mit den Chromebooks verwendet.
  4. Gehen Sie zu Authentifizierung > Dienste > Chromebook SSO, schalten Sie die Chromebook-SSO-Funktion ein und legen Sie die folgenden Einstellungen fest:
    OptionBeschreibung
    Domäne Die Domäne, die bei G Suite registriert ist, z.B. example.com
    Port 65123
    Zertifikat Das oben erstellte oder importierte Zertifikat.
    Protokollierungsstufe Wählen Sie den Umfang der Protokollierung.
  5. Erstellen Sie Firewallregeln.
    1. Erstellen Sie eine Benutzer-/Netzwerkregel, um Google API und Chrome Web Store die Kommunikation mit allen Geräten zu gestatten. Dies ist nötig, um die App auf die Chromebooks zu senden:
      • Quellzonen, z.B.: LAN, WLAN
      • Zielzonen, z.B.: WAN
      • Zielnetzwerke: Wählen Sie die vordefinierten FQDN-Hostgruppen Google API Hosts und Google Chrome Web Store aus.
    2. Erstellen Sie eine Benutzer-/Netzwerkregel, die bekannte Benutzer abgleicht und unbekannten Benutzern das Captive-Portal anzeigt, um Chromebooks Internetzugriff zu gewähren.
      • Quellzonen, z.B.: LAN, WLAN
      • Zielzonen, z.B.: WAN
      • Identität: Wählen Sie die folgenden Optionen aus: Übereinstimmung mit bekannten Benutzern, Unbekannten Benutzern das Captive-Portal anzeigen

      Sortieren Sie beide Regeln, sodass Regel A vor Regel B angewendet wird.

      Wenn Sie in Regel B nicht Unbekannten Benutzern das Captive-Portal anzeigen auswählen, empfehlen wir, dass Sie eine weitere Netzwerkregel C erstellen, um mögliche Wartezeiten zu vermeiden, wenn der Chrome Web Store kontaktiert wird.

    3. Erstellen Sie ein Benutzer-/Netzwerkregel mit den folgenden Einstellungen:
      • Regeltyp: Ablehnen
      • Quellzonen, z.B.: LAN, WLAN
      • Zielzonen: WAN

      Platzieren Sie die Regel unten auf der Liste, sodass die Regel zuletzt angewendet wird.

Ein Chromebook konfigurieren.

Ein Chromebook konfigurieren, indem Sie die Sophos Chromebook user ID App aus dem Web Store installieren.

Google Chrome Enterprise konfigurieren

Konfigurieren Sie G Suite für die Kommunikation mit XG Firewall.

  1. Melden Sie sich bei G Suite an und gehen Sie zu Geräteverwaltung > Chrome-Verwaltung > App-Verwaltung.
  2. Suchen sie nach der Sophos Chromebook user ID app und wählen Sie sie aus.
  3. Gehen Sie zu Nutzereinstellungen und nehmen Sie die folgenden Einstellungen für Ihre Domäne vor:
    Installation zulassen
    Eingeschaltet lassen. Ermöglicht Benutzern, Apps selbst zu installieren.
    Installation erzwingen
    Aktivieren, um die App automatisch auf allen Chromebooks zu installieren, die für Ihre Domäne konfiguriert sind.
    An Taskleiste anheften
    Aktivieren, um die App in der Taskleiste des Chromebooks nach der Installation anzuzeigen.
    Zur Chrome Web Store-Sammlung hinzufügen
    Aktivieren, um die App in der Chrome Web Store-Sammlung für Ihre Organisation anzeigen.
  4. Erstellen Sie eine JSON-Konfigurationsdatei mit dem folgenden Inhalt:
    {
        "serverAddress": {
            "Value": "10.1.1.1"
        },
        "serverPort": {
            "Value": 65123
        },
        "logLevel": {
            "Value": 2
        },
        "logoutOnLockscreen": {
            "Value": true
        },
        "logoutOnIdle": {
            "Value": true
        },
        "idleInterval": {
            "Value": 900
        }
    }
    Ersetzen Sie den Wert serverAddress durch die LAN-IP oder DNS-Adresse Ihrer XG Firewall, die mit der CN des Zertifikats übereinstimmen muss.
  5. Laden Sie die Konfigurationsdatei in G Suite hoch.
  6. Speichern Sie.
  7. Gehen Sie zu Einstellungen für öffentliche Sitzungen, legen Sie die gleichen Einstellungen wie für Nutzereinstellungen fest und laden Sie dort auch die JSON-Konfigurationsdatei hoch.
    Die Konfigurationsänderungen werden automatisch auf alle verwalteten Geräten verteilt. Die Google-Dokumentation besagt, dass „Einstellungen in Minuten in Kraft treten. Aber dass sie bis zu einer Stunde benötigen, um für alle angewendet zu werden.“
Der Konfigurationsvorgang hier ist abgeschlossen, es sei denn, Sie verwenden ein selbst-signiertes Zertifikat für XG Firewall. In diesem Fall, müssen Sie das entsprechende Zertifikat an die Chromebooks verteilen. Fahren Sie mit dem nächsten Abschnitt fort.

Sobald sich Benutzer mit der in G Suite konfigurierten Domäne authentifizieren, werden sie unter Aktuelle Aktivitäten > Live-Benutzer angezeigt.

CA-Zertifikat für Proxy- und App-Kommunikation installieren

Wenn Sie ein selbstsigniertes Zertifikat für XG Firewall verwenden, müssen Sie das entsprechende CA-Zertifikat in G Suite hinterlegen, damit die Proxy- und App-Kommunikation funktioniert.

Sie werden das CA-Zertifikat (üblicherweise Standard) brauchen, das Sie von XG Firewall unter Zertifikate > Zertifizierungsstellen (CA) herunterladen können.
  1. Melden Sie sich an G Suite an und gehen Sie zu Geräteverwaltung > Netzwerke > Zertifikate.
  2. Klicken Sie auf Zertifikat hinzufügen und laden Sie das CA-Zertifikat hoch, das Sie von XG Firewall heruntergeladen haben.
  3. Wählen Sie die Option Dieses Zertifikat als HTTPS-Zertifizierungsstelle nutzen aus.