Clientlose SSO-Authentifizierung
Clientloses SSO wird mithilfe der Sophos Transparent Authentication Suite implementiert.
Der zugehörige Workflow ist der folgende:
- Der Benutzer meldet sich von einer beliebigen Arbeitsstation im lokalen Netzwerk am Active Directory-Domänencontroller an. Der Domänencontroller authentifiziert die Anmeldeinformationen des Benutzers.
- AD ruft die Sitzungsinformationen ab und erstellt ein Sicherheitsprotokoll. Nach erfolgreicher Benutzerauthentifizierung erstellt AD ein Ereignis mit der ID 672 (Windows 2003) bzw. 4768 (Windows 2008 und höher).
- Während der Agent den AD-Server überwacht, erhält er die Sitzungsinformationen aus den oben genannten Ereignis-IDs.
- Der Agent übergibt den Benutzernamen und die IP-Adresse gleichzeitig über den Standard-TCP-Port (5566) an den Collector.
- Der Collector antwortet, indem er erfolgreiche Authentifizierungsupdates an die Firewall über UDP-Port 6060 sendet.
- Wenn die Firewall Datenverkehr von einer IP erkennt, über die sie keine Informationen hat, kann sie den Collector auf Port 6677 abfragen.
- Ein Benutzer initiiert eine Internetanfrage.
- Die Firewall gleicht die Benutzerinformationen mit ihrer lokalen Benutzerzuordnung ab und wendet entsprechende Sicherheitsrichtlinien an.
Die Firewall fragt den AD-Server ab, um die Gruppenmitgliedschaft anhand der Daten des STAS-Agenten zu bestimmen. Abhängig von den Daten wird der Zugriff gewährt oder verweigert. Benutzer, die direkt (oder lokal) an einer Workstation, aber nicht an der Domäne angemeldet sind, werden nicht authentifiziert und gelten als nicht authentifizierte Benutzer. Benutzer, die nicht an der Domäne angemeldet sind, müssen sich über das Captive Portal authentifizieren.