Zur Startseite gehen
0,00 €*

Web-Authentifizierung

Sie können Active Directory SSO oder das Captive Portal zur Benutzerauthentifizierung verwenden. Benutzer werden dann in Protokollen und Berichten angezeigt und als Übereinstimmungskriterien in Firewall-Regeln und Webrichtlinien verwendet.

Active Directory Single Sign-On (SSO) versucht, bei Endgeräten mit Sophos Firewall angemeldete Benutzer ohne Benutzerinteraktion stillschweigend zu authentifizieren.

Das Captive Portal ist eine Webseite, die von Benutzern hinter der Firewall eine Authentifizierung erfordert, wenn sie auf eine Website zugreifen möchten. Sie können außerdem das Verhalten und Layout des Captive Portals definieren.

Die maximale Passwortlänge für das Captive Portal beträgt 50.

URL des Captive-Portals: https://<IP address of Sophos Firewall>:8090

Nach der Authentifizierung beim Captive Portal ermöglicht Sophos Firewall den Benutzern, zum gewünschten Ziel zu gelangen, oder leitet sie zu einer von Ihnen angegebenen URL um.

Um authentifizierte Benutzer anzuzeigen, gehen Sie zu Aktuelle Aktivitäten > Live-Benutzer.

Notiz

Wenn die Multi-Faktor-Authentifizierung (MFA) konfiguriert ist, müssen sich Benutzer zunächst beim Benutzerportal anmelden und ihr Einmalkennwort (OTP) einrichten. Anschließend können sie sich mit ihrem Kennwort und ihrem OTP-Token beim Captive Portal anmelden. Siehe Einstellungen für die Multi-Faktor-Authentifizierung (MFA).

Autorisieren Sie nicht authentifizierte Benutzer für den Webzugriff

Die Einstellungen, die Sie hier festlegen, werden basierend auf den Firewall-Regeln und den Web-Richtlinien für unbekannte Benutzer und authentifizierte Benutzer und Benutzergruppen implementiert.

Firewall-Regeleinstellung: Verwenden Sie die Webauthentifizierung für unbekannte Benutzer Verhalten
An Bei nicht authentifizierten Webanforderungen, die der Firewall-Regel entsprechen, werden die Benutzer authentifiziert.
Aus Nicht authentifizierte Anfragen sind zulässig. Wenn die Anfragen aufgrund der Webrichtlinie blockiert werden, werden Benutzer authentifiziert.
Grund für die Authentifizierung AD SSO konfiguriert Verhalten
Es gilt die Firewall-Regel. Ja Bei nicht authentifizierten Webanforderungen versucht AD SSO, die an Endgeräten angemeldeten Benutzer im Hintergrund zu authentifizieren. Schlägt die Authentifizierung fehl, werden die Anforderungen an das Captive Portal umgeleitet. Nach der Authentifizierung der Benutzer wird die Seite neu geladen und ihre Webrichtlinie überprüft.
Eine für unbekannte Benutzer oder Gruppen festgelegte Webrichtlinie gilt und ist auf Block. Ja
Es gilt die Firewall-Regel. NEIN Wenn nicht authentifizierte Webanforderungen gestellt werden, werden die Anforderungen an das Captive Portal umgeleitet.
Die Webrichtlinie für unbekannte Benutzer oder Gruppen ist auf Block. NEIN Wenn nicht authentifizierte Webanforderungen blockiert werden, wird eine Sperrseite angezeigt. Sie können den Captive-Portal-Link auf der Sperrseite anzeigen.

Die Sophos Firewall unterstützt zwei AD-SSO-Mechanismen: NTLM und Kerberos. Kerberos ist schneller und sicherer als NTLM, erfordert aber mehr Voraussetzungen.

Option Beschreibung
Nur NTLM Schließt nur NTLM in Authentifizierungsheader ein. Verwenden Sie diese Option, wenn Ihre Legacy-Clients keine Kerberos-Header verarbeiten können.
Kerberos und NTLM

Standard

Schließt sowohl NTLM als auch Kerberos in die Authentifizierungsheader ein. Browser wählen den zu verwendenden Mechanismus aus.

Notiz

Wenn Active Directory konfiguriert ist, können Sie den Zugriff auf AD SSO aus bestimmten Netzwerkzonen aktivieren, zum Beispiel: UND. Gehe zu Verwaltung > Gerätezugriff und wählen Sie die Zonen unter Lokale Dienst-ACL.

Captive-Portal-Verhalten

Geben Sie die Captive-Portal-Einstellungen an.

