クイック起動 — Active Directory シングル サインオン (SSO) を設定する

WatchGuard Active Directory シングル サインオン(SSO)ソリューションを使用すると、信頼済みまたは任意ネットワーク上のユーザーが (自分のコンピュータへのログイン時に) ユーザー認証情報を 1 回入力することで、Firebox から自動的に認証されるようになります。このトピックでは、WatchGuard SSO ソリューションで最も一般的に使用される 3 つのコンポーネントを使用して、WatchGuard シングル サインオンをセットアップする方法を説明します。

  • SSO Agent — ユーザーのログイン情報を収集し、Firebox にその情報を提供するために、ネットワークに SSO Agent をインストールする必要があります。SSO Agent は SSO Client、Event Log Monitor、および Exchange Monitor からユーザーのログイン情報を収集することができます。
  • SSO Client — ネットワーク上の Windows と macOS コンピュータに SSO Client をインストールすることができます。SSO Client はバックグラウンドで実行され、SSO Agent に提供するユーザー認証、ドメイン情報、およびグループ情報を収集します。
  • Event Log Monitor (ELM) — 各ネットワーク ドメインのサーバーに Event Log Monitor をインストールして、SSO Client がインストールされていないドメイン Windows コンピュータの Windows セキュリティ イベント ログ ファイルからユーザーのログイン情報を収集することができます。

SSO コンポーネント バージョンがお互いに一致している必要も、Fireboxの Fireware OS のバージョンと一致している必要もありません。Firebox で Fireware OS の旧バージョンが実行されている場合でも、SSO Agent の最新バージョンをインストールすることをお勧めします。

すべての WatchGuard SSO コンポーネント、構成オプション、および機能の詳細については、次を参照してください:Active Directory SSO の仕組み

このクイック起動手順では、SSO Client が使用されているコンピュータから SSO の SSO コンポーネントを配備する方法に焦点が当てられています。また、SSO Client がインストールされていない Windows コンピュータで SSO を有効にする二次的な方法として、Event Log Monitor をセットアップする方法についても説明します。たとえ Event Log Monitor がインストールされていても、最も信頼性の高い SSO の配備を実現するために、すべての Windows コンピュータに SSO Client をインストールすることをお勧めします。

ネットワークに SSO を構成する前に、ネットワーク構成で必要なすべての要件がサポートされていることを確認します。

Active Directory

  • ローカル ネットワークに Active Directory Server が構成されている必要があります。
  • Active Directory Authentication を使用するように Firebox を構成する必要があります。
  • 各ユーザーは、Active Directory Server にアカウントが設定されている必要があります。
  • SSO が正常に機能するためには、各ユーザーがドメインのユーザー アカウントにログインする必要があります。ユーザーがローカル コンピュータにしか存在しないアカウントにログインした場合は、ユーザー認証情報が検証されず、そのユーザーがログインしたことが Firebox で認識されません。
  • SSO Agent および Event Log Monitor は、Domain Users セキュリティ グループのユーザー アカウントとして実行されている必要があります。ヒント!
    選択した Domain Users アカウントには、Active Directory Server でサービスを実行する権限、ディレクトリを検索する権限、および他のすべてのユーザーの監査情報を検索する権限が付与されていなければなりません。正しい許可と設定を構成するには、次を参照してください:WatchGuard シングル サインオン (SSO) エージェントおよび Event Log Monitor をインストールする。を参照してください。Domain Admins セキュリティ グループではアカウントを選択しないことをお勧めします。
  • ユーザー が SSO を使用して認証を得るすべてのコンピュータが完全な信頼関係を持つ Active Directory ドメインのメンバーになっている必要があります。
  • SSO Client をインストールできるようにするには、その前に macOS コンピュータを Active Directory ドメインに追加する必要があります。
  • Exchange Monitor は、Domain Admins セキュリティ グループのユーザー アカウントとして実行されている必要があります。

