Web 認証
Active Directory SSO またはキャプティブポータルを使用してユーザーを認証できます。ユーザーは、ロギングおよびレポートに表示され、ファイアウォールルールおよび Web ポリシーの一致基準として使用されます。
Active Directory SSO (シングルサインオン) では、ユーザーがエンドポイントデバイスにサインインすると、自動的に Sophos Firewall へのサイレント認証が行われます。
キャプティブポータルは、ファイアウォールの内部のユーザーが Web サイトにアクセスしようとしたときに認証を要求する Web ページです。キャプティブポータルの動作とレイアウトを定義することもできます。
キャプティブポータルのパスワードの最大長は 50 です。
キャプティブポータルの URL: https://<IP address of Sophos Firewall>:8090
ユーザーはキャプティブポータルで認証を受けた後、各自が指定したページに進むか、または管理者が指定した URL にリダイレクトされます。
認証されたユーザーを確認するには、「現在のアクティビティ > ライブユーザー」に移動します。
注
多要素認証 (MFA) が設定されている場合、ユーザーはまずユーザーポータルにサインインし、ワンタイムパスワード (OTP) を設定する必要があります。その後、パスワードと OTP トークンを使ってキャプティブポータルにサインインできます。詳細は、多要素認証 (MFA) の設定を参照してください。
認証されていないユーザーの Web アクセスを承認する
この設定には、ファイアウォールルールおよび Web ポリシーにおいて不明なユーザーおよび認証済みのユーザーとユーザーグループに対して設定した内容が反映されます。
| ファイアウォールルール設定: 不明なユーザーに Web 認証を使用する | 動作 |
|---|---|
| - | ファイアウォールルールに一致する認証されていない Web 要求の場合、ユーザーは認証されます。 |
| オフ | 認証されていない要求は許可されWeb ポリシーによって要求がブロックされた場合、ユーザーは認証されます。 |
| 認証の理由 | AD SSO が設定されました | 動作 |
|---|---|---|
| ファイアウォールルールが適用された。 | はい | 認証されていない Web 要求が行われると、AD SSO はエンドポイントデバイスにサインインしたユーザをサイレント認証しようとします。認証に失敗すると、要求はキャプティブポータルにリダイレクトされます。ユーザーが認証されると、ページが再読み込みされ、ユーザーの Web ポリシーが評価されます。 |
| 不明なユーザーまたはグループに対する Web ポリシーが「ブロック」に設定されている。 | はい | |
| ファイアウォールルールが適用された。 | いいえ | 認証されていない Web 要求が行われると、要求はキャプティブポータルにリダイレクトされます。 |
| 不明なユーザーまたはグループの Web ポリシーが、「ブロック」に設定されています。 | いいえ | 認証されていない Web 要求がブロックされると、ブロックページが表示されます。ブロックページにキャプティブポータルリンクを表示できます。 |
Sophos Firewall は、 NTLM と Kerberos の 2つの AD SSO メカニズムをサポートしています。Kerberos は NTLM よりも高速で安全ですが、より多くの前提条件があります。
| オプション | 説明 |
|---|---|
| NTLM のみ | 認証ヘッダーに NTLM のみを含めます。Kerberos ヘッダーを処理できないレガシークライアントがある場合は、このオプションを使用します。 |
| Kerberos & NTLM | デフォルト 認証ヘッダーに NTLM と Kerberos の両方を含めます。ブラウザは、使用するメカニズムを選択します。 |
注
Active Directory が設定されている場合は、特定のネットワークゾーン (LANなど) から AD SSO へのアクセスをオンにできます。「管理 > デバイスのアクセス」に移動し、「ローカルサービス ACL」のゾーンを選択してください。
キャプティブポータルの動作
キャプティブポータルの設定を指定します。
ユーザーポータルリンクを表示する
キャプティブポータルにユーザーポータルへのリンクを表示します。
サインイン後に Web ページを表示する
認証後にユーザーを要求したページまたはカスタムページにリダイレクトします。
Web ページを開く
| オプション | 説明 |
|---|---|
| 新しいブラウザウィンドウ内 | 新しいブラウザウィンドウで Web ページを開きます。キャプティブポータルページは開いたままです。 |
| キャプティブポータルウィンドウ内 | 現在のタブで Web ページを開き、キャプティブポータルページを置き換えます。 |
Web ページ
| オプション | 説明 |
|---|---|
| ユーザーが最初に要求したもの | ユーザーがキャプティブポータルにリダイレクトされる前に、最初に要求された Web ページを開きます。 |
| カスタム | ユーザーのリダイレクト先ページを指定します。たとえば、サインイン後に内部ホームページを開きます。 |
ユーザーをサインアウトする
| オプション | 説明 |
|---|---|
