Naar de inhoud
Avanet

Stel Microsoft Entra ID SSO in voor Sophos Firewall Captive Portal

Sophos Firewall

Met Microsoft Entra ID SSO voor Captive Portal kan Sophos Firewall gebruikers authenticeren tegen Microsoft Entra ID via de browser voordat op gebruikers gebaseerde firewallregels van kracht worden. Dit is met name interessant voor BYOD-netwerken, gast- of partnerzones, apparaten zonder transparante AD-detectie of omgevingen waar STAS niet voor alle clients geschikt is.

Het is belangrijk om onderscheid te maken: Captive Portal is geen VPN-portal en geen externe toegang. De gebruiker bevindt zich al op het lokale of Wi-Fi-netwerk en logt in op de browser, zodat de firewall het daaropvolgende verkeer kan toewijzen aan een gebruikersidentiteit. Voor toegang op afstand met Sophos Connect is het aparte artikel Stel Microsoft Entra ID SSO in voor Sophos Connect en VPN Portal geschikt.

Wanneer Captive Portal met Entra ID SSO zinvol is

Captive portal met Entra ID SSO is zinvol als gebruikers toch inloggen met Microsoft 365 en de firewall voor bepaalde netwerken een gebruikersidentiteit nodig heeft.

Typische toepassingen:

  • BYOD- of WiFi-netwerken zonder domeinverbinding.
  • Gasten of externe gebruikers met gecontroleerde toegang tot enkele bestemmingen.
  • Op gebruikers gebaseerde internetregels zonder STAS of SATC.
  • Netwerken waar transparante authenticatie onbetrouwbaar is.
  • Overgangsscenario’s waarbij lokale AD-authenticatie moet worden verminderd.

Voor volledig beheerde Windows-clients in een klassiek domein is Captive Portal niet automatisch de beste oplossing. Daar kunnen STAS, AD SSO of andere transparante procedures ergonomischer zijn omdat gebruikers niet actief een browseraanmelding hoeven te activeren. Captive Portal is meer een terugval- of speciale oplossing voor onbeheerde apparaten.

Aparte captive portal, VPN-portal en gebruikersportal

Met Entra ID SSO worden portaltermen snel door elkaar gehaald. Scheiding is cruciaal voor configuratie.

PortaalDoelTypische Entra-hoes
Captive-portaalGebruikers op het lokale netwerk loggen in via browser zodat regels met gebruikersidentiteit van kracht wordenEntra ID SSO voor browseraanmelding en gebruikerstoewijzing
VPN-portaalGebruikers van externe toegang laden Sophos Connect- of VPN-configuratiesEntra ID SSO voor externe toegang en portal-login
GebruikersportaalGebruikersfuncties zoals OTP of oudere persoonlijke optiesafhankelijk van de omgeving nog steeds relevant voor tokens of gebruikersopties

Een algemeen portaloverzicht is beschikbaar in Sophos-portals: SophosID, Central, Support en firewall-toegang. Bij captive portal moet je vooral controleren vanuit welke zone de lokale firewallservice bereikbaar is en welke firewallregel dan het daadwerkelijke gebruikersverkeer verwerkt.

Vereisten

Voordat u met de installatie begint, moeten deze punten worden verduidelijkt:

  • Sophos Firewall met een SFOS-versie die Microsoft Entra ID SSO ondersteunt.
  • Microsoft Entra Tenant met toestemming voor app-registratie, omleidings-URI’s, API-machtigingen, beheerderstoestemming en klantgeheim.
  • FQDN en certificaat voor de captive portal zodat gebruikers geen onnodige browserwaarschuwingen zien.
  • Toegankelijkheid van de Microsoft-inlogeindpunten vanuit het getroffen clientnetwerk.
  • Captive portal is toegestaan ​​onder Beheer > Apparaattoegang voor de juiste zone.
  • Gebruikers of groepen worden overzichtelijk bijgehouden in Microsoft Entra ID.
  • Firewallregels gebruiken de verwachte gebruikers of groepen.
  • Een testgebruiker en uitwijktoegang zijn beschikbaar.
  • Tijd en NTP op firewall en clients zijn correct omdat OAuth/OIDC tijdsafhankelijk is.
  • Als Toewijzing vereist actief is in Microsoft Entra ID, worden de benodigde gebruikers of groepen toegewezen aan de Enterprise Applicatie.

