Web 認証
Active Directory SSO またはキャプティブポータルを使用してユーザーを認証できます。ユーザーは、ロギングおよびレポートに表示され、ファイアウォールルールおよび Web ポリシーの一致基準として使用されます。
Active Directory SSO (シングルサインオン) では、ユーザーがエンドポイントデバイスにサインインすると、自動的に Sophos Firewall へのサイレント認証が行われます。
キャプティブポータルは、ファイアウォールの内部のユーザーが Web サイトにアクセスしようとしたときに認証を要求する Web ページです。キャプティブポータルの動作とレイアウトを定義することもできます。
キャプティブポータルの URL: https://<IP address of Sophos Firewall>:8090
ユーザーはキャプティブポータルで認証を受けた後、各自が指定したページに進むか、または管理者が指定した URL にリダイレクトされます。
認証されたユーザーを確認するには、「現在のアクティビティ > ライブユーザー」に移動します。
認証されていないユーザーの Web アクセスを承認する
この設定には、ファイアウォールルールおよび Web ポリシーにおいて不明なユーザーおよび認証済みのユーザーとユーザーグループに対して設定した内容が反映されます。
| ファイアウォールルール設定: 不明なユーザーに Web 認証を使用する | 動作 |
|---|---|
| - | ファイアウォールルールに一致する認証されていない Web 要求の場合、ユーザーは認証されます。 |
| オフ | 認証されていない要求は許可されWeb ポリシーによって要求がブロックされた場合、ユーザーは認証されます。 |
| 認証の理由 | AD SSO が設定されました | 動作 |
|---|---|---|
| ファイアウォールルールが適用された。 | はい | 認証されていない Web 要求が行われると、AD SSO はエンドポイントデバイスにサインインしたユーザをサイレント認証しようとします。認証に失敗すると、要求はキャプティブポータルにリダイレクトされます。ユーザーが認証されると、ページが再読み込みされ、ユーザーの Web ポリシーが評価されます。 |
| 不明なユーザーまたはグループに対する Web ポリシーが「ブロック」に設定されている。 | はい | |
| ファイアウォールルールが適用された。 | いいえ | 認証されていない Web 要求が行われると、要求はキャプティブポータルにリダイレクトされます。 |
| 不明なユーザーまたはグループの Web ポリシーが、「ブロック」に設定されています。 | いいえ | 認証されていない Web 要求がブロックされると、ブロックページが表示されます。ブロックページにキャプティブポータルリンクを表示できます。 |
Sophos Firewall は、 NTLM と Kerberos の 2つの AD SSO メカニズムをサポートしています。Kerberos は NTLM よりも高速で安全ですが、より多くの前提条件があります。
| オプション | 説明 |
|---|---|
| NTLM のみ | 認証ヘッダーに NTLM のみを含めます。Kerberos ヘッダーを処理できないレガシークライアントがある場合は、このオプションを使用します。 |
| Kerberos & NTLM | デフォルト 認証ヘッダーに NTLM と Kerberos の両方を含めます。ブラウザは、使用するメカニズムを選択します。 |
注
Active Directory が設定されている場合は、特定のネットワークゾーン (LANなど) から AD SSO へのアクセスをオンにできます。「管理 > デバイスのアクセス」に移動し、「ローカルサービス ACL」のゾーンを選択してください。
キャプティブポータルの動作
キャプティブポータルの設定を指定します。
ユーザーポータルリンクを表示する
キャプティブポータルにユーザーポータルへのリンクを表示します。
サインイン後に Web ページを表示する
認証後にユーザーを要求したページまたはカスタムページにリダイレクトします。
Web ページを開く
| オプション | 説明 |
|---|---|
| 新しいブラウザウィンドウ内 | 新しいブラウザウィンドウで Web ページを開きます。キャプティブポータルページは開いたままです。 |
| キャプティブポータルウィンドウ内 | 現在のタブで Web ページを開き、キャプティブポータルページを置き換えます。 |
Web ページ
| オプション | 説明 |
|---|---|
| ユーザーが最初に要求したもの | ユーザーがキャプティブポータルにリダイレクトされる前に、最初に要求された Web ページを開きます。 |
| カスタム | ユーザーのリダイレクト先ページを指定します。たとえば、サインイン後に内部ホームページを開きます。 |
ユーザーをサインアウトする
| オプション | 説明 |
|---|---|
| キャプティブポータルページが閉じられるか、またはリダイレクトされたとき | ユーザーが「ログアウト」をクリックするか、キャプティブポータルページを閉じるか、または別のタブで新しい Web ページを開いたときに、Sophos Firewall にログアウトメッセージが送信されます。 キャプティブポータルは、Sophos Firewall にキープアライブメッセージを一定間隔で送信することによって、コンピュータがネットワーク上にあることを伝えます。このキープアライブメッセージがファイアウォールに届かなくなると、ユーザーはサインアウトされます。ノート PC がスリープ状態になったり、ネットワークから切断されると、キープアライブメッセージが届かなくなる場合があります。 |