| キャプティブポータルページが閉じられるか、またはリダイレクトされたとき | ユーザーが「ログアウト」をクリックするか、キャプティブポータルページを閉じるか、または別のタブで新しい Web ページを開いたときに、Sophos Firewall にログアウトメッセージが送信されます。 キャプティブポータルは、Sophos Firewall にキープアライブメッセージを一定間隔で送信することによって、コンピュータがネットワーク上にあることを伝えます。このキープアライブメッセージがファイアウォールに届かなくなると、ユーザーはサインアウトされます。ノート PC がスリープ状態になったり、ネットワークから切断されると、キープアライブメッセージが届かなくなる場合があります。 |
| ユーザーがアクティブでないとき | ユーザーがアクティブと見なされる期間内のデータ転送量を指定します。ユーザーは、アクティブでなくなったときか、または「ログアウト」をクリックしたときに、サインアウトされます。 |
| 送信しない | ユーザーは自動的にサインアウトされません。ユーザーが「ログアウト」をクリックする必要があります。 |
HTTPS より安全性の低い HTTP を使用する
ユーザが HTTP 経由でキャプティブポータルにアクセスできるようにします。
HTTPS の使用を推奨します。暗号化されていないパスワードをネットワーク経由で送信すると、重大なセキュリティリスクが発生します。**Sophos Firewall には、HTTPS のローカル署名証明書が事前にインストールされています。ブラウザ証明書の警告を防止するには、証明書を生成した証明書 (クライアントの信頼を確保するために配布された証明書) または認証局から購入した証明書に置き換えることができます。
変更を保存する適用には、を選択します。
注
このオプションを選択した場合、Microsoft Entra ID (Azure AD) SSO はサポートされません。
直接 Web プロキシの認証設定
特定のマルチユーザーホストの接続ごとの認証を許可します。マルチユーザーホストとは、複数のユーザーが同時にサインインできるエンドポイントまたはサーバーです。
注
ファイアウォールルールで「既知のユーザーを一致」を選択している場合は、マルチユーザーホスト用のファイアウォールルールを別途作成して、このオプションをオフにする必要があります。
マルチユーザーホストに、接続ごとの AD SSO 認証を使用する
接続ごとの認証を使用するマルチユーザーホストを指定できます。
注
このオプションを選択した場合は、「認証 > サービス > ファイアウォール認証方法」で AD サーバーを選択する必要があります。
マルチユーザーホスト
以下のネットワークオブジェクトの種類を選択、作成、編集できます。
- IP ホストグループ
- IP
- IP リスト
- IP アドレス範囲
- ネットワーク
マルチユーザーホストを設定する際は、以下の点に気を付けてください。
- マルチユーザーホストに割り当てた IP アドレスには、直接プロキシの接続ごとの認証のみを使用できます。
- マルチユーザーホストに割り当てた IP アドレスには、IP ごとの認証方式 (STAS、クライアントレスユーザー、キャプティブポータル、透過的な AD SSO など) は使用できません。
- 直接プロキシ接続を使用しないマルチユーザーホストに割り当てた IP アドレスからの接続は、認証されていないものとして扱われます。
- マルチユーザーホストに割り当てられていない IP アドレスからの接続には、既存の設定に基づいて、IP ごとの認証が使用されます。
キャプティブポータルの外観
キャプティブポータルの外観やコンテンツをカスタマイズできます。たとえば、会社のロゴや、独自のテキストを指定することができます。プレビュー下部にあるボタンを選択すると、ページがどのように表示されるかが表示されます。
| オプション | 説明 |
|---|---|
| デフォルトのレイアウト | ソフォスのデフォルトのレイアウトを使用します。 |
| カスタム HTML | HTML コードと CSS コードを編集する場合に選択します。JavaScript を使用することもできます。 コードには、次の要素を含める必要があります: |
| デフォルトのロゴ | ソフォスのロゴを使用します。 |
| カスタムロゴ | 独自のロゴを使用する場合に選択します。画像をアップロードするか、ロゴへのリンクを入力します。 |
| サインインページのヘッダーの HTML | サインインボックスの上に表示するテキストを入力します。HTML を使用できます。 ヘッダーとフッターのテキストの色を使用して、フォントの色をカスタマイズできます。 |
| ユーザープロンプト | デフォルトのテキストを変更できます。 |
| ユーザー名フィールドのラベル | ユーザ名フィールドのラベルを変更できます。 |
| パスワードフィールドのラベル | パスワードフィールドのラベルは変更できます。 |
| サインインボタンのラベル | サインインボタンのラベルは変更できます。 |
| サインアウトボタンのラベル | サインアウトボタンのラベルは変更できます。 |
| ユーザーポータルリンクのラベル | ユーザポータルリンクの名前を変更できます。 |
| サインインページのフッターの HTML | サインインボックスの下に表示するテキストを入力します。HTML を使用できます。 ヘッダーとフッターのテキストの色を使用して、フォントの色をカスタマイズできます。 |
| 背景色 | ページ全体の背景色を変更できます。 |
| ヘッダーとフッターのテキストの色 | ヘッダーとフッターのフォントの色を変更できます。ヘッダーまたはフッターを指定した場合にのみ表示されます。 |
| カスタムロゴの背景色 | ロゴを含むボックスの背景色を変更できます。 |
| ユーザープロンプトのテキストの色 | ユーザープロンプトのフォントの色を変更できます。 |
| ユーザーポータルリンクのテキストの色 | ユーザポータルリンクのフォント色を変更できます。 |
設定を保存する適用には、を選択します。
カスタム設定を消去するには、「出荷時設定にリセット」を選択します。
その他のリソース