Chromebook のシングルサインオンの設定

Chromebook SSO を設定して、ユーザーが Chromebook にサインインするときに Sophos Firewall にもサインインするようにできます。Google Workspace で設定済みのドメインでユーザーが認証されると、ファイアウォールの「ライブユーザー」ページにそのユーザーが表示されます。

必要条件

Chromebook SSO を使用するには、ご利用の環境が次の要件を満たしている必要があります。

• ファイアウォールで、Active Directory または LDAP 認証サーバーを設定する必要があります。次のページを参照してください。

  • Active Directory サーバー
  • LDAP サーバー
  • Google Secure LDAP

• Chromebook を、Sophos Firewall で保護されているネットワークに接続する必要があります。

• Chromebook ユーザーは、Google Workspace に登録されているドメインのメールアドレスを持つものとします。たとえば、登録ドメインが example.com の場合、Chromebook ユーザーに user@example.com という形式のメールアドレスが必要です。

• Chromebook との暗号化通信に有効な証明書を作成またはインポートします。証明書は次の要件を満たす必要があります。

  • CN は、Chromebook ユーザーがいるゾーン / ネットワークと一致させてください (例：gateway.example.com)。
  • 証明書はパスフレーズで保護しないでください。

Sophos Firewall を設定する

Chromebook SSO 用にファイアウォールを設定するには、Chromebook のデバイスのアクセスを許可し、Chromebook SSO 認証をオンにし、Chromebook と Google Workspace 間の通信を許可するファイアウォールルールを作成する必要があります。次の手順を実行します。

デバイスのアクセス

1. 「管理 > デバイスのアクセス」に移動します。
2. Chromebook ユーザーの接続元のゾーン (LAN や Wi‑Fi など) の「Chromebook SSO」を選択します。

Chromebook SSO 認証

1. 「認証 > サービス > Chromebook SSO」に移動します。

2. 「有効」をクリックして、以下の設定を入力します。

   • ドメイン: Google Workspace ドメイン。これは、Google Workspace で使用されるメールアドレスのドメインサフィックスです (例: example.com)。
   • ポート: 65123。
   • 証明書: Chromebook との暗号化通信用の証明書。

3. 「G Suite アプリの設定のダウンロード」をクリックして JSON ファイルをダウンロードします。このファイルを Google Workspace にアップロードする必要があります。

4. テキストエディタでファイルを開き、serverAddress にファイアウォールの LAN または DNS IP アドレスを入力します。サーバーアドレスは、証明書の CN と一致させてください (例：10.1.1.1)。
5. 変更内容を保存します。Google Workspace で Sophos Chromebook user ID アプリを設定するために、このファイルが必要となります。

ファイアウォールルール

1. 「ルールとポリシー > ファイアウォールルール」に移動します。

2. ファイアウォールルールを作成して、Google API、Chrome ウェブストアとの通信をすべてのデバイスで許可します。このルールは、アプリを Chromebook にプッシュするために必要です。次の設定を入力します。

   • アクション：許可。
   • 送信元ゾーン：Chromebook の接続元ゾーン (LAN や Wi‑Fi など)。
   • 送信元ネットワーク: Chromebook のネットワーク。または、「任意」を選択します。
   • 宛先ゾーン: Chromebook と通信するゾーン (WAN など)。
   • 宛先ネットワーク: 事前定義済みの FQDN ホストグループ「Google API Hosts」と「Google Chrome Web Store」を選択します。

3. Chromebook のインターネットアクセスを許可するために、もう 1つファイアウォールルールを作成します。このルールでは、既知のユーザーを一致し、不明なユーザーにキャプティブポータルを表示します。次の設定を入力します。

   • アクション：許可。
   • 送信元ゾーン：Chromebook の接続元ゾーン (LAN や Wi‑Fi など)。
   • 送信元ネットワーク: Chromebook のネットワーク。または、「任意」を選択します。
   • 宛先ゾーン: Chromebook と通信するゾーン (WAN など)。
   • 宛先ネットワーク: 「任意」を選択するか、または、Chromebook と通信する特定のネットワークを選択します。
   • 既知のユーザーを一致：選択する。
   • 不明なユーザーに Web 認証を使用する：選択する。

   注

   このルールは、Google API、Chrome ウェブストアとの通信を許可するルールの下に配置する必要があります。

Google Workspace の設定

ファイアウォールとの通信および認証のために、Google Workspace で Sophos Chromebook user ID アプリを設定する必要があります。次の手順を実行します。

1. Google Workspace にサインインします。
2. 「デバイス > Chrome > アプリと拡張機能 > ユーザーとブラウザ」に移動します。
3. 追加 をクリックし、Chrome ウェブストアから追加 をクリックします。
4. Sophos Chromebook user ID アプリを検索して、「選択」をクリックします。

5. 「インストール ポリシー」で、次のいずれかのオプションを選択します。

   • インストールを許可する：ユーザーが自分でアプリをインストールすることを許可します。
   • 自動インストールする: お使いのドメインで設定済みのすべての Chromebook に自動的にアプリをインストールし、ユーザーがアプリを削除できないようにします。
   • 自動インストールしてブラウザのツールバーに固定する：アプリを自動的にインストールし、ユーザーがアプリを削除できないようにして、インストール後に Chromebook ツールバーに表示します。

   ヒント

   「自動インストールする」のいずれかのオプションを使用することをお勧めします。これらのオプションは、すべての管理対象デバイスにアプリを自動的にインストールします。これらを選択しない場合は、個々のデバイスに手動でアプリをインストールする必要があります。

6. 「拡張機能のポリシー」でアップロード をクリックし、JSON 環境設定ファイルを選択し、「開く」をクリックして Google Workspace にアップロードします。

7. 「保存」をクリックします。

プロキシとアプリの通信用 CA 証明書のインストール

Sophos Firewall でローカル署名証明書を使用する場合は、プロキシとアプリが通信できるようにするために、該当する CA 証明書を Google Workspace にアップロードする必要があります。

1. ファイアウォールにサインインします。
2. 「証明書 > 証明機関」に移動します。
3. ダウンロードしたい証明機関のダウンロード をクリックします。ファイアウォールは、CA (既定) を使用して、ローカル署名証明書に署名します。
4. ダウンロードした .tar.gz ファイルを任意の場所で展開し、pem ファイルを抽出します。
5. Google Workspace にサインインします。
6. 「デバイス > ネットワーク > 証明書」に移動します。
7. 「証明書をアップロード」をクリックします。
8. 「アップロード」をクリックし、Sophos Firewall からダウンロードした pem ファイルを選択して、「開く」をクリックします。
9. 「認証局」で、Chromebook を選択します。
10. 「追加」をクリックします。

Chromebook を設定する

Sophos Chromebook user ID アプリを自動的にインストールしなかった場合は、Chrome ウェブストアからインストールして Chromebook を設定する必要があります。

その他のリソース

• サービス
• Google Chrome Enterprise ヘルプ: Chrome のポリシーの設定