Zeigt den Benutzerportal-Link auf der Captive-Portal-Seite an.

Webseite nach der Anmeldung anzeigen

Leitet Benutzer nach der Authentifizierung auf die von ihnen angeforderte oder eine benutzerdefinierte Seite weiter.

Webseite öffnen

Option Beschreibung
In einem neuen Browserfenster Öffnet die Webseite in einem neuen Browserfenster. Die Captive-Portal-Seite bleibt geöffnet.
Im Captive-Portal-Fenster Öffnet die Webseite im aktuellen Tab und ersetzt die Captive-Portal-Seite.

Webseite

Option Beschreibung
Ursprünglich angefordert vom Benutzer Öffnet die ursprünglich von den Benutzern angeforderte Webseite, bevor sie zum Captive Portal weitergeleitet wurden.
Brauch Geben Sie eine Seite an, zu der die Benutzer weitergeleitet werden. Öffnen Sie beispielsweise nach der Anmeldung eine interne Homepage.

Benutzer abmelden

Option Beschreibung
Wenn die Captive-Portal-Seite geschlossen oder umgeleitet wird

Das Captive Portal sendet eine Abmeldenachricht an die Sophos Firewall, wenn der Benutzer auf das Ausloggen Schaltfläche, schließt die Captive-Portal-Seite oder öffnet eine neue Webseite im Browser-Tab des Captive-Portals.

Die Captive-Portal-Seite sendet regelmäßig Keepalive-Nachrichten an die Sophos Firewall, um anzuzeigen, dass der Computer weiterhin mit dem Netzwerk verbunden ist. Die Firewall meldet den Benutzer ab, wenn sie keine Keepalive-Nachrichten mehr empfängt. Dies kann passieren, wenn ein Laptop in den Ruhezustand wechselt oder die Netzwerkverbindung trennt.
Wenn der Benutzer inaktiv ist Geben Sie an, wie viel Daten innerhalb eines bestimmten Zeitraums übertragen werden dürfen, damit ein Benutzer als aktiv gilt. Die Sophos Firewall meldet den Benutzer ab, wenn er inaktiv ist oder auf das Symbol Ausloggen Taste.
Niemals Benutzer werden nie automatisch abgemeldet. Um sich abzumelden, müssen Benutzer auf das Ausloggen Taste.

Verwenden Sie unsicheres HTTP anstelle von HTTPS

Ermöglicht Benutzern den Zugriff auf das Captive Portal über HTTP.

Wir empfehlen die Verwendung von HTTPS. Die Übertragung unverschlüsselter Passwörter über ein Netzwerk stellt ein erhebliches Sicherheitsrisiko dar.**: Die Sophos Firewall verfügt über ein vorinstalliertes, lokal signiertes HTTPS-Zertifikat. Um Browser-Zertifikatswarnungen zu vermeiden, können Sie dieses durch ein selbst erstelltes (und verteiltes, um das Client-Vertrauen zu gewährleisten) oder von einer Zertifizierungsstelle erworbenes Zertifikat ersetzen.

Um die Änderungen zu speichern, wählen Sie Anwenden.

Notiz

Wenn Sie diese Option auswählen, wird Microsoft Entra ID (Azure AD) SSO nicht unterstützt.

Authentifizierungseinstellungen für direkten Webproxy

Ermöglicht die verbindungsbezogene Authentifizierung für die angegebenen Mehrbenutzerhosts. Ein Mehrbenutzerhost ist ein Endpunkt oder Server, bei dem sich mehrere Benutzer gleichzeitig anmelden können.

Notiz

Wenn Sie Übereinstimmung mit bekannten Benutzern Wenn in Ihrer Firewall-Regel diese Funktion ausgewählt ist, müssen Sie für Ihre Mehrbenutzer-Hosts eine separate Firewall-Regel erstellen und diese Funktion deaktivieren.

Verwenden Sie die AD SSO-Authentifizierung pro Verbindung für Hosts mit mehreren Benutzern

Ermöglicht Ihnen, Mehrbenutzer-Hosts anzugeben, die eine Authentifizierung pro Verbindung verwenden.

Notiz

Wenn Sie diese Option gewählt haben, müssen Sie einen AD-Server auswählen unter Authentifizierung > Leistungen > Firewall-Authentifizierungsmethoden.

