Chromebook のシングルサインオンの設定
Chromebook ユーザーが Chromebook にサインインしたときに、Sophos Firewall にサインインするように設定します。
目的
このセクションでは、以下について学びます。
- Sophos Firewall の Active Directory サーバーを Google Chrome Enterprise で使用できるように設定する
- Chromebook を Sophos Firewall で使用できるように設定する
- Google Chrome Enterprise を Sophos Firewall で使用できるように設定する
Active Directory での Chromebook SSO の設定
まず Sophos Firewall を設定します。
- Active Directory サーバーが Google Workspace に対応するように既に設定され、同期されています。
- Sophos Firewall で Active Directory サーバーを設定します。
- 証明書を作成またはインポートします。
- ファイアウォールルールを作成します。
-
Chromebook から、Sophos Firewall によって制御されるネットワークに接続します (LAN や Wi‑Fi など)。
-
Active Directory サーバーを作成します。AD 内の Chromebook ユーザーは、Google Workspace に登録されているドメインのメールアドレスを持つものとします。たとえば、登録ドメインが
example.com
の場合、AD Chromebook ユーザーはuser@example.com
という形式のメールアドレスが必要です。 - デバイスアクセスの設定を変更して、Chromebook SSO を許可します。「管理 > デバイスのアクセス」に移動し、Chromebook ユーザーの接続元ゾーンの「Chromebook SSO」を選択します (例: 「LAN」と「Wi‑Fi」)。
-
有効な証明書を作成またはインポートします。
注
CN は、Chromebook ユーザーがいるゾーン/ネットワークと一致させてください (例:
gateway.example.com
)。証明書はパスフレーズで保護しないでください。
証明書は、Chromebook との SSL 暗号化通信で使用されます。
-
「認証 > サービス > Chromebook SSO」に移動し、Chromebook SSO を有効にし、次のように設定します。
オプション 説明 ドメイン Google Workspace に登録されているドメイン。これは、Google Workspace で使用されるメールアドレスのドメインサフィックスです (例: example.com
)。これは、 Active Directory ドメインとは異なる場合があります。ポート 65123 証明書 上記の手順で作成またはインポートした証明書 ログレベル ログの量を選択します -
「Google Workspace アプリの設定のダウンロード」をクリックします。これにより、後で Google Workspace にアップロードする必要がある JSON ファイルがダウンロードされます。
- テキストエディタでファイルを開き、「serverAddress」の値 (Sophos Firewall の LAN または DNS IP アドレス) を入力して保存します。サーバーアドレスは、証明書の CN と一致させてください (例:
10.1.1.1
)。 -
ファイアウォールルールを作成します。
-
「ユーザー/ネットワークルール」を作成して、Google API、Chrome ウェブストアとの通信をすべてのデバイスで許可します。これはアプリを Chromebook にプッシュするために必要です:
- 送信元ゾーン、例:
LAN, Wi‑Fi
- 宛先ゾーン、例:
WAN
- 宛先ネットワーク: 事前定義済みの FQDN ホストグループ「Google API Hosts」と「Google Chrome Web Store」を選択します。
- 送信元ゾーン、例:
-
「ユーザー/ネットワークルール」を作成して、既知のユーザーに一致するかどうかをチェックし、不明なユーザーにはキャプティブポータルを表示して、Chromebook にインターネットアクセスを許可します。
- 送信元ゾーン、例:
LAN, Wi‑Fi
- 宛先ゾーン、例:
WAN
- ID: 次のオプションを選択します:
Match known users
、Show captive portal to unknown users
ルール a) がルール b) の前に適用されるように並べます。
ルール b) で「不明なユーザーにキャプティブポータルを表示する」を選択しない場合は、Chrome ウェブストアへの接続時の待機時間を避けるため、もう 1 件のネットワークルール c) を作成することを推奨します。
- 送信元ゾーン、例:
-
「ユーザー/ネットワークルール」を作成し、次のように設定します。
- ルールタイプ: 拒否
- 送信元ゾーン、例:
LAN, Wi‑Fi
- 宛先ゾーン:
WAN
ルールが最後に適用されるよう、リストの一番下に配置します。
-
Chromebook の設定
Sophos Chromebook ユーザー ID アプリをウェブストアからインストールして、Chromebook を設定します。
Google Chrome Enterprise の設定
Google Workspace を、Sophos Firewall と通信できるように設定します。
- Google Workspace にサインインし、「デバイス > Chrome > アプリと拡張機能 > ユーザーとブラウザ」に移動します。
- Sophos Chromebook ユーザー ID アプリを検索して選択します。
-
「ユーザー設定」に移動し、ドメインに対して以下の設定を行います。
オプション 説明 インストールを許可 有効のままにします。ユーザーが自分でアプリをインストールすることを許可します。 強制的にインストール 有効にして、ドメイン内で構成されているすべての Chromebook にアプリを自動的にインストールします。 タスクバーに固定 有効にして、インストールしたアプリを Chromebook のタスクバーに表示します。 Chrome ウェブストアコレクションに追加 有効にして、アプリが社内で Chrome ウェブストアレクションに表示されるようにします。 -
JSON 環境設定ファイルを Google Workspace にアップロードします。これは、「認証 > サービス > Chromebook SSO」からダウンロードしたファイルです。
- 保存します。
- 「公開セッションの設定」に移動し、「ユーザー設定」と同様に設定し、JSON 環境設定ファイルをアップロードします。設定の変更はすべての管理対象デバイスに自動的に導入されます。Google のマニュアルには以下のように記載されています。「設定は通常数分後に有効になります。ただし、全員に適用されるまで最長で 1時間かかることがあります。」
これで設定は完了です。ただし、Sophos Firewall にローカル署名証明書を使用している場合は、Chromebook に CA を提供する必要があります。この方法については、次のセクションで説明します。
Google Workspace に設定されているドメインでユーザーが認証されると、「現在のアクティビティ > ライブユーザー」に表示されます。
プロキシとアプリの通信用 CA 証明書のインストール
Sophos Firewall でローカル署名証明書を使用する場合は、プロキシとアプリが通信できるようにするために、該当する CA 証明書を Google Workspace にアップロードする必要があります。
Sophos Firewall の「証明書 > 証明機関」から CA 証明書 (通常は「デフォルト」) をダウンロードできます。
- Google Workspace にサインインして、「デバイス管理 > ネットワーク > 証明書」に移動します。
- 「証明書の追加」をクリックして、Sophos Firewall からダウンロードした CA 証明書をアップロードします。
- 「HTTPS の認証局としてこの証明書を使用します」オプションを選択します。
その他のリソース