コンテンツにスキップ

Chromebook のシングルサインオンの設定

Chromebook ユーザーが Chromebook にサインインしたときに、Sophos Firewall にサインインするように設定する方法を学びます。

目的

このセクションでは、以下について学びます。

  • Sophos Firewall の Active Directory サーバーを Google Chrome Enterprise で使用できるように設定する
  • Chromebook を Sophos Firewall で使用できるように設定する
  • Google Chrome Enterprise を Sophos Firewall で使用できるように設定する

Active Directory での Chromebook SSO の設定

まず Sophos Firewall を設定します。

  • Active Directory サーバーが G Suite に対応するように設定し、同期します。
  • Sophos Firewall で Active Directory サーバーを設定します。
  • 証明書を作成またはインポートします。
  • ファイアウォールルールを作成します。
  • Chromebook から、Sophos Firewall によって制御されるネットワークに接続します (LAN や Wi‑Fi など)。

  • Active Directory サーバーを作成します。AD 内の Chromebook ユーザーは、G Suite に登録されているドメインのメールアドレスを持つものとします。たとえば、登録ドメインが example.com の場合、AD Chromebook ユーザーは user@example.com という形式のメールアドレスが必要です。

  • デバイスアクセスの設定を変更して、Chromebook SSO を許可します。「管理 > デバイスのアクセス」に移動し、Chromebook ユーザーの接続元ゾーンの「Chromebook SSO」を選択します (例: 「LAN」と「Wi‑Fi」)。
  • 有効な証明書を作成またはインポートします。

    CN は、Chromebook ユーザーがいるゾーン/ネットワークと一致させてください (例: gateway.example.com)。

    証明書はパスフレーズで保護しないでください。

    証明書は、Chromebook との SSL 暗号化通信で使用されます。

  • 認証 > サービス > Chromebook SSO」に移動し、Chromebook SSO を有効にし、次のように設定します。

    オプション 説明
    ドメイン G Suite に登録されているドメイン (G Suite で使用しているメールアドレスのドメインサフィックス。example.com など)。これは、 Active Directory ドメインとは異なる場合があります。
    ポート 65123
    証明書 上記の手順で作成またはインポートした証明書
    ログレベル ログの量を選択します
  • G Suite アプリの設定のダウンロード」をクリックします。これにより、後で G Suite にアップロードする必要がある JSON ファイルがダウンロードされます。

  • テキストエディタでファイルを開き、「serverAddress」の値 (Sophos Firewall の LAN または DNS IP アドレス) を入力して保存します。サーバーアドレスは、証明書の CN と一致させてください (例: 10.1.1.1)。
  • ファイアウォールルールを作成します。

    1. ユーザー/ネットワークルール」を作成して、Google API、Chrome ウェブストアとの通信をすべてのデバイスで許可します。これはアプリを Chromebook にプッシュするために必要です:

      • 送信元ゾーン、例: LAN, Wi‑Fi
      • 宛先ゾーン、例: WAN
      • 宛先ネットワーク: 事前定義済みの FQDN ホストグループ「Google API Hosts」と「Google Chrome Web Store」を選択します。
    2. ユーザー/ネットワークルール」を作成して、既知のユーザーに一致するかどうかをチェックし、不明なユーザーにはキャプティブポータルを表示して、Chromebook にインターネットアクセスを許可します。

      • 送信元ゾーン、例: LAN, Wi‑Fi
      • 宛先ゾーン、例: WAN
      • ID: 次のオプションを選択します: Match known usersShow captive portal to unknown users

      ルール a) がルール b) の前に適用されるように並べます。

      ルール b) で「不明なユーザーにキャプティブポータルを表示する」を選択しない場合は、Chrome ウェブストアへの接続時の待機時間を避けるため、もう 1 件のネットワークルール c) を作成することを推奨します。

    3. ユーザー/ネットワークルール」を作成し、次のように設定します。

      • ルールタイプ: 拒否
      • 送信元ゾーン、例: LAN, Wi‑Fi
      • 宛先ゾーン: WAN

      ルールが最後に適用されるよう、リストの一番下に配置します。

Chromebook の設定

Sophos Chromebook ユーザー ID アプリをウェブストアからインストールして、Chromebook を設定します。

Google Chrome Enterprise の設定

G Suite を、Sophos Firewall と通信できるように設定します。

  1. G Suite にサインインして、「デバイス管理 > Chrome 管理 > アプリの管理」に移動します。
  2. Sophos Chromebook ユーザー ID アプリを検索して選択します。
  3. ユーザー設定」に移動し、ドメインに対して以下の設定を行います。

    オプション 説明
    インストールを許可 有効のままにします。ユーザーが自分でアプリをインストールすることを許可します。
    強制的にインストール 有効にして、ドメイン内で構成されているすべての Chromebook にアプリを自動的にインストールします。
    タスクバーに固定 有効にして、インストールしたアプリを Chromebook のタスクバーに表示します。
    Chrome ウェブストアコレクションに追加 有効にして、アプリが社内で Chrome ウェブストアレクションに表示されるようにします。
  4. JSON 環境設定ファイルを G Suite にアップロードします。これは、「認証 > サービス > Chromebook SSO」からダウンロードしたファイルです。

  5. 保存します。
  6. 公開セッションの設定」に移動し、「ユーザー設定」と同様に設定し、JSON 環境設定ファイルをアップロードします。設定の変更はすべての管理対象デバイスに自動的に導入されます。Google のマニュアルには以下のように記載されています。「設定は通常数分後に有効になります。ただし、全員に適用されるまで最長で 1時間かかることがあります。」

これで設定は完了です。ただし、Sophos Firewall にローカル署名証明書を使用している場合は、Chromebook に CA を提供する必要があります。この方法については、次のセクションで説明します。

G Suite に設定されているドメインでユーザーが認証されると、「現在のアクティビティ > ライブユーザー」に表示されます。

プロキシとアプリの通信用 CA 証明書のインストール

Sophos Firewall でローカル署名証明書を使用する場合は、プロキシとアプリが通信できるようにするために、該当する CA 証明書を G Suite に登録する必要があります。

Sophos Firewall の「証明書 > 証明機関」からダウンロードした CA 証明書 (通常は「デフォルト」) が必要です。

  1. G Suite にサインインして、「デバイス管理 > ネットワーク > 証明書」に移動します。
  2. 証明書の追加」をクリックして、Sophos Firewall からダウンロードした CA 証明書をアップロードします。
  3. HTTPS の認証局としてこの証明書を使用します」オプションを選択します。

その他のリソース