⚠️ Captive portal is een inloggebied op de firewall. Het mag alleen toegankelijk zijn in de zones waar het echt nodig is. Apparaattoegang en Lokale service-ACL zijn hier beveiligingsmaatregelen, niet alleen verbindingsinstellingen.

Voor het versterken van lokale firewallservices is Toegang tot Sophos Firewall geautoriseerd: Configureer de Apparaattoegang correct geschikt. In dit ontwerp is MFA geïmplementeerd in Microsoft Entra ID, bijvoorbeeld via Conditional Access. De lokale MFA van de Sophos Firewall vervangt niet de Microsoft login-factor bij Entra ID SSO. Vanuit het perspectief van de gebruiker is dit meestal beter omdat dezelfde MFA wordt gebruikt als Microsoft 365, maar dit moet zorgvuldig worden gepland en getest in de tenant.

Plan de architectuur vóór de inrichting

Vóór de technische configuratie moet u beslissen welke taak captive portal specifiek moet oplossen. Anders krijg je al snel een login die werkt, maar geen geschikte firewallregel activeert.

Belangrijke ontwerpvragen:

VraagWaarom belangrijk
Welke zone gebruikt Captive Portal?Apparaattoegang en regelbron zijn afhankelijk van de zone.
Welke gebruikersgroep mag inloggen?De Entra-groep moet overeenkomen met de latere firewallregel.
Welke doelen kunnen worden bereikt na het inloggen?Captive portal vervangt geen schone segmentatie.
Hoe lang moeten sessies geldig zijn?Sessies die te lang duren, verzwakken de gebruikerstoewijzing, en sessies die te kort zijn verstoren de werking.
Wat gebeurt er bij een Entra- of internetstoring?Er moet een duidelijke terugval zijn voor cruciale banen.
Hoe wordt de login geactiveerd?Gebruikers hebben een toegankelijke captive portal-URL of een schone omleiding nodig.

Captive Portal mag niet worden gebruikt als vervanging voor VLAN’s, zones of minimale firewallregels. De firewall kent de gebruiker beter na het inloggen, maar de netwerkarchitectuur moet nog steeds schoon blijven. Configureer Sophos Firewall-zones en interfaces is geschikt voor de basislogica van zones.

Maak Microsoft Entra ID-server

De opzet bestaat uit twee delen: Eerst wordt een app-registratie voorbereid in Microsoft Entra ID. Deze app wordt vervolgens geregistreerd als authenticatieserver op de Sophos-firewall.

App-registratie voorbereiden in Microsoft Entra ID

Er moet een aparte app-registratie voor de firewall worden aangemaakt in Microsoft Entra ID. Dit betekent dat omleidings-URI’s, machtigingen en clientgeheimen netjes gescheiden blijven van andere applicaties.

Typisch proces:

  1. Open het Microsoft Entra-beheercentrum.
  2. Open App-registraties > Nieuwe registratie.
  3. Geef een betekenisvolle naam, bijvoorbeeld Sophos-Firewall-Captive-Portal.
  4. Selecteer in de regel uw eigen tenant als ondersteund accounttype.
  5. Gebruik platform Web.
  6. Noteer Applicatie-(client)-ID en Directory-(tenant)-ID.
  7. Maak een klantgeheim aan onder Certificaten & geheimen en sla de geheime waarde onmiddellijk veilig op.
  8. Voeg onder API-machtigingen de vereiste Microsoft Graph-machtigingen toe, meestal User. Read. All en Group. Read. All.
  9. Verleen Beheerderstoestemming voor de machtigingen.
  10. Als Toewijzing vereist wordt gebruikt, wijst u de toegestane gebruikers of groepen toe aan de Enterprise-applicatie.

Zonder de juiste API-machtigingen en toestemming van de beheerder kan de login doordringen tot de Microsoft-login, maar de firewall kan dan de gebruikers- of groepsgegevens niet correct evalueren. In de praktijk lijkt dit vaak op een captive portal-probleem, ook al ligt de oorzaak bij Microsoft Entra ID.

