クライアントレス SSO 認証
クライアントレス SSO は、Sophos Transparent Authentication Suite (STAS) によって実装されます。
ワークフローは以下の通りです:
- ユーザーは LAN 内の任意のワークステーションから Active Directory ドメインコントローラにログオンします。ドメインコントローラはユーザーのログオン情報を認証します。
- AD はセッション情報を取得し、セキュリティ監査ログを作成します。ユーザー認証が成功すると、AD は ID が 672 (Windows 2003) または 4768 (Windows 2008 以降) のイベントを作成します。
- エージェントは AD サーバーを監視し、上記のイベント ID からセッション情報を取得します。
- エージェントは、ユーザー名と IP アドレスを同時に、デフォルトの TCP ポート (5566) 経由でコレクターに転送します。
- コレクターはこれを受け、成功した認証情報をファイアウォールの UDP ポート 6060 に送信します。
- ファイアウォールは、不明な IP からのトラフィックを検出した場合、コレクターのポート 6677 にクエリすることができます。
- ユーザーがインターネットリクエストを開始します。
- ファイアウォールはユーザー情報とローカルユーザーマップを照会して、ユーザーに適切なセキュリティポリシーを適用します。
ファイアウォールは AD サーバーにクエリを送信し、STAS エージェントからのデータに基づいてグループメンバーシップを判定します。このデータに基づき、アクセスを許可または拒否します。ワークステーションに直接 (ローカルで) ログオンし、ドメインにログオンしていないユーザーは、認証されず、未認証のユーザーとみなされます。ドメインにログオンしていないユーザーは、キャプティブポータルでの認証が必要になります。