Web 認証

Active Directory SSO またはキャプティブポータルを使用してユーザーを認証できます。認証を受けたユーザーは、ログおよびレポートに記録され、ファイアウォールルールおよび Web ポリシーの条件と照合されます。

Active Directory SSO (シングルサインオン) では、ユーザーがエンドポイントデバイスにサインインすると、自動的に XG Firewall へのサイレント認証が行われます。

キャプティブポータルは、ファイアウォールの背後にいるユーザーが Web サイトにアクセスしようとしたときに認証を要求する Web ページです。キャプティブポータルの動作とレイアウトを定義することも可能です。

キャプティブポータルの URL: https://<XG Firewall の IP アドレス>:8090

ユーザーはキャプティブポータルで認証を受けた後、各自が指定したページに進むか、または管理者が指定した URL にリダイレクトされます。

認証済みのユーザーを表示するには、現在のアクティビティ > ライブユーザーにアクセスします。

認証されていないユーザーの Web アクセスを承認する

この設定には、ファイアウォールルールおよび Web ポリシーにおいて不明なユーザーおよび認証済みのユーザーとユーザーグループに対して設定した内容が反映されます。

ファイアウォールルールの設定: 不明なユーザーに Web 認証を使用する

動作

オン

認証を受けていない Web リクエストがファイアウォールルールに一致すると、ユーザーは認証を受けます。

オフ

認証を受けていないリクエストは許可されます。Web ポリシーによって要求がブロックされた場合、ユーザーは認証を受けます。

認証の理由

AD SSO の設定

動作

ファイアウォールルールが適用された。

設定済み

認証を受けていない Web リクエストが発生すると、AD SSO はエンドポイントデバイスにサインインしたユーザーのサイレント認証を試みます。認証に失敗すると、キャプティブポータルにリダイレクトされます。ユーザーが認証されると、ページが再読み込みされ、ユーザーの Web ポリシーが評価されます。

不明なユーザーまたはグループに対する Web ポリシーが「ブロック」に設定されている。

設定済み

ファイアウォールルールが適用された。

未設定

認証を受けていない Web リクエストが発生すると、リクエストはキャプティブポータルにリダイレクトされます。

不明なユーザーまたはグループに対する Web ポリシーが「ブロック」に設定されている。

未設定

認証を受けていない Web リクエストがブロックされると、ブロックページが表示されます。ブロックページにキャプティブポータルのリンクを表示できます。

XG Firewall は、AD SSO のメカニズムとして NTLM および Kerberos をサポートしています。Kerberos は NTLM よりも高速で安全ですが、より多くの条件を満たす必要があります。

オプション

説明

NTLM のみ

認証ヘッダに NTLM のみを含めます。Kerberos ヘッダに対応していないレガシークライアントがある場合は、このオプションを使用してください。

Kerberos & NTLM

デフォルト

認証ヘッダに NTLM と Kerberos の両方を含めます。どちらのメカニズムが使用されるかは、ブラウザによって決まります。

Active Directory を設定した場合、特定のネットワークゾーン (LAN など) からの AD SSO へのアクセスを有効にできます。管理 > デバイスのアクセスにアクセスし、ローカルサービス ACLのゾーンを選択してください。

キャプティブポータルの動作

キャプティブポータルの設定を指定します。

ユーザーポータルリンクを表示する
キャプティブポータルページにユーザーポータルのリンクを表示します。
サインイン後に Web ページを表示する
ユーザーを認証後、ユーザーが要求したページまたはカスタムページにリダイレクトします。
Web ページを開く

オプション

説明

新しいブラウザウィンドウ内

新しいブラウザウィンドウで Web ページを開きます。キャプティブポータルページは開いたままになります。

キャプティブポータルウィンドウ内

現在のタブのキャプティブポータルページを、Web ページで置き換えます。

Web ページ

オプション

説明

ユーザーが最初に要求したもの

キャプティブポータルにリダイレクトする前に、ユーザーが最初にリクエストした Web ページを開きます。

カスタム

リダイレクト先のページを指定します。たとえば、サインインしたユーザーに対して社内ホームページを表示します。

ユーザーをサインアウトする

オプション

説明

キャプティブポータルページが閉じられるか、またはリダイレクトされたとき

ユーザーがキャプティブポータルのタブを閉じるか、そのタブで別のページを開いた場合、ユーザーをサインアウトします。

ユーザーがアクティブでないとき

ユーザーがアクティブとみなされる、一定時間内のデータ送信量を指定します。

しない

ユーザーをサインアウトしません。

HTTPS より安全性の低い HTTP を使用する
ユーザーが HTTP でキャプティブポータルにアクセスすることを許可します。
HTTPS の使用を推奨します。暗号化されていないパスワードを送信すると、重大なセキュリティリスクにつながる恐れがあります。
XG Firewall には、自己署名された HTTPS 証明書があらかじめインストールされています。ブラウザに証明書の警告が表示されないようにするには、独自に生成した証明書 (クライアントの信頼を得るために配布済みのもの) か、認証局から購入した証明書に置き換えます。

変更を保存するには、適用を選択します。

キャプティブポータルの外観

キャプティブポータルの外観やコンテンツをカスタマイズできます。たとえば、会社のロゴやカスタムテキストを指定することができます。下部にあるプレビューボタンを選択すると、ページの外観を確認できます。

オプション

説明

デフォルトのレイアウト

Sophos のデフォルトレイアウトが使用されます。

カスタム HTML

HTML コードおよび CSS コードを編集します。JavaScript を使用することもできます。

コードには次の要素が必要です: <div id="__loginbox"></div>。システムによって div 要素に必要なユーザー入力要素が追加されます。

デフォルト ロゴ

Sophos ロゴを使用します。

カスタム ロゴ

独自のロゴを使用します。画像をアップロードするか、ロゴへのリンクを入力してください。

サインインページのヘッダーの HTML

サインインボックスの上に表示するテキストを入力します。HTML を使用できます。

フォントの色をカスタマイズするには、ヘッダーとフッターのテキストの色を使用します。

ユーザープロンプト

デフォルトのテキストを変更できます。

ユーザー名フィールドのラベル

ユーザー名のフィールドのラベルを変更できます。

パスワードフィールドのラベル

パスワードフィールドのラベルを変更できます。

サインインボタンのラベル

サインインボタンのラベルを変更できます。

サインアウトボタンのラベル

サインアウトボタンのラベルを変更できます。

ユーザーポータルリンクのラベル

ユーザポータルのリンク名を変更できます。

サインインページのフッターの HTML

サインインボックスの下に表示するテキストを入力します。HTML を使用できます。

フォントの色をカスタマイズするには、ヘッダーとフッターのテキストの色を使用します。

背景色

ページ全体の背景色を変更できます。

ヘッダーとフッターのテキストの色

ヘッダとフッタのフォントの色を変更できます。ヘッダまたはフッタを指定した場合にのみ表示されます。

カスタムロゴの背景色

ロゴのボックスの背景色を変更できます。

ユーザープロンプトのテキストの色

ユーザープロンプトのフォントの色を変更できます。

ユーザーポータルリンクのテキストの色

ユーザーポータルリンクのフォントの色を変更できます。

設定を保存するには、適用を選択します。

カスタム設定を削除するには、出荷時設定にリセットを選択します。