| ユーザーがアクティブでないとき | ユーザーがアクティブと見なされる期間内のデータ転送量を指定します。ユーザーは、アクティブでなくなったときか、または「ログアウト」をクリックしたときに、サインアウトされます。 |
| 送信しない | ユーザーは自動的にサインアウトされません。ユーザーが「ログアウト」をクリックする必要があります。 |
HTTPS より安全性の低い HTTP を使用する
ユーザが HTTP 経由でキャプティブポータルにアクセスできるようにします。
HTTPS の使用を推奨します。暗号化されていないパスワードをネットワーク経由で送信すると、重大なセキュリティリスクが発生します。**Sophos Firewall には、HTTPS のローカル署名証明書が事前にインストールされています。ブラウザ証明書の警告を防止するには、証明書を生成した証明書 (クライアントの信頼を確保するために配布された証明書) または認証局から購入した証明書に置き換えることができます。
変更を保存する適用には、を選択します。
直接 Web プロキシの認証設定
特定のマルチユーザーホストの接続ごとの認証を許可します。マルチユーザーホストとは、複数のユーザーが同時にサインインできるエンドポイントまたはサーバーです。
注
ファイアウォールルールで「既知のユーザーを一致」を選択している場合は、マルチユーザーホスト用のファイアウォールルールを別途作成して、このオプションをオフにする必要があります。
マルチユーザーホストに、接続ごとの AD SSO 認証を使用する
接続ごとの認証を使用するマルチユーザーホストを指定できます。
注
このオプションを選択した場合は、「認証 > サービス > ファイアウォール認証方法」で AD サーバーを選択する必要があります。
マルチユーザーホスト
以下のネットワークオブジェクトの種類を選択、作成、編集できます。
- IP ホストグループ
- IP
- IP リスト
- IP アドレス範囲
- ネットワーク
マルチユーザーホストを設定する際は、以下の点に気を付けてください。
- マルチユーザーホストに割り当てた IP アドレスには、直接プロキシの接続ごとの認証のみを使用できます。
- マルチユーザーホストに割り当てた IP アドレスには、IP ごとの認証方式 (STAS、クライアントレスユーザー、キャプティブポータル、透過的な AD SSO など) は使用できません。
- 直接プロキシ接続を使用しないマルチユーザーホストに割り当てた IP アドレスからの接続は、認証されていないものとして扱われます。
- マルチユーザーホストに割り当てられていない IP アドレスからの接続には、既存の設定に基づいて、IP ごとの認証が使用されます。
キャプティブポータルの外観
キャプティブポータルの外観やコンテンツをカスタマイズできます。たとえば、会社のロゴや、独自のテキストを指定することができます。プレビュー下部にあるボタンを選択すると、ページがどのように表示されるかが表示されます。
| オプション | 説明 |
|---|---|
| デフォルトのレイアウト | ソフォスのデフォルトのレイアウトを使用します。 |
| カスタム HTML | HTML コードと CSS コードを編集する場合に選択します。JavaScript を使用することもできます。 コードには、次の要素を含める必要があります: <div id="__loginbox"></div>``div 要素内に含まれる必須のユーザー入力項目が Web ページに表示されます。 |
| デフォルトのロゴ | ソフォスのロゴを使用します。 |
| カスタムロゴ | 独自のロゴを使用する場合に選択します。画像をアップロードするか、ロゴへのリンクを入力します。 |
| サインインページのヘッダーの HTML | サインインボックスの上に表示するテキストを入力します。HTML を使用できます。 ヘッダーとフッターのテキストの色フォントの色をカスタマイズするために使用します。 |
| ユーザープロンプト | デフォルトのテキストを変更できます。 |
| ユーザー名フィールドのラベル | ユーザ名フィールドのラベルを変更できます。 |
| パスワードフィールドのラベル | パスワードフィールドのラベルは変更できます。 |
| サインインボタンのラベル | サインインボタンのラベルは変更できます。 |
| サインアウトボタンのラベル | サインアウトボタンのラベルは変更できます。 |
| ユーザーポータルリンクのラベル | ユーザポータルリンクの名前を変更できます。 |
| サインインページのフッターの HTML | サインインボックスの下に表示するテキストを入力します。HTML を使用できます。 ヘッダーとフッターのテキストの色フォントの色をカスタマイズするために使用します。 |
| 背景色 | ページ全体の背景色を変更できます。 |
| ヘッダーとフッターのテキストの色 | ヘッダーとフッターのフォントの色を変更できます。ヘッダーまたはフッターを指定した場合にのみ表示されます。 |
| カスタムロゴの背景色 | ロゴを含むボックスの背景色を変更できます。 |
| ユーザープロンプトのテキストの色 | ユーザープロンプトのフォントの色を変更できます。 |
| ユーザーポータルリンクのテキストの色 | ユーザポータルリンクのフォント色を変更できます。 |
設定を保存する適用には、を選択します。
カスタム設定を消去するには、「出荷時設定にリセット」を選択します。
その他のリソース