Konfigurieren der einmaligen Anmeldung für Chromebooks
Sie können Chromebook SSO so konfigurieren, dass Benutzer bei der Anmeldung an ihren Chromebooks bei der Sophos Firewall angemeldet werden. Wenn sich Benutzer mit der in Google Workspace konfigurierten Domäne authentifizieren, werden sie von der Firewall auf der Live-Benutzer Seite.
Anforderungen
Um Chromebook SSO verwenden zu können, muss Ihre Umgebung die folgenden Anforderungen erfüllen:
-
Sie müssen einen Active Directory- oder LDAP-Authentifizierungsserver in Ihrer Firewall konfigurieren. Weitere Informationen finden Sie auf den folgenden Seiten:
-
Chromebooks müssen eine Verbindung zum durch die Sophos Firewall gesicherten Netzwerk herstellen.
- Chromebook-Nutzer müssen über E-Mail-Adressen verfügen, die die bei Google Workspace registrierte Domäne verwenden. Wenn Ihre registrierte Domäne beispielsweise
example.com
, Chromebook-Benutzer müssen über ein[email protected]
E-Mail-Adresse. -
Erstellen oder importieren Sie ein gültiges Zertifikat für die verschlüsselte Kommunikation mit den Chromebooks. Das Zertifikat muss die folgenden Anforderungen erfüllen:
- Der CN muss mit der Zone oder dem Netzwerk übereinstimmen, in dem sich die Chromebook-Benutzer befinden, zum Beispiel
gateway.example.com
. - Das Zertifikat darf nicht durch eine Passphrase geschützt sein.
- Der CN muss mit der Zone oder dem Netzwerk übereinstimmen, in dem sich die Chromebook-Benutzer befinden, zum Beispiel
Sophos Firewall konfigurieren
Um Ihre Firewall für Chromebook-SSO zu konfigurieren, müssen Sie den Chromebooks Gerätezugriff erlauben, die Chromebook-SSO-Authentifizierung aktivieren und Firewall-Regeln erstellen, um die Kommunikation zwischen den Chromebooks und Google Workspace zu ermöglichen. Gehen Sie dazu wie folgt vor:
Gerätezugriff
- Gehe zu Verwaltung > Gerätezugriff.
- Wählen Chromebook-SSO für die Zonen, aus denen sich die Chromebook-Benutzer verbinden, wie z. B. UND Und W-lan.
Chromebook-SSO-Authentifizierung
- Gehe zu Authentifizierung > Leistungen > Chromebook-SSO.
-
Klicken Aktivieren und geben Sie die folgenden Einstellungen ein:
- Domain: Die Google Workspace-Domäne. Dies ist das Domänensuffix der in Google Workspace verwendeten E-Mail-Adressen, z. B.
example.com
. - Hafen: 65123.
- Zertifikat: Das Zertifikat für die verschlüsselte Kommunikation mit den Chromebooks.
- Domain: Die Google Workspace-Domäne. Dies ist das Domänensuffix der in Google Workspace verwendeten E-Mail-Adressen, z. B.
-
Klicken G Suite-App-Konfiguration herunterladen um eine JSON-Datei herunterzuladen, die Sie in Google Workspace hochladen müssen.
- Öffnen Sie die Datei mit einem Texteditor und geben Sie die LAN- oder DNS-IP-Adresse Ihrer Firewall ein für ServeradresseDie Serveradresse muss mit dem CN des Zertifikats übereinstimmen, zum Beispiel
10.1.1.1
. - Speichern Sie Ihre Änderungen. Sie benötigen diese Datei, um die Sophos Chromebook-Benutzer-ID-App in Google Workspace zu konfigurieren.
Firewall-Regeln
- Gehe zu Regeln und Richtlinien > Firewall-Regeln.
-
Erstellen Sie eine Firewallregel, um die Kommunikation mit der Google API und dem Chrome Web Store für alle Geräte zu ermöglichen. Diese Regel ist erforderlich, um die App auf Chromebooks zu übertragen. Geben Sie die folgenden Einstellungen ein:
- Aktion: Akzeptieren.
- Quellzonen: Die Zonen, aus denen sich die Chromebooks verbinden, wie z. B. UND Und W-lan.
- Quellnetzwerke: Wählen Sie die Netzwerke Ihres Chromebooks aus, oder wählen Sie Beliebig.
- Zielzonen: Die Zonen, mit denen die Chromebooks kommunizieren sollen, wie z. B. VAN.
- Zielnetzwerke: Wählen Sie die vordefinierten FQDN-Hostgruppen aus Google API-Hosts Und Google Chrome Web Store.
