Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=authentication-Chromebook-single-sign-on

Chromebook-Single-Sign-On konfigurieren

Sie können Chromebook-SSO so konfigurieren, dass Benutzer bei der Anmeldung an ihren Chromebooks automatisch bei der Sophos Firewall angemeldet werden. Wenn sich Benutzer mit der in Google Workspace konfigurierten Domäne authentifizieren, werden sie von der Firewall angezeigt. Live-Nutzer Seite.

Anforderungen

Um Chromebook SSO nutzen zu können, muss Ihre Umgebung die folgenden Anforderungen erfüllen:

  • Sie müssen einen Active Directory- oder LDAP-Authentifizierungsserver in Ihrer Firewall konfigurieren. Siehe die folgenden Seiten:

  • Chromebooks müssen sich mit dem durch die Sophos Firewall gesicherten Netzwerk verbinden.

  • Chromebook-Nutzer benötigen E-Mail-Adressen, die die bei Google Workspace registrierte Domain verwenden. Wenn Ihre registrierte Domain beispielsweise lautet: example.comChromebook-Nutzer müssen ein user@example.com E-Mail-Adresse.

  • Erstellen oder importieren Sie ein gültiges Zertifikat für die verschlüsselte Kommunikation mit den Chromebooks. Das Zertifikat muss folgende Anforderungen erfüllen:

    • Der CN muss mit der Zone oder dem Netzwerk übereinstimmen, in dem sich die Chromebook-Benutzer befinden, zum Beispiel gateway.example.com.
    • Das Zertifikat darf nicht durch eine Passphrase geschützt sein.

  • Erstellen Sie einen FQDN-Hosteintrag für accounts.google.com. Sehen Fügen Sie einen FQDN-Host hinzu.

Sophos-Firewall konfigurieren

Um Ihre Firewall für Chromebook-SSO zu konfigurieren, müssen Sie den Gerätezugriff für die Chromebooks zulassen, die Chromebook-SSO-Authentifizierung aktivieren und Firewall-Regeln erstellen, die die Kommunikation zwischen den Chromebooks und Google Workspace ermöglichen. Gehen Sie wie folgt vor:

Gerätezugriff

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Wählen Chromebook SSO für die Zonen, aus denen sich die Chromebook-Nutzer verbinden werden, wie zum Beispiel UND Und W-lan.

Chromebook-SSO-Authentifizierung

  1. Gehe zu Authentifizierung > Dienstleistungen > Chromebook SSO.

  2. Klicken Aktivieren und geben Sie die folgenden Einstellungen ein:

    • Domain: Die Google Workspace-Domain. Dies ist die Domain-Endung der in Google Workspace verwendeten E-Mail-Adressen, zum Beispiel: example.com.
    • Hafen: 65123.
    • Zertifikat: Das Zertifikat für die verschlüsselte Kommunikation mit den Chromebooks.

  3. Klicken G Suite-App-Konfiguration herunterladen Sie müssen eine JSON-Datei herunterladen, die Sie anschließend in Google Workspace hochladen müssen.

  4. Öffnen Sie die Datei mit einem Texteditor und geben Sie die LAN- oder DNS-IP-Adresse Ihrer Firewall ein. Serveradresse: Die Serveradresse muss mit dem CN des Zertifikats übereinstimmen, zum Beispiel: 10.1.1.1.
  5. Speichern Sie Ihre Änderungen. Sie benötigen diese Datei, um die Sophos Chromebook-Benutzer-ID-App in Google Workspace zu konfigurieren.

Firewall-Regeln

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.

  2. Erstellen Sie eine Firewall-Regel, um die Kommunikation zwischen der Google API und dem Chrome Web Store für alle Geräte zu ermöglichen. Diese Regel ist erforderlich, um die App auf Chromebooks zu installieren. Geben Sie die folgenden Einstellungen ein:

    • Aktion: Akzeptieren.
    • Quellzonen: Die Zonen, aus denen sich die Chromebooks verbinden, wie zum Beispiel UND Und W-lan.
    • Quellnetzwerke: Wählen Sie die Netzwerke Ihrer Chromebooks aus oder wählen Sie Beliebig.
    • Zielzonen: Die Zonen, mit denen die Chromebooks kommunizieren sollen, wie zum Beispiel VAN.
    • Zielnetzwerke: Wählen Sie den FQDN-Host aus, den Sie für accounts.google.com und die vordefinierten FQDN-Hostgruppen Google API-Hosts Und Google Chrome Web Store.

  3. Erstellen Sie eine weitere Firewall-Regel, um Chromebooks den Internetzugang zu ermöglichen, indem bekannte Benutzer identifiziert und unbekannten Benutzern das Captive Portal angezeigt wird. Geben Sie die folgenden Einstellungen ein:

    • Aktion: Akzeptieren.
    • Quellzonen: Die Zonen, aus denen sich die Chromebooks verbinden, wie zum Beispiel UND Und W-lan.
    • Quellnetzwerke: Wählen Sie die Netzwerke Ihrer Chromebooks aus oder wählen Sie Beliebig.
    • Zielzonen: Die Zonen, mit denen die Chromebooks kommunizieren sollen, wie zum Beispiel VAN.
    • Zielnetzwerke: Wählen Beliebig oder wählen Sie die spezifischen Netzwerke aus, mit denen die Chromebooks kommunizieren sollen.
    • Bekannte Benutzer abgleichen: Ausgewählt.
    • Verwenden Sie die Webauthentifizierung für unbekannte Benutzer: Ausgewählt.

