Howto: Configurar o login único do Chromebook

por SN Informáticaem XG Firewall, XGS Firewallon Postado em

Você pode configurar o Sophos Firewall para fazer login de usuários do Chromebook no Sophos Firewall no momento em que eles fizerem login no Chromebook.

Objetivos

Para configurar o SSO do Chromebook, faça o seguinte:

  • Configure um servidor Active Directory no Sophos Firewall para uso com o Google Chrome Enterprise.
  • Configure um Chromebook para uso com o Sophos Firewall.
  • Configure o Google Chrome Enterprise para uso com o Sophos Firewall.

Configurar o SSO do Chromebook com o Active Directory

Primeiro configure o Sophos Firewall.

  • Seu servidor Active Directory já está configurado para uso com o G Suite e a sincronização ocorreu.
  • Você sabe como configurar um servidor Active Directory no Sophos Firewall.
  • Você sabe como criar ou importar certificados.
  • Você sabe como criar regras de firewall.
  • Os Chromebooks podem se conectar à rede controlada pelo Sophos Firewall, por exemplo, LAN ou Wi-Fi.
  • Crie um servidor Active Directory. Os usuários do Chromebook no AD devem ter endereços de e-mail que usem o domínio registrado no G Suite. Por exemplo, se seu domínio registrado for example.com, os usuários do Chromebook AD devem ter um endereço de e-mail como user@example.com.
  • Altere o acesso do dispositivo para permitir o SSO do Chromebook. Vá para Administration > Device Access e selecione Chromebook SSO para a zona de onde os usuários do Chromebook podem se conectar, por exemplo, LAN e Wi-Fi .
  • Crie ou importe um certificado válido.
  • O certificado é usado para comunicação criptografada por SSL com os Chromebooks.
  • Vá para Autentication > Services > Chromebook SSO, ative o recurso Chromebook SSO e especifique as seguintes configurações:
  • Clique em Download G Suite app config. Isso fará o download de um arquivo JSON que você precisa enviar posteriormente para o G Suite.
  • Abra o arquivo com um editor de texto, insira um valor para serverAddress (endereço IP da LAN ou DNS do Sophos Firewall) e salve. O endereço do servidor deve corresponder ao CN do certificado, por exemplo, 10.1.1.1.
  • Crie regras de firewall.
    1. Crie uma User / Network rule para permitir a comunicação entre a API do Google e a Chrome Web Store para todos os dispositivos. Isso é necessário para enviar o aplicativo para os Chromebooks:
      • Zonas de origem, por exemplo: LAN, Wi-Fi
      • Zonas de destino, por exemplo: WAN
      • Redes de destino: selecione os grupos de hosts FQDN predefinidos Google API Hosts Google Chrome Web Store .
    2. Crie uma User / Network rule para corresponder a usuários conhecidos e mostrar o Captive portal a usuários desconhecidos para permitir o acesso à Internet aos Chromebooks:
      • Zonas de origem, por exemplo: LAN, Wi-Fi
      • Zonas de destino, por exemplo: WAN
      • Identidade: Selecione as seguintes opções: Match known users, Show captive portal to unknown users. Ordene ambas as regras para que a regra a) seja aplicada antes da regra b). Se você não selecionar Show captive portal to unknown users na regra b), recomendamos que você crie outra regra de rede c) para evitar um possível tempo de espera ao entrar em contato com a Chrome Web Store.
    3. Crie uma User / Network rule com as seguintes configurações:
      • Tipo de regra: Reject
      • Zonas de origem, por exemplo: LAN, Wi-Fi
      • Zonas de destino: WAN
    4. Coloque a regra na parte inferior da lista para que a regra seja aplicada por último.

Configurar um Chromebook

Configure um Chromebook instalando o aplicativo de ID de usuário Sophos Chromebook na loja virtual.

Configurar o Google Chrome Enterprise

Configure o G Suite para comunicação com o Sophos Firewall.

  1. Faça login no G Suite e acesse Gerenciamento de dispositivos > Gerenciamento do Chrome > Gerenciamento de aplicativos .
  2. Procure o aplicativo de ID de usuário Sophos Chromebook e selecione-o.
  3. Vá para Configurações do usuário e faça as seguintes configurações para seu domínio:
  1. Faça upload do arquivo de configuração JSON para o G Suite. Esse é o que você baixou de Authentication > Services > Chromebook SSO.
  2. Salve.
  3. Vá para Configurações de sessão pública , especifique as mesmas configurações para Configurações de usuário e também carregue o arquivo de configuração JSON lá. As alterações de configuração serão implantadas automaticamente em todos os dispositivos gerenciados. A documentação do Google diz que “as configurações normalmente entram em vigor em minutos. Mas eles levam até uma hora para se inscrever para todos.”

O processo de configuração é concluído aqui, a menos que você use um certificado assinado localmente para o Sophos Firewall. Nesse caso, você precisa fornecer a respectiva CA aos Chromebooks. Continue com a próxima seção.

Assim que os usuários se autenticarem com o domínio configurado no G Suite, eles serão exibidos em Current activities > Live users.

Instale o certificado CA para comunicação de proxy e aplicativo

Se você usar um certificado assinado localmente para o Sophos Firewall, deverá depositar o certificado CA correspondente no G Suite para que a comunicação do proxy e do aplicativo funcione.

Você precisará do certificado CA (geralmente Default) que pode ser baixado do Sophos Firewall em Certificates > Certificate authorities.

  1. Faça login no G Suite e acesse Gerenciamento de dispositivos > Redes > Certificados .
  2. Clique em Adicionar certificado e carregue o certificado CA que você baixou do Sophos Firewall.
  3. Selecione a opção Usar isto como uma autoridade de certificação HTTPS .

Mais recursos

do original em: https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Authentication/HowToArticles/AuthenticationConfigureChromebookSSO/index.html#install-ca-certificate-for-proxy-and-app-communication

Gostou? Compartilhe: