Firebox で Active Directory SSO を有効化する
ここでは、Active Directory シングル サインオン(SSO)を有効化する方法を説明します。RADIUS シングル サインオンを有効化する方法の詳細については、次を参照してください:RADIUS シングル サインオンを有効化する。
Active Directory SSO を有効化する前に、以下を行う必要があります:
- Active Directory Server を構成する
- WatchGuard シングル サインオン (SSO) エージェントおよび Event Log Monitor をインストールする
- WatchGuard Active Directory SSO Client をインストールする (任意)
- WatchGuard Active Directory SSO Exchange Monitor をインストールする (任意)
SSO の有効化と構成
Firebox で SSO の設定を有効化して構成する際、SSO Agent の IP アドレスを指定する必要があります。
Fireware v12.2 以降の場合、4 つまでの SSO Agent を指定できます。同時に複数の SSO Agent を有効にすることはできません。有効な SSO Agent が使用不可能になった場合、Firebox は自動的に構成にある次の SSO Agent へとフェールオーバーします。手動で SSO Agent へフェールオーバーさせることもできます。SSO Agent フェールオーバーの詳細については、このトピックの フェールオーバー セクションを参照してください。
また、SSO クエリから除外する IP アドレス (または範囲) を指定し、Firebox で Branch Office VPN トンネル経由で SSO を有効化することもできます。
BOVPN トンネル経由で SSO を有効化すると、トンネル経由のドメイン ワークステーションへの SSO 接続においてトンネルの帯域幅の消費が増加する可能性があります。
Firebox に v12.1.1 以前の Fireware がある場合、SSO を有効化し構成する手順は異なります。Fireware v12.1.1 以前に適用される指示については、WatchGuard ナレッジ ベースで Active Directory シングル サインオンを有効化する (Fireware v12.1.1 以前) を参照してください。
- 認証 > シングル サインオン の順に選択します。
[シングル サインオン] ページが表示されます。 - [Active Directory でのシングル サインオン (SSO) を有効にする] チェックボックスをオンにします。
- 追加 をクリックします。
SSO Agent の追加 ダイアログ ボックスが表示されます。 - IP アドレス テキスト ボックスに、SSO Agent がインストールされるサーバーの IP アドレスを入力します。
- (任意) 説明 テキスト ボックスに、SSO Agent の説明を入力します。
- OK をクリックします。
- (任意) 追加の SSO Agent を追加するには、ステップ 3 〜 6 を繰り返します。最高 4 つの SSO Agent をリストに表示できます。
- (任意) SSO クエリから除外する IP アドレスまたは範囲を追加するには、SSO 例外 セクションで 追加 をクリックします。SSO 例外の詳細については、次を参照してください:SSO 例外を定義する。
[SSO 例外の追加] ダイアログ ボックスが表示されます。 - 種類の選択 ドロップダウン リストから、ホスト IP、ネットワーク IP、または ホスト範囲 を選択します。
- IP アドレス、ネットワーク アドレス、またはホスト範囲を入力します。
- 説明 テキスト ボックスに、SSO からの例外を作成するホストの説明を入力します。
- OK をクリックします。
- キープアライブ間隔 テキスト ボックスで、1 〜 120 秒の値を指定します。
- キープアライブ タイムアウト テキスト ボックスで、10 〜 1200 秒の値を指定します。
- (任意) BOVPN トンネル経由でネットワークに接続して SSO を使用するユーザーを有効化するには、BOVPN トンネル経由でシングル サインオン (SSO) を有効化する チェックボックスを選択します。
- 保存 をクリックします。
- 設定 > 認証 > シングル サインオン の順に選択します。
シングル サインオン ダイアログ ボックスが表示されます。 - [Active Directory でのシングル サインオン (SSO) を有効にする] チェックボックスをオンにします。
- 追加 をクリックします。
SSO Agent IP の追加ダイアログ ボックスが表示されます。
- 種類の選択 ドロップダウン リストから、ホスト IPv4 を選択します。
- 値 テキスト ボックスに、SSO Agent がインストールされているサーバーの IP アドレスを入力します。
- (任意) 説明 テキスト ボックスに、SSO Agent の説明を入力します。
- OK をクリックします。
- (任意) 追加の SSO Agent を追加するには、ステップ 3 〜 7 を繰り返します。最高 4 つの SSO Agent をリストに表示できます。
- (任意) SSO クエリから除外する IP アドレスまたは範囲を追加するには、SSO 例外 セクションで 追加 をクリックします。SSO 例外についての詳細は、SSO 例外の定義 セクションを参照してください。
SSO 例外の追加 ダイアログ ボックスが表示されます。- 種類の選択 ドロップダウン リストから、ホスト IPv4、ネットワーク IPv4、ホスト範囲、または ホスト名 (DNS ルックアップ) を選択します。
- IP アドレス、ネットワーク アドレス、ホスト範囲、またはホスト名を入力します。
- 説明 テキスト ボックスに、SSO からの例外を作成するホストの説明を入力します。
![[例外ルールを追加] ダイアログ ボックスのスクリーンショット](images/wsm_authentication-settings-sso_exceptions_example.jpg)
- OK をクリックします。
- キープアライブ間隔 テキスト ボックスで、1 〜 120 秒の値を指定します。