設定する

  • クライアント コンピュータの TCP ポート 445 (SMB のポート) が開いている必要があります。
  • SSO Client をインストールするクライアント コンピュータの TCP ポート 4116 が開いている必要があります。
  • SSO Agent をインストールするサーバーの TCP ポート 4114 が開いている必要があります。
  • Event Log Monitor をインストールするサーバーの TCP ポート 4135 が開いている必要があります。
  • Exchange Monitor のインストール先となるサーバーの TCP ポート 4136 が開いている必要があります。

SSO Port Tester ツールを使用して、これらのポートが開いているかどうかをテストすることができます。詳細については、SSO のトラブルシューティング を参照してください。

イベント ログ

  • Event Log Monitor が正常に機能するためには、すべての Windows ドメイン コンピュータにおける 4624 と 4634 ログオン および アカウント ログオン イベントの監査ログ記録が有効化されている必要があります。
  • お使いの Windows ネットワークが Fast User Switching 用に構成されている場合、以下を実行する必要があります:
    • イベント 4647、4778、4779 のすべての Windows ドメイン コンピュータにおいて、監査ログ記録を有効化する必要があります。
      これにより、Event Log Monitor が正常に機能するよう有効化されます。
    • Event Log Monitor v11.10 以降をインストールします。
      WatchGuard 認証ゲートウェイ インストーラには、Event Log Monitor をインストールするオプションが入っています。
  • リモート デスクトップ プロトコル (RDP) ユーザーがクライアントレス SSO を使用できるようにするには、以下の手順を実行します:
    • Event Log Monitor v11.10 以降がインストールされている必要があります。
    • クライアント コンピュータで Microsoft イベント 4624 と 4634 が生成され、ログオン タイプ 属性が含まれている必要があります。これらの属性により、ログオン イベントまたはログオフ イベントがローカル ネットワークで発生するか、RDP 経由で発生するかが指定されます。属性 2 と 11 はローカル ログオンとログオフ イベントを、属性 10 は RDP ログオンまたはログオフ イベントを指定します。

Microsoft .NET 要件

  • SSO Agent v12.3 以降の場合は、SSO Agent をインストールするサーバーに Microsoft .NET Framework v2.0 以降がインストールされている必要があります。
  • SSO Agent v12.3 よりも前の場合は、SSO Agent をインストールするサーバーに Microsoft .NET Framework v2.0〜4.5 がインストールされている必要があります。
  • Microsoft Exchange Server 2010 以前の場合は、Exchange Monitor をインストールするサーバーに Microsoft .NET Framework v2.0 以降がインストールされている必要があります。
  • Microsoft Exchange Server 2012 以降および Microsoft Exchange Server 2013 以降の場合は、Exchange Monitor をインストールするサーバーに Microsoft .NET Framework v3.5 以降がインストールされている必要があります。

WatchGuard SSO Agent をインストールする必要があります。Event Log Monitor コンポーネントはオプションですが、SSO Agent がユーザーのログイン情報を収集する際のバックアップ方法として使用することが勧められます。SSO コンポーネント間の接続の問題の可能性を最小限に抑えるために、Active Directory ドメイン コントローラに SSO Agent と Event Log Monitor の両方をインストールすることをお勧めします。これらはネットワーク ドメインのどのサーバーにもインストールすることができます。

Fireware v12.2 以降は 4 つの SSO Agent までのリダンダンシーをサポートします。このクイック起動の例では、単一の SSO Agent をインストールします。

SSO Agent と Event Log Monitor をインストールするには、以下の手順を実行します:

  1. WatchGuard ソフトウェア ダウンロード センター の Firebox のソフトウェア ダウンロード ページから、WatchGuard シングル サインオン エージェント ソフトウェアをダウンロードします。
    ダウンロードしたソフトウェア、WatchGuard Authentication Gateway インストーラには、シングル サインオン エージェントと Event Log Monitor コンポーネントが含まれています。
  2. AD ドメイン コントローラで、WatchGuard Authentication Gateway インストーラを実行します。
  3. チェックボックスを選択して、シングル サインオン エージェントEvent Log Monitor コンポーネントの両方をインストールします。
  4. WatchGuard Authentication Gateway サービスで使用するドメイン ユーザー認証を指定します。このトピックの ステップ 1 — 前提条件を検証する セクションで説明されているように、アカウントは Domain Users セキュリティ グループのメンバーであり、権限が付与されている必要があります。