Mehrbenutzer-Hosts

Ermöglicht Ihnen, die folgenden Netzwerkobjekttypen auszuwählen, zu erstellen oder zu bearbeiten:

  • IP-Hostgruppe
  • IP
  • IP-Liste
  • IP-Bereich
  • Netzwerk

Folgendes müssen Sie bei der Konfiguration von Multi-User-Hosts beachten:

  • Multi-User-Hosts zugewiesene IP-Adressen verwenden die Authentifizierung pro Verbindung nur für direkte Proxy-Verbindungen.
  • Für Multi-User-Hosts zugewiesene IP-Adressen können keine anderen Authentifizierungsmethoden pro IP verwendet werden, beispielsweise STAS, Clientless-Benutzer, Captive Portal, transparentes AD SSO usw.
  • Die Sophos Firewall behandelt Verbindungen von IP-Adressen, die Multi-User-Hosts zugewiesen sind und keine direkten Proxy-Verbindungen sind, als nicht authentifiziert.
  • Verbindungen von IP-Adressen, die keinen Mehrbenutzer-Hosts zugewiesen sind, verwenden weiterhin die Pro-IP-Authentifizierung basierend auf Ihrer Konfiguration.

Erscheinungsbild des Captive Portals

Sie können das Erscheinungsbild und den Inhalt des Captive Portals anpassen. Sie können beispielsweise Ihr Firmenlogo und Ihren eigenen Text angeben. Wählen Sie die Vorschau Klicken Sie unten auf die Schaltfläche, um zu sehen, wie die Seite für Benutzer aussieht.

Option Beschreibung
Standardlayout Verwendet das Standardlayout von Sophos.
Benutzerdefiniertes HTML

Wählen Sie diese Option, um den HTML- und CSS-Code zu bearbeiten. Sie können auch JavaScript verwenden.

Der Code muss die folgenden Elemente enthalten:

  • <div id="__loginbox"></div>

    Das System rendert die erforderlichen Benutzereingabeelemente in der div Element.

  • <div id="request-url" style="display:none;">{url}</div>

    <script>

    var redirect_url = document.getElementById("request-url").innerHTML;

    </script>

    Dieser Code wird unmittelbar vor dem Code benötigt </body> damit das Captive Portal die Umleitungs-URL vom Browser an die Firewall senden kann.

    Captive portal custom HTML.
Standardlogo Verwendet das Sophos-Logo.
Benutzerdefiniertes Logo Wählen Sie Ihr eigenes Logo aus. Laden Sie ein Bild hoch oder geben Sie einen Link zu Ihrem Logo ein.
HTML-Kopfzeile der Anmeldeseite

Geben Sie den Text ein, der über dem Anmeldefeld angezeigt werden soll. Sie können HTML verwenden.

Verwenden Textfarbe für Kopf- und Fußzeile um die Schriftfarbe anzupassen.
Benutzeraufforderung Sie können den Standardtext ändern.
Bezeichnung des Felds „Benutzername“ Sie können die Beschriftung des Benutzernamenfelds ändern.
Kennwortfeldbezeichnung Sie können die Beschriftung des Passwortfelds ändern.
Beschriftung der Schaltfläche „Anmelden“ Sie können die Beschriftung der Anmeldeschaltfläche ändern.
Beschriftung der Schaltfläche „Abmelden“ Sie können die Beschriftung der Abmeldeschaltfläche ändern.
Bezeichnung des Benutzerportal-Links Sie können den Namen des Benutzerportal-Links ändern.
HTML-Fußzeile der Anmeldeseite

Geben Sie den Text ein, der unter dem Anmeldefeld angezeigt werden soll. Sie können HTML verwenden.

Verwenden Textfarbe für Kopf- und Fußzeile um die Schriftfarbe anzupassen.
Hintergrundfarbe Sie können die Hintergrundfarbe der gesamten Seite ändern.
Textfarbe für Kopf- und Fußzeile Sie können die Schriftfarbe der Kopf- und Fußzeile ändern. Sie ist nur sichtbar, wenn Sie eine Kopf- oder Fußzeile angegeben haben.
Benutzerdefinierte Logo-Hintergrundfarbe Sie können die Hintergrundfarbe des Felds ändern, das das Logo enthält.
Textfarbe der Benutzeraufforderung Sie können die Schriftfarbe der Benutzeraufforderung ändern.
Textfarbe des Benutzerportal-Links Sie können die Schriftfarbe des Benutzerportal-Links ändern.

Um die Einstellungen zu speichern, wählen Sie Anwenden.

Um benutzerdefinierte Einstellungen zu löschen, wählen Sie Auf Standard zurücksetzen.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung