Active Directory SSO を選択する

このトピックでは、ネットワークに最適な SSO コンポーネントを選択できるように、オペレーティングシステムの互換性、各コンポーネントの利点と制限、およびベストプラクティスについて説明します。

SSO を正常に動作させるには、SSO Agent ソフトウェアをインストールする必要があります。

以下のコンポーネントを 1 つまたは複数インストールすることをお勧めします。

SSO Client — Windows および macOS
Event Log Monitor (クライアントレス SSO) — Windows
Exchange Monitor (クライアントレス SSO) — Windows、macOS、Linux、およびモバイルクライアント

SSO Agent のみをインストールする場合は、SSO 配備で Active Directory (AD) モード を使用してユーザー情報が取得されます。AD モードは、アクセス制御の制限があり、SSO 試行の失敗やセキュリティリスクにつながる可能性があるため、プライマリ SSO 方式として使用することは意図されていません。AD モードの詳細については、次を参照してください：Active Directory SSO の仕組み。

SSO コンポーネントの互換性

SSO コンポーネントと互換性のあるオペレーティングシステムと Microsoft Exchange Server のバージョンに関する情報については、Fireware リリースノート の オペレーティングシステムの互換性 リストを参照してください。Fireware OS のバージョンに関するリリースノートは、WatchGuard Web サイトの Fireware リリースノートページに掲載されています。

SSO コンポーネントの互換性リスト

SSO コンポーネント	Windows	macOS	Linux	iOS	Android	Windows Mobile
SSO Agent ¹
SSO Client ²
Event Log Monitor ³
Exchange Monitor ⁴

¹SSO Agent は、Windows ドメインメンバーサーバーまたは Active Directory ドメインコントローラにのみインストールする必要があります。

² SSO Client には、Windows と macOS の 2 つのバージョンがあります。

³Event Log Monitor は、Windows ドメインメンバーサーバーまたは Active Directory ドメインコントローラにのみインストールする必要があります。

⁴ Exchange Monitor は、Microsoft Exchange Server がインストールされている Windows サーバーにインストールする必要があります。Exchange Monitor が構成されている場合は、ユーザーは Microsoft Exchange Server で認証を受けることができるコンピュータまたはデバイスで SSO の認証を受けることができます。

SSO コンポーネントの比較

それぞれの SSO コンポーネントで、配備方法、オペレーティングシステムの互換性、精度と性能のレベルが異なります。以下のリストを使用して、各 SSO コンポーネントの利点と制限を比較することができます。

SSO コンポーネント	利点	制限	OSのサポート
SSO Client	他の SSO 方式よりも正確配備に必要となる Active Directory GPO は 1 つのみ最小のネットワーク帯域幅を使用 RDP との互換性あり (Fireware v11.9.3 以降) BOVPN 接続における信頼性あり頻繁にユーザーがワークステーションにログインし、ワークステーションからログアウトするネットワークにおける信頼性あり	各ドメインコンピュータに正常に配備する必要あり	Windows、macOS
Event Log Monitor	ワークステーションソフトウェアは不要 RDP と共に使用可 (Fireware v11.10 以降)	他の SSO 方式よりも多くのネットワーク帯域幅を使用複数の Active Directory GPO が必要 BOVPN 接続における信頼性なし Windows イベントログが停止したとき、または新しいイベントログを生成できないときは不正確	Windows
Exchange Monitor	モバイルデバイスとの互換性ありワークステーションソフトウェアは不要最小のネットワーク帯域幅を使用	インターネットを参照する前に、Microsoft Exchange Server に接続する電子メールソフトウェアを開く必要あり RDP ログオンの検出不可頻繁にユーザーがワークステーションにログインし、ワークステーションからログアウトするネットワークにおける信頼性なし	すべての OS

ベストプラクティス

最も信頼性の高い SSO 配備を行うために、以下を行うことをお勧めします。

Windows コンピュータのみのネットワークの場合

各 Windows コンピュータに SSO Client をインストールする
SSO Client を SSO Agent の第一のアクセス先として指定する
Event Log Monitor を SSO Agent の第二のアクセス先として指定する

Windows、macOS、Linux コンピュータを使ったネットワーク、およびモバイルオペレーティングシステムを実行するデバイスの場合

各 Windows と macOS コンピュータに SSO Client をインストールする
SSO Client を SSO Agent の第一のアクセス先として指定する
Exchange Monitor を SSO Agent の第二のアクセス先として指定する

複数のユーザーが同じコンピュータを使用するネットワーク環境では、以下のコンポーネント構成のいずれかをお勧めします。

各クライアントコンピュータに SSO Client ソフトウェアをインストールする
各ドメインに 1 つまたは複数の Event Log Monitor のインスタンスをインストールする
Exchange Server に Exchange Monitor をインストールする

複数の Active Directory ドメインを構成する場合は、SSO Client、Event Log Monitor、または Exchange Monitor を使用することができます。複数の Active Directory ドメインがある場合に SSO Client を構成する方法については、Active Directory Authentication を構成すると WatchGuard Active Directory SSO Client をインストールするを参照してください。

シングルサインオンを有効にすると、Firewall 認証を使用してファイアウォール認証ポータルページにログインし、別のユーザー認証情報によって認証することもできるようになります。詳細については、ファイアウォール認証を参照してください。

シングルサインオンオプションは、Terminal Services Agent でも使用可能ですが、WatchGuard SSO ソリューションコンポーネントとは関連しておらず、別に構成されます。Terminal Services Agent の詳細については、次を参照してください:Terminal Services Agent をインストールおよび構成する。

Active Directory SSO を選択する

SSO コンポーネントの互換性

SSO コンポーネントの互換性リスト

SSO コンポーネントの比較

ベストプラクティス

関連情報：