Chromebook のシングルサインオンの設定

ここでは、Chromebook ユーザーが Chromebook にサインインするときに XG Firewall にサインインできるようにするための、XG Firewall での設定方法を説明します。

目的

このセクションでは、以下について学びます。
  • XG Firewall の Active Directory サーバーを Google Chrome Enterprise で使用できるように設定する
  • Chromebook を XG Firewall で使用できるように設定する
  • Google Chrome Enterprise を XG Firewall で使用できるように設定する

Active Directory での Chromebook SSO の設定

まず XG Firewall を設定します。

  • Active Directory サーバーが G Suite に対応するように設定し、同期します。
  • XG Firewall で Active Directory サーバーを設定します。
  • 証明書を作成またはインポートします。
  • ファイアウォールルールを作成します。
  • Chromebook から、XG Firewall によって制御されるネットワークに接続します (LAN や Wi-Fi など)。
  1. Active Directory サーバーを作成します。
    AD 内の Chromebook ユーザーは、G Suite に登録されているドメインのメールアドレスを持つものとします。たとえば、登録ドメインが example.com の場合、AD Chromebook ユーザーは user@example.com という形式のメールアドレスが必要です。
  2. デバイスアクセスの設定を変更して、Chromebook SSO を許可します。
    「管理」 > 「デバイスのアクセス」に移動し、「Chromebook SSO」で Chromebook ユーザーの接続元ゾーンを選択します (例: 「LAN」「Wi-Fi」)。
  3. 有効な証明書を作成またはインポートします。
    重要: CN は、Chromebook ユーザーがいるゾーン/ネットワークと一致させてください (例: gateway.example.com)。

    証明書はパスフレーズで保護しないでください。

    証明書は、Chromebook との SSL 暗号化通信で使用されます。
  4. 「認証」 > 「サービス」 > 「Chromebook SSO」に移動し、Chromebook SSO を有効にし、次のように設定します。
    オプション説明
    ドメイン G Suite に登録されているドメイン。例: example.com
    ポート 65123
    証明書 上記の手順で作成またはインポートした証明書
    ログレベル ログの量を選択します
  5. ファイアウォールルールを作成します。
    1. 「ユーザー/ネットワークルール」を作成して、Google API、Chrome ウェブストアとの通信をすべてのデバイスで許可します。これはアプリを Chromebook にプッシュするために必要です。
      • 送信元ゾーン、例: LAN、Wi-Fi
      • 宛先ゾーン、例: WAN
      • 宛先ネットワーク: 事前定義済みの FQDN ホストグループ「Google API Hosts」「Google Chrome Web Store」を選択します。
    2. 「ユーザー/ネットワークルール」を作成して、既知のユーザーに一致するかどうかをチェックし、不明なユーザーにはキャプティブポータルを表示して、Chromebook にインターネットアクセスを許可します。
      • 送信元ゾーン、例: LAN、Wi-Fi
      • 宛先ゾーン、例: WAN
      • ID: 次のオプションを選択します: 既知のユーザーを一致不明なユーザーにキャプティブポータルを表示する

      ルール a) がルール b) の前に適用されるように並べます。

      ルール b) で 不明なユーザーにキャプティブポータルを表示する を選択しない場合は、Chrome ウェブストアへの接続時の待機時間を避けるため、もう 1 件のネットワークルール c) を作成することを推奨します。

    3. 「ユーザー/ネットワークルール」を作成し、次のように設定します。
      • ルールの種類: 「拒否」
      • 送信元ゾーン、例: LAN、Wi-Fi
      • 宛先ゾーン: WAN

      ルールが最後に適用されるよう、リストの一番下に配置します。

Chromebook の設定

Sophos Chromebook user ID アプリをウェブストアからインストールして、Chromebook を設定します。

Google Chrome Enterprise の設定

G Suite を設定し、XG Firewall と通信できるようにします。

  1. G Suite にサインインして、「端末管理」 > 「Chrome」 > 「アプリの管理」に移動します。
  2. Sophos Chromebook user ID アプリを検索して選択します。
  3. 「ユーザー設定」に移動し、ドメインに対して以下の設定を行います。
    インストールを許可
    有効のままにします。ユーザーが自分でアプリをインストールすることを許可します。
    強制的にインストール
    有効にして、ドメイン内で構成されているすべての Chromebook にアプリを自動的にインストールします。
    タスクバーに固定
    有効にして、インストールしたアプリを Chromebook のタスクバーに表示します。
    Chrome ウェブストアコレクションに追加
    有効にして、アプリが社内で Chrome ウェブストアレクションに表示されるようにします。
  4. 以下のような JSON 環境設定ファイルを作成します。
    {
        "serverAddress": {
            "Value": "10.1.1.1"
        },
        "serverPort": {
            "Value": 65123
        },
        "logLevel": {
            "Value": 2
        },
        "logoutOnLockscreen": {
            "Value": true
        },
        "logoutOnIdle": {
            "Value": true
        },
        "idleInterval": {
            "Value": 900
        }
    }
    「serverAddress」の値を XG Firewall の LAN IP または DNS アドレスに置き換えます (証明書の CN と一致させる必要があります)。
  5. 環境設定ファイルを G Suite にアップロードします。
  6. 保存します。
  7. 「公開セッションの設定」に移動し、「ユーザー設定」と同様に設定し、JSON 環境設定ファイルをアップロードします。
    設定の変更はすべての管理対象デバイスに自動的に導入されます。Google のマニュアルには「「設定は通常数分後に有効になります」」と記載されていますが、「全員に適用されるまで 1 時間ほどかかることがあります。」
これで設定は完了です。ただし、XG Firewall に自己署名証明書を使用している場合は、Chromebook に CA を提供する必要があります。この方法については、次のセクションで説明します。

G Suite に設定されているドメインでユーザーが認証されると、「現在のアクティビティ」 > 「ライブユーザー」に表示されます。

プロキシとアプリの通信用 CA 証明書のインストール

XG Firewall で自己署名証明書を使用する場合は、プロキシとアプリが通信できるようにするために、該当する CA 証明書を G Suite に登録する必要があります。

XG Firewall の「証明書」 > 「認証局 (CA)」からダウンロードした CA 証明書 (通常「デフォルト」) が必要です。
  1. G Suite にサインインして、「端末管理」 > 「ネットワーク」 > 「証明書」に移動します。
  2. 「証明書の追加」をクリックして、XG Firewall からダウンロードした CA 証明書をアップロードします。
  3. 「HTTPS の認証局としてこの証明書を使用します」オプションを選択します。