-
Erstellen Sie eine weitere Firewall-Regel, um Chromebooks den Internetzugriff zu ermöglichen. Dabei werden bekannte Benutzer zugeordnet und unbekannten Benutzern das Captive Portal angezeigt. Geben Sie die folgenden Einstellungen ein:
- Aktion: Akzeptieren.
- Quellzonen: Die Zonen, aus denen sich die Chromebooks verbinden, wie z. B. UND Und W-lan.
- Quellnetzwerke: Wählen Sie die Netzwerke Ihres Chromebooks aus, oder wählen Sie Beliebig.
- Zielzonen: Die Zonen, mit denen die Chromebooks kommunizieren sollen, wie z. B. VAN.
- Zielnetzwerke: Wählen Beliebig oder wählen Sie die spezifischen Netzwerke aus, mit denen die Chromebooks kommunizieren sollen.
- Übereinstimmung mit bekannten Benutzern: Ausgewählt.
- Verwenden Sie die Webauthentifizierung für unbekannte Benutzer: Ausgewählt.
Notiz
Sie müssen diese Regel unter der Regel positionieren, die die Kommunikation zwischen Google API und Chrome Web Store zulässt.
Google Workspace konfigurieren
Warnung
Diese Informationen waren zum Zeitpunkt der Erstellung korrekt. Wir empfehlen Ihnen, die Google-Dokumentation zu lesen, um sicherzustellen, dass Sie die aktuellen Schritte befolgen. Siehe Anzeigen und Konfigurieren von Apps und Erweiterungen.
Sie müssen die Sophos Chromebook User ID App in Google Workspace für die Kommunikation und Authentifizierung mit Ihrer Firewall konfigurieren. Gehen Sie dazu wie folgt vor:
- Melden Sie sich an bei Google Workspace.
- Gehe zu Geräte > Chrom > Apps und Erweiterungen > Benutzer und Browser.
- Klicken Hinzufügen
und klicken Sie dann auf Aus dem Chrome Web Store hinzufügen
.
- Suchen Sie nach der Sophos Chromebook-Benutzer-ID-App und klicken Sie auf Wählen.
-
Unter InstallationsrichtlinieWählen Sie eine der folgenden Optionen aus:
- Installation zulassen: Ermöglicht Benutzern, die App selbst zu installieren.
- Erzwingen der Installation: Installiert die App automatisch auf allen für Ihre Domäne konfigurierten Chromebooks und verhindert, dass Benutzer sie entfernen.
- Installation erzwingen + an Browser-Symbolleiste anheften: Installiert die App automatisch, verhindert, dass Benutzer sie entfernen, und zeigt sie nach der Installation in der Chromebook-Symbolleiste an.
Tipp
Wir empfehlen die Verwendung eines der Erzwingen der Installation Optionen. Mit diesen Optionen wird die App automatisch auf allen verwalteten Geräten installiert. Andernfalls muss die App auf jedem Gerät manuell installiert werden.
-
Unter Richtlinie für Erweiterungenauf Hochladen
, wählen Sie die JSON-Konfigurationsdatei aus und klicken Sie auf Offen um es in Google Workspace hochzuladen.
- Klicken Speichern.
Installieren Sie ein CA-Zertifikat für die Proxy- und App-Kommunikation
Wenn Sie ein lokal signiertes Zertifikat für die Sophos Firewall verwenden, müssen Sie das entsprechende CA-Zertifikat in Google Workspace hochladen, damit die Proxy- und App-Kommunikation funktioniert.
- Melden Sie sich bei Ihrer Firewall an.
- Gehe zu Zertifikate > Zertifizierungsstellen.
- Klicken Herunterladen
für die Zertifizierungsstelle, die Sie herunterladen möchten. Die Firewall signiert Lokal signierte Zertifikate mithilfe der CA Standard.
- Extrahieren Sie die
pem
Datei aus dem heruntergeladenen.tar.gz
Datei an den Speicherort Ihrer Wahl. - Melden Sie sich an bei Google Workspace.
- Gehe zu Geräte > Netzwerke > Zertifikate.
- Klicken Zertifikat hochladen
- Klicken Hochladenwählen Sie die
pem
Datei, die Sie von Sophos Firewall heruntergeladen haben, und klicken Sie auf Offen. - Unter Zertifizierungsstelle, wählen Aktiviert für Chromebook.
- Klicken Hinzufügen.
Konfigurieren Sie Ihre Chromebooks
Wenn Sie die Installation der Sophos Chromebook-Benutzer-ID-App nicht erzwungen haben, müssen Sie Ihr Chromebook konfigurieren, indem Sie es aus dem Chrome Web Store installieren.
Weitere Ressourcen