インストールが完了すると、以下の 2 つの新しいサービスがサーバーで起動されます:

  • WatchGuard Authentication Gateway (SSO Agent)
  • WatchGuard 認証 Event Log Monitor

他のインストール オプションの詳細については、次を参照してください:WatchGuard シングル サインオン (SSO) エージェントおよび Event Log Monitor をインストールする

SSO Agent 構成ツールで、以下を構成します:

  • SSO Agent アクセス先の設定
  • SSO の Active Directory ドメイン

SSO Agent アクセス先の設定を構成するには、以下の手順を実行します:

  1. Windows スタート メニュー プログラムで、開始 > WatchGuard > Authentication Gateway > WatchGuard SSO Agent 構成ツール の順に選択します。
  2. SSO Agent 構成ツールの既定の管理者アカウント認証でログインします:
    ユーザー名admin
    パスワードreadwrite
  3. SSO Agent 構成ツールで、編集 > SSO Agent アクセス先の設定 の順に選択します。
  4. SSO Client の横にある 有効 チェックボックスを選択して、 SSO Agent を有効にし、SSO Client に連絡できるようにします。
  5. リストの中で SSO Client を選択し、上へ をクリックして、それをリストの一番上に移動させます。
  6. Event Log Monitor が優先度 2 として有効化されていることを確認します。
  7. アクセス先ドメイン リストで、ユーザーのログイン情報を取得するために Event Log Monitor または Exchange Monitor がアクセスする 1 つまたは複数のドメインを指定することができます。ドメイン名では大文字と小文字が区別されます。ドメインごとに、ELM または EM コンポーネントを実行するサーバーの IP アドレスを指定します。

次に、SSO Agent が Active Directory Serverを検索するために使用できるユーザー アカウントの設定でドメインを追加します。ディレクトリ検索の権限と有効期限のないパスワードを持つ特定のユーザー アカウントを Active Directory Server に作成することをお勧めします。

SSO Agent 構成ツールから、以下の手順を実行します:

  1. 編集 > ドメインの追加 の順に選択します。
  2. ドメイン名 テキスト ボックス内で、ドメイン名を入力します。
    ドメイン名では大文字と小文字が区別されます。Firebox の 認証サーバーの設定Active Directory タブに表示されるドメイン名を正確に入力してください。
    たとえば、my-example.com と入力します。
  3. NetBIOS ドメイン名 テキスト ボックスに、ドメインの NetBIOS ドメイン名を入力します。
    NetBIOS ドメイン名は、Active Directory Server 上のドメインのプロパティにある ドメイン名(Windows 2000より前)設定です。
  4. ドメイン コントローラの IP アドレス テキスト ボックスに、このドメインの Active Directory Server の IP アドレスを入力します。
    Active Directory Server に SSO Agent がインストールされている場合は、ループバック アドレス、127.0.0.1 を使用することができます。
  5. ポート テキスト ボックス内で、このサーバーへの接続に使用するポートを入力します。
    既定のポートは 389 です。
  6. 検索対象ユーザー セクションで、ユーザー名の指定方法のオプションを選択します。
  7. 選択したオプションのテキスト ボックスに、ユーザー情報を入力します。
    他の Active Directory ユーザーの監査 / ディレクトリ情報を検索する権限があるユーザーを必ず指定してください。これは、有効期限のないパスワードで、SSO Agent と Event Log Monitor を実行するために指定したのと同じユーザーでもかまいません。
  8. 検索対象ユーザーのパスワードを入力して確認します。
  9. 別のドメインを追加するには、OK、次を追加 の順にクリックします。ステップ 1 ~ 8 を繰り返します。

SSO Agent 構成のオプションの詳細については、次を参照してください:Active Directory SSO Agent を構成する

シングル サインオン クライアントは任意ですが、最も信頼性の高い SSO 実装を実現するために使用することをお勧めします。SSO Client は各ユーザーのコンピュータのローカル システム サービスとして実行され、現在そのコンピュータにログインしているユーザーのユーザー ログイン情報を収集します。ユーザーの操作は必要ありません。最も信頼性の高い SSO 実装を実現するために、それをサポートしているコンピュータで SSO Client を使用することを WatchGuard は強くお勧めしています。

WatchGuard ソフトウェア ダウンロード センター から、Windows と macOS 用のシングル サインオン クライアントをダウンロードすることができます。

  • Windows 用の SSO Client インストーラは MSI ファイルであるため、Active Directory グループ ポリシーを使用して、Windows コンピュータからユーザーがドメインにログオンした際に、自動的にそれをインストールすることができます。Active Directory グループ ポリシー オブジェクトのソフトウェア インストール展開の詳細については、オペレーティング システムのドキュメントを参照してください。
  • Firebox が複数の Active Directory ドメインで構成されている場合は、ユーザーは SSO Client をインストールする必要があります。
  • macOS のユーザーが SSO Client を使用するには、ユーザーのコンピュータが Active Directory Server に参加している必要があります。

SSO Client のインストール方法の詳細については、次を参照してください:WatchGuard Active Directory SSO Client をインストールする

他のコンポーネントがすべて適切に配置されたら、Firebox でシングル サインオンを有効化することができます。

シングル サインオンを有効化するには、Fireware Web UI から以下の手順を実行します:

  1. 認証 > シングル サインオン の順に選択します。
    [シングル サインオン] ページが表示されます。
  2. [Active Directory でのシングル サインオン (SSO) を有効にする] チェックボックスをオンにします。
  3. SSO Agent IP アドレス テキスト ボックスに、SSO Agent をインストールしたサーバーの IP アドレスを入力します。

シングル サインオンを有効化するには、Policy Manager から以下の手順を実行します:

  1. 設定 > 認証 > 認証設定 の順に選択します。
    [認証設定] ダイアログ ボックスが表示されます。
  2. [シングルサインオン] タブを選択します。
  3. [Active Directory でのシングル サインオン (SSO) を有効にする] チェックボックスをオンにします。

シングル サインオンを有効化したら、SSO 例外を追加することができます。インターネットにトラフィックを送信する可能性があるネットワーク デバイスで、ドメインに含まれていないものすべてに SSO 例外を追加することをお勧めします。これらには、次のようなネットワーク デバイスが含まれます:

  • ネットワーク サーバー
  • プリント
  • 管理対象スイッチおよびルータ
  • ゲスト ネットワークなど、ドメインの一部ではないネットワークやコンピュータ
  • 認証ポータルで手動で認証を行わなければならない内部ネットワークのユーザー

SSO の有効化および SSO 例外の構成方法の詳細については、次を参照してください:Firebox で Active Directory SSO を有効化する

WatchGuard SSO Exchange Monitor は任意のコンポーネントで、これをインストールすると、Linux を使用しているネットワーク クライアント、または iOS、Android、Windows Mobile を実行しているモバイルデバイスの SSO を有効化することができます。Exchange Monitor は主にモバイル クライアント認証のために使用されますが、複数のユーザーで共有されていないコンピュータのバックアップ SSO 接続として使用することもできます。

詳細については、WatchGuard Active Directory SSO Exchange Monitor をインストールする を参照してください。

SSO のトラブルシューティングを行うには、要件のリストを確認し、ネットワーク サーバーと SSO コンポーネントが正しく構成されていることを確認します。

関連情報:

Active Directory シングル サインオン (SSO) について

Active Directory SSO の仕組み

シングル サインオン入門 ビデオ チュートリアル (9分)

Active Directory SSO のネットワーク構成例

Active Directory SSO をトラブルシューティングする