Chromebook のシングルサインオンの設定

ここでは、Chromebook ユーザーが Chromebook にサインインするときに XG Firewall にサインインできるようにするための、XG Firewall での設定方法を説明します。

目的

このセクションでは、以下について学びます。
  • XG Firewall の Active Directory サーバーを Google Chrome Enterprise で使用できるように設定する
  • Chromebook を XG Firewall で使用できるように設定する
  • Google Chrome Enterprise を XG Firewall で使用できるように設定する

Active Directory での Chromebook SSO の設定

まず XG Firewall を設定します。

  • Active Directory サーバーが G Suite に対応するように設定し、同期します。
  • XG Firewall で Active Directory サーバーを設定します。
  • 証明書を作成またはインポートします。
  • ファイアウォールルールを作成します。
  • Chromebook から、XG Firewall によって制御されるネットワークに接続します (LAN や Wi-Fi など)。
  1. Active Directory サーバーを作成します。
    AD 内の Chromebook ユーザーは、G Suite に登録されているドメインのメールアドレスを持つものとします。たとえば、登録ドメインが example.com の場合、AD Chromebook ユーザーは user@example.com という形式のメールアドレスが必要です。
  2. デバイスアクセスの設定を変更して、Chromebook SSO を許可します。
    管理 > デバイスのアクセスに移動し、Chromebook SSOで Chromebook ユーザーの接続元ゾーンを選択します (例: LANWi-Fi)。
  3. 有効な証明書を作成またはインポートします。
    CN は、Chromebook ユーザーがいるゾーン/ネットワークと一致させてください (例: gateway.example.com)。

    証明書はパスフレーズで保護しないでください。

    証明書は、Chromebook との SSL 暗号化通信で使用されます。
  4. 認証 > サービス > Chromebook SSOに移動し、Chromebook SSO を有効にし、次のように設定します。
    オプション説明
    ドメイン G Suite の登録ドメイン。G Suite で使用しているメールアドレスのドメインのサフィックスを使用します (example.com など)。これは、Active Directory ドメインとは異なる場合があります。
    ポート 65123
    証明書 上記の手順で作成またはインポートした証明書
    ログレベル ログの量を選択します
  5. 「G Suite アプリの設定のダウンロード」をクリックします。
    後で G Suite にアップロードする JSON ファイルがダウンロードされます。
  6. テキストエディタでこのファイルを開き、serverAddress に値を入力し (XG Firewall の LAN または DNS の IP アドレス)、保存します。
    サーバーアドレスは、証明書の CN と一致させてください (例: 10.1.1.1)。
  7. ファイアウォールルールを作成します。
    1. 「ユーザー/ネットワークルール」を作成して、Google API、Chrome ウェブストアとの通信をすべてのデバイスで許可します。これはアプリを Chromebook にプッシュするために必要です:
      • 送信元ゾーン、例: LANWi-Fi
      • 宛先ゾーン、例: WAN
      • 宛先ネットワーク: 事前定義済みの FQDN ホストグループ「Google API Hosts」「Google Chrome Web Store」を選択します。
    2. 「ユーザー/ネットワークルール」を作成して、既知のユーザーに一致するかどうかをチェックし、不明なユーザーにはキャプティブポータルを表示して、Chromebook にインターネットアクセスを許可します。
      • 送信元ゾーン、例: LANWi-Fi
      • 宛先ゾーン、例: WAN
      • ID: 次のオプションを選択します: 既知のユーザーを一致不明なユーザーにキャプティブポータルを表示する

      ルール a) がルール b) の前に適用されるように並べます。

      ルール b) で 不明なユーザーにキャプティブポータルを表示する を選択しない場合は、Chrome ウェブストアへの接続時の待機時間を避けるため、もう 1 件のネットワークルール c) を作成することを推奨します。

    3. 「ユーザー/ネットワークルール」を作成し、次のように設定します。
      • ルールの種類: 拒否
      • 送信元ゾーン、例: LANWi-Fi
      • 宛先ゾーン: WAN

      ルールが最後に適用されるよう、リストの一番下に配置します。

Chromebook の設定

Sophos Chromebook ユーザー ID アプリをウェブストアからインストールして、Chromebook を設定します。

Google Chrome Enterprise の設定

G Suite を設定し、XG Firewall と通信できるようにします。

  1. G Suite にサインインして、「端末管理 > Chrome 管理 > アプリの管理」に移動します。
  2. Sophos Chromebook ユーザー ID アプリを検索して選択します。
  3. 「ユーザー設定」に移動し、ドメインに対して以下の設定を行います。
    オプション説明
    インストールを許可 有効のままにします。ユーザーが自分でアプリをインストールすることを許可します。
    強制的にインストール ドメイン内で構成されているすべての Chromebook にアプリを自動的にインストールします。
    タスクバーに固定 インストールしたアプリを Chromebook のタスクバーに表示します。
    Chrome ウェブストアコレクションに追加 アプリが社内で Chrome ウェブストアレクションに表示されるようにします。
  4. JSON 環境設定ファイルを G Suite にアップロードします。
    これは、認証 > サービス > Chromebook SSOからダウンロードしたファイルです。
  5. 保存します。
  6. 「公開セッションの設定」に移動し、「ユーザー設定」と同様に設定し、JSON 環境設定ファイルをアップロードします。
    設定の変更はすべての管理対象デバイスに自動的に導入されます。Google のマニュアルには「設定は通常数分後に有効になります」と記載されていますが、全員に適用されるまで 1 時間ほどかかることがあります。
これで設定は完了です。ただし、XG Firewall に自己署名証明書を使用している場合は、Chromebook に CA を提供する必要があります。この方法については、次のセクションで説明します。

G Suite に設定されているドメインでユーザーが認証されると、現在のアクティビティ > ライブユーザーに表示されます。

プロキシとアプリの通信用 CA 証明書のインストール

XG Firewall で自己署名証明書を使用する場合は、プロキシとアプリが通信できるようにするために、該当する CA 証明書を G Suite に登録する必要があります。

XG Firewall証明書 > 認証局 (CA)からダウンロードした CA 証明書 (通常デフォルト) が必要です。
  1. G Suite にサインインして、「端末管理」 > 「ネットワーク」 > 「証明書」に移動します。
  2. 「証明書の追加」をクリックして、XG Firewall からダウンロードした CA 証明書をアップロードします。
  3. 「HTTPS の認証局としてこの証明書を使用します」オプションを選択します。