    Notiz

    Diese Regel muss unterhalb der Regel positioniert werden, die die Kommunikation zwischen Google API und Chrome Web Store ermöglicht.

Google Workspace konfigurieren

Warnung

Diese Informationen waren zum Zeitpunkt der Veröffentlichung korrekt. Wir empfehlen Ihnen, die Google-Dokumentation zu überprüfen, um sicherzustellen, dass Sie die aktuellen Schritte befolgen. Siehe Apps und Erweiterungen anzeigen und konfigurieren.

Sie müssen die Sophos Chromebook-Benutzer-ID-App in Google Workspace für die Kommunikation und Authentifizierung mit Ihrer Firewall konfigurieren. Gehen Sie dazu wie folgt vor:

  1. Anmelden Google Workspace.
  2. Gehe zu Geräte > Chrom > Apps und Erweiterungen > Benutzer und Browser.
  3. Klicken Hinzufügen Add button.Klicken Sie dann Aus dem Chrome Web Store hinzufügen Add from Chrome Web Store..
  4. Suchen Sie nach der Sophos Chromebook-Benutzer-ID-App und klicken Sie darauf. Wählen.

  5. Unter Installationsrichtlinie: Wählen Sie eine der folgenden Optionen aus:

    • Installation zulassen: Ermöglicht es Benutzern, die App selbst zu installieren.
    • Installation erzwingen: Installiert die App automatisch auf allen für Ihre Domain konfigurierten Chromebooks und verhindert, dass Benutzer sie entfernen.
    • Installation erzwingen + an Browser-Symbolleiste anheften: Installiert die App automatisch, verhindert, dass Benutzer sie entfernen, und zeigt sie nach der Installation in der Chromebook-Symbolleiste an.

    Tipp

    Wir empfehlen die Verwendung eines der folgenden: Installation erzwingen Optionen. Diese Optionen installieren die App automatisch auf allen Ihren verwalteten Geräten. Andernfalls muss die App manuell auf jedem Gerät installiert werden.

  6. Unter Richtlinie für Verlängerungen, klicken Hochladen Upload button.Wählen Sie die JSON-Konfigurationsdatei aus und klicken Sie auf Offen um es in Google Workspace hochzuladen.

  7. Klicken Speichern.

Vertrauenswürdige API-Administratorberechtigung

Um zu verhindern, dass OAuth fehlschlägt, müssen Sie der vertrauenswürdigen API-Administratorberechtigung hinzufügen. Sophos-Benutzer-ID App wie folgt:

  1. In Google Workspace gehen Sie zu Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerungen.
  2. Unter App-Zugriffskontrolle, klicken App-Zugriff verwalten.
  3. Unter Aufgerufene Apps, klicken Liste anzeigen.
  4. Suchen nach Sophos-Benutzer-ID und klicken Zugriff ändern.
  5. Wählen Sie die Umfang: Sie können die gesamte Organisation oder bestimmte Organisationseinheiten auswählen.
  6. Klicken Nächste.
  7. Wählen Vertrauenswürdig.
  8. Klicken Nächste.
  9. Klicken Zugriff ändern.

Installieren Sie ein CA-Zertifikat für die Proxy- und App-Kommunikation.

Wenn Sie für die Sophos Firewall ein lokal signiertes Zertifikat verwenden, müssen Sie das entsprechende CA-Zertifikat in Google Workspace hochladen, damit die Proxy- und App-Kommunikation funktioniert.

  1. Melden Sie sich bei Ihrer Firewall an.
  2. Gehe zu Zertifikate > Zertifizierungsbehörden.
  3. Klicken Herunterladen Download button. für die Zertifizierungsstelle, die Sie herunterladen möchten. Die Firewall signiert Lokal unterzeichnete Zertifikate unter Verwendung der CA Standard.
  4. Extrahieren Sie die pem Datei aus der heruntergeladenen .tar.gz Datei an einem Ort Ihrer Wahl speichern.
  5. Anmelden Google Workspace.
  6. Gehe zu Geräte > Netzwerke > Zertifikate.
  7. Klicken Upload-Zertifikat
  8. Klicken Hochladen, wählen Sie die pem Die von der Sophos Firewall heruntergeladene Datei und klicken Sie auf Offen.
  9. Unter Zertifizierungsstelle, wählen Für Chromebook aktiviert.
  10. Klicken Hinzufügen.

Konfigurieren Sie Ihre Chromebooks

Wenn Sie die Installation der Sophos Chromebook-Benutzer-ID-App nicht erzwungen haben, müssen Sie Ihre Chromebooks konfigurieren, indem Sie sie aus dem Chrome Web Store installieren.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen