クライアントレス SSO 認証

クライアントレス SSO は、Sophos Transparent Authentication Suite を使って実装します。

ワークフローは以下の通りです:
  1. ユーザーは LAN 内の任意のワークステーションから Active Directory ドメインコントローラにログオンします。ドメインコントローラはユーザーのログオン情報を認証します。
  2. AD はセッション情報を取得し、セキュリティ監査ログを作成します。ユーザー認証が成功すると、AD は ID が 672 (Windows 2003) または 4768 (Windows 2008 以降) のイベントを作成します。
  3. エージェントは AD サーバーを監視し、上記のイベント ID からセッション情報を取得します。
  4. エージェントは、ユーザー名と IP アドレスを同時に、デフォルトの TCP ポート (5566) 経由でコレクターに転送します。
  5. コレクターはこれを受け、成功した認証情報をファイアウォールの UDP ポート 6060 に送信します。
  6. ファイアウォールは、不明な IP からのトラフィックを検出した場合、コレクターのポート 6677 にクエリすることができます。
  7. ユーザーがインターネットリクエストを開始します。
  8. ファイアウォールはユーザー情報とローカルユーザーマップを照会して、ユーザーに適切なセキュリティポリシーを適用します。

ファイアウォールは AD サーバーにクエリを送信し、STAS エージェントからのデータに基づいてグループメンバーシップを判定します。このデータに基づき、アクセスを許可または拒否します。ワークステーションに直接 (ローカルで) ログオンし、ドメインにログオンしていないユーザーは、認証されず、未認証のユーザーとみなされます。ドメインにログオンしていないユーザーは、キャプティブポータルでの認証が必要になります。