- キープアライブ タイムアウト テキスト ボックスで、10 〜 1200 秒の値を指定します。
- BOVPN トンネル経由でネットワークに接続して SSO を使用するユーザーを有効化するには、BOVPN トンネル経由でシングル サインオン (SSO) を有効化する チェックボックスを選択します。
![[例外ルールを追加] ダイアログ ボックスのスクリーンショット](images/wsm_authentication_sso_configured.jpg)
- 保存 をクリックします。
SSO 例外を定義する
ネットワーク サーバー、スイッチやルーター、プリント サーバーやドメインの一部ではないコンピュータなど、認証を要求しない IP アドレスを持つデバイスがネットワーク内に含まれる場合、または内部ネットワーク上に Authentication Portal に手動で認証を行う必要があるユーザーが存在する場合、または Terminal Services Agent のターミナルサーバがある場合、SSO 構成でこれらのデバイスの IP アドレスを SSO 例外リストに追加することをお勧めします。
SSO 例外リストにない IP アドレスから接続が発生するたびに、Firebox は、ユーザー名で IPアドレスに関連付けるSSO Agent にアクセスします。これには 10 秒ほどの時間がかかります。[SSO 例外]リストを使用して、各接続の遅延を防ぎ、不必要なネットワーク トラフィックを削減し、ユーザーは遅延せずにネットワークへ認証および接続することができます。
SSO 例外 リストにエントリーを追加する際、ホスト IP アドレス、ネットワーク IP アドレス、サブネット、
- 追加 をクリックします。
[IP アドレスの追加] ダイアログ ボックスが表示されます。 - 種類の選択 ドロップダウン リストから、SSO 例外 リストへ追加するエントリー種類を選択します。
- ホスト IP
- ネットワーク IP
- ホスト範囲
テキストボックスに、選択する種類に基づく変更が表示されます。
- 選択した種類の IP アドレスを入力します。
ホスト範囲 という種類を選択した場合、開始 と 終了 テキスト ボックスに、範囲の開始と終了 IP アドレスを入力します。 - (任意) 説明 テキスト ボックスで、SSO 例外 リストに含めるこの例外の説明を入力します。
- OK をクリックします。
[SSO 例外] リストに IP アドレスまたは範囲が表示されます。 - 保存 をクリックします。
- SSO 例外 リストの下にある 追加 をクリックします。
[SSO 例外の追加] ダイアログ ボックスが表示されます。
![[例外ルールを追加] ダイアログ ボックスのスクリーンショット](images/wsm_pm-authentication-settings-sso_add_exception.jpg)
- 種類の選択 ドロップダウン リストから、[SSO 例外]リストへ追加するエントリー種類を選択します。
- ホスト IPv4
- ネットワーク IPv4
- ホスト範囲 IPv4
- ホスト名 (DNS ルックアップ)
- 値テキスト ボックス内で、選択した種類の IP アドレスを入力します。
ホスト範囲 の種類を選択した場合は、値 テキスト ボックスに範囲の開始点となる IP アドレスを入力します。
終了 テキスト ボックスに、範囲終了の IP アドレスを入力します。
- (任意) 説明 テキスト ボックス 内で、[SSO 例外]リストのこの例外を含めるよう説明を入力します。
[コメント]テキスト ボックスは、ホスト名の種類を表示しません。 - OK をクリックします。
[SSO 例外] リストに IP アドレスまたは範囲が表示されます。
SSO 例外 リストからエントリーを編集またはサポートすることもできます。
- SSO 例外リストから、[エントリー] を選択します。
- 編集 をクリックします。
[SSO 例外 IP] ダイアログ ボックスが表示されます。 - SSO 例外の設定を変更します。
- OK をクリックします。
[SSO 例外]リストに、更新されたエントリーが表示されます。
- OK をクリックします。
- SSO 例外リストから、[エントリー] を選択します。
- 削除 をクリックします。
選択されたエントリーは、[SSO 例外] リストから削除されます。 - 保存 をクリックします。
- SSO 例外リストから、[エントリー] を選択します。
- 削除 をクリックします。
選択されたエントリーは、[SSO 例外] リストから削除されます。 - OK をクリックします。
フェールオーバー
複数の SSO Agent を指定した場合、有効な SSO Agent が使用不可能になると、フェールオーバーが自動的に発生します。フェールオーバーは順に発生します。たとえば、リストにある最初の SSO Agent が使用不可能になると、リスト内の 2 番目の SSO Agent でフェールオーバーが発生します。リストにある最後の SSO Agent が有効で、それが使用不可能になると、フェールオーバーはリスト内の最初の SSO Agent で発生します。
フェールバックは起きません。たとえば、リストにある最初の SSO Agent が使用不可能になると、リスト内の 2 番目の SSO Agent でフェールオーバーが発生します。最初の SSO Agent が再び使用可能になった場合でも、2 番目の SSO Agent が引き続き有効なエージェントとなります。最初の SSO Agent に戻るフェールバックは起きません。
異なる SSO Agent へフェールオーバーするよう手動で選択することも可能です。フェールオーバーに対応するには、SSO Agent は v12.2 以降のバージョンでなければなりません。
異なる SSO Agent へ手動でフェールオーバーさせるには、Fireware Web UI で以下の手順を実行します:
- システム ステータス > SSO Agent の順に選択します。
- エージェントを選択します。
- SSO Agent へフェールオーバー をクリックします。
異なる SSO Agent へ手動でフェールオーバーさせるには、Firebox System Manager から次の手順を実行します:
- ツール > SSO Agent の順に選択します。
- エージェントを選択します。
- SSO Agent へフェールオーバー をクリックします。
関連情報:
Active Directory シングル サインオン (SSO) について