Maak een Entra ID-server aan op de Sophos Firewall

Het menupad op de Sophos Firewall is:

Authentication > Servers

Basisproces:

  1. Open Toevoegen.
  2. Selecteer de optie Microsoft Entra ID SSO als Servertype.
  3. Wijs een beschrijvende naam toe, bijvoorbeeld Entra-SSO-Captive-Portal.
  4. Voer Applicatie (klant) ID in vanuit de Entra-app.
  5. Voer Directory-(tenant)-ID in.
  6. Voer Clientgeheim in.
  7. Activeer, afhankelijk van het ontwerp, Match bekende gebruikers als bestaande lokale gebruikers of groepen in kaart moeten worden gebracht.
  8. Gebruik Gebruik webauthenticatie voor onbekende gebruikers alleen als onbekende gebruikers bewust via een fallback-groep moeten worden afgehandeld.
  9. Stel bewust een terugvalgroep in en houd deze zo beperkend mogelijk.
  10. Testverbinding.
  11. Opslaan.

De reservegroep mag geen breed internet of netwerkdeling ontvangen. Het is bovenal een vangnet zodat een gebruiker niet ongecontroleerd meer toegang krijgt dan gepland.> ⚠️ Klantgeheimen zijn productieve toegangsgegevens. Vervaldatum, rotatie en verantwoordelijkheid moeten worden gedocumenteerd. Een verlopen geheim lijkt vanuit het perspectief van de gebruiker vaak een normaal inlogprobleem, maar is in werkelijkheid een configuratie- of operationeel probleem.

Voer de omleidings-URI’s correct in

De omleidings-URI die overeenkomt met de firewall moet worden ingevoerd in de app-registratie in Microsoft Entra ID. Het is van cruciaal belang dat de FQDN, het certificaat, de poort en het pad exact overeenkomen. Kleine verschillen in hostnaam, poort, protocol of slash zijn voldoende om het OAuth/OIDC-proces te laten mislukken.

De Sophos Firewall geeft de vereiste service-URL’s weer op de Entra ID-server. De Captive portal-URL is bijzonder relevant voor dit artikel. Als er ook gebruik wordt gemaakt van WebAdmin of Remote Access met Entra ID SSO, hebben deze diensten hun eigen URL’s:

Service-URLWaar wordt het voor gebruikt
URL van webbeheerconsoleEntra ID SSO voor WebAdmin Console
Captive portal-URLEntra ID SSO voor Captive Portal in het lokale netwerk
VPN-portaal en URL voor externe toegangEntra ID SSO voor VPN Portal en Sophos Connect

Voor Captive Portal mag alleen de Captive Portal Redirect URI in deze stroom worden getest. De VPN-URL maakt deel uit van het ontwerp voor externe toegang en wordt behandeld in het afzonderlijke artikel over Microsoft Entra ID SSO for Sophos Connect en VPN Portal.

Stel de captive portal-authenticatiemethode in

Na het aanmaken van de Entra-server moet de authenticatiemethode voor Captive Portal naar de juiste server verwijzen.

Het relevante gebied bevindt zich onder:

Authentication > Services

Om te controleren:

  1. Open het gebied voor Captive portal-authenticatiemethoden.
  2. Voeg Microsoft Entra ID-server toe of sleep deze naar de juiste positie.
  3. Bewaar andere authenticatieservers alleen als deze als bewuste fallback dienen.
  4. Pas de wijziging toe met Toepassen.
  5. Voer een testaanmelding uit met één gebruiker.

Als er meerdere authenticatiemethoden parallel actief zijn, moet duidelijk zijn welke server verantwoordelijk is voor welke gebruikersgroep. Een gemengde werking van Entra ID en lokale AD-authenticatie kan werken, maar vergroot de moeite voor het oplossen van problemen aanzienlijk. De Sophos Known Issues List documenteert Entra SSO-gevallen waarbij gemengde Entra- en lokale AD-sessies kunnen leiden tot no permission-achtige fouten.

Daarnaast moet u onder Authenticatie > Webauthenticatie controleren hoe de captive portal in de browser wordt geopend. HTTPS is belangrijk voor Entra ID SSO. De optie Gebruik onveilige HTTP in plaats van HTTPS mag niet worden geactiveerd omdat de Entra-OAuth-stroom over HTTP niet goed wordt ondersteund en onnodig onveilig zou zijn.

Het volgende is nuttig voor de bediening:

  1. Open Captive Portal in een nieuw browservenster.
  2. Houd het captive portal-venster open tijdens de sessie.
  3. Laat gebruikers bewust uitloggen via de captive portal als de vereniging wordt beëindigd.
  4. Controleer na het inloggen onder Huidige activiteiten > Live gebruikers of de gebruiker zichtbaar is.

Afhankelijk van de interface en het certificaat kan de standaard URL https://<Firewall-IP>:8090 ook helpen bij het testen. Een schone FQDN met een passend certificaat is veel prettiger voor de productieve bedrijfsvoering.

Controleer de toegang tot het apparaat en de toegankelijkheid van de portal

Captive Portal is een lokale service van de firewall. Alleen een normale firewallregel staat deze toegang niet toe. De toegankelijkheid wordt beheerd onder Beheer > Apparaattoegang voor de betreffende zone.

U moet het volgende controleren:

  • Captive portal is alleen toegestaan in de vereiste zones.
  • Dit betekent dat WebAdmin en SSH niet per ongeluk ook breed toegankelijk zijn.
  • Certificaat en FQDN komen overeen met de gebruikers-URL.
  • DNS in het clientnetwerk zet de portalnaam correct om.
  • Lokale Service ACL-uitzonderingsregels worden alleen ingesteld als ze echt nodig zijn.

Als Captive Portal niet toegankelijk is via een netwerk, moet u niet eerst een normale Toestaan-regel maken. De oorzaak is vaak apparaattoegang, lokale service ACL, DNS, certificaat of onjuiste zonetoewijzing.

Overweeg Microsoft-aanmelding en webfilterDe klant moet tijdens het inloggen de Microsoft-inlogpagina’s en gerelateerde bronnen bereiken. Anders kan de SSO-stroom in beperkende netwerken stoppen op een punt dat voor gebruikers lijkt op een firewall- of browserfout.

Om te controleren:

  • DNS-resolutie voor Microsoft-inlogdomeinen werkt.
  • HTTPS naar Microsoft-inlogeindpunten is toegestaan.
  • Webfilter, TLS-inspectie of proxy blokkeren de inlogpagina niet.
  • Tijd op firewall en client is aannemelijk.
  • Browsercookies worden door een strikt beleid niet onbruikbaar gemaakt.

In beperkende omgevingen moet u expliciet de Microsoft-aanmeldings- en Entra-eindpunten controleren. Afhankelijk van de tenant, browser en Microsoft-inlogpad zijn onder meer deze domeinen relevant:

  • login.microsoftonline.com
  • *.login.microsoftonline.com
  • *.microsoftonline.com
  • *.msauth.net
  • *.msftauth.net
  • aadcdn.msauth.net
  • aadcdn.msftauth.net
  • aadcdn.msftauthimages.net
  • graph.microsoft.com

Als vóór het inloggen het webfilter, een proxy of TLS-inspectie in werking treedt, mogen deze doelen niet onnodig worden gedecodeerd of geblokkeerd. De URL-sectie van de Entra ID-documentatie toestaan moet worden gecontroleerd op zeer restrictief beleid.

Als Web Protection of TLS Inspection actief is, moet de login met een testgebruiker in de logviewer worden bekeken. Soms is het probleem niet Captive Portal zelf, maar een webbeleid, een TLS-uitzondering of een clientnetwerk dat Microsoft-eindpunten niet volledig bereikt.

Test gebruikersgroepen en firewallregels

Na een succesvolle captive portal-aanmelding moet de daadwerkelijke firewallregel de gebruiker of groep in het verkeer zien. Dit is de belangrijkste praktijktest.

Typisch proces:

  1. Controleer gebruikers in Microsoft Entra ID.
  2. Vergelijk UPN, e-mailadres en groepslidmaatschap.
  3. Controleer Entra-groep op Sophos Firewall.
  4. Voer captive portal login uit met de testgebruiker.
  5. Activeer vervolgens echt gebruikersverkeer, bijvoorbeeld HTTPS, naar een toegestane bestemming.
  6. Controleer in de Log Viewer of de gebruiker, groep, bronzone, bronnetwerk en regel-ID overeenkomen met de verwachte regel.

Een succesvolle browseraanmelding bewijst alleen authenticatie. Het bewijst niet dat de latere-gebruikerregel van toepassing is. Als de regelteller op 0 blijft staan ​​of er geen gebruiker zichtbaar is in de logviewer, moet u de flow van Sophos Firewall-regel werkt niet: Controleer de oorzaken gebruiken.

Opmerking Primaire groep voor Entra Captive Portal

Bij captive portals met Microsoft Entra ID SSO moet u vooral controleren welke groep de firewall daadwerkelijk evalueert voor de volgende gebruikersregel. Voor Entra-ID SSO-gebruikers kan internettoegang via Captive Portal alleen werken als de Primaire Groep van de gebruiker wordt gebruikt in de firewallregel. Secundaire groepen gedragen zich niet hetzelfde als bij klassieke lokale AD-gebruikers.

In de praktijk betekent dit: Een gebruiker kan succesvol inloggen op de captive portal en toch niet voldoen aan de verwachte regel als de regel alleen verwijst naar een secundaire Entra-groep. Deze fout lijkt al snel op een captive portal-, OAuth- of browserprobleem, ook al was de login zelf correct.

Vóór een uitrol dient u daarom per testgebruiker het volgende vast te leggen:

examenverwachting
Primaire groep in Entra IDDe groep is bekend en past binnen het geplande beleid.
Groep op de Sophos FirewallDezelfde groep wordt correct geïmporteerd of toegewezen.
FirewallregelDe Primaire Groep is opgenomen in de gebruikers- of groepsvoorwaarde.
Testverkeer na inloggenLog Viewer toont gebruiker, regel-ID en verwachte actie.
TerugvalAls groepsmatching niet netjes mogelijk is, is er een tijdelijke aangepaste testregel.

Dit heeft geen invloed op Sophos Connect VPN met Microsoft Entra ID SSO. Voor externe toegang moet daarom het afzonderlijke proces voor Microsoft Entra ID SSO voor Sophos Connect en VPN Portal worden gecontroleerd.

Validatie na uitrol

Om het te accepteren, moet u niet alleen controleren of de Microsoft-inlogpagina verschijnt.| testen | Verwacht resultaat | | — | — | | Captive portal-URL openen vanuit clientnetwerk | Browser toont verwachte Entra-login of Sophos-omleiding | | Inloggen met toegestane gebruiker | Inloggen succesvol, gebruiker verschijnt op de firewall | | Inloggen met niet-toegestane gebruiker | De toegang wordt begrijpelijkerwijs geweigerd | | Primaire groepsregeltest | Testgebruiker voldoet aan de verwachte gebruikersregel | | Gebruikersverkeer na inloggen | correcte firewallregel overeenkomend met gebruikersreferentie | | Sessiestroom | Na een time-out moet u opnieuw inloggen | | Microsoft-aanmelding geblokkeerd | Logviewer of weblogs tonen begrijpelijke reden | | Terugvalscenario | Beheerder weet hoe hij de toegang moet controleren of tijdelijk wijzigen bij een Entra-storing

Vooral bij BYOD-netwerken moet u met meerdere browsers en apparaten testen. Privé-browsingmodi, geblokkeerde cookies van derden, oude opgeslagen logins of meerdere Microsoft-accounts op hetzelfde apparaat kunnen verschillende resultaten opleveren.

Problemen oplossen

Captive portal is niet bereikbaar

Controleer eerst Beheer > Apparaattoegang voor de getroffen zone. Controleer vervolgens DNS, certificaat, portal FQDN, lokale service ACL en zonetoewijzing. Als de toegang naar de firewall zelf gaat, is een normale firewallregel niet het eerste controlepunt.

Microsoft login start maar komt niet terug

Vergelijk omleidings-URI, FQDN, certificaat en poort. De exacte URL die de Sophos Firewall gebruikt voor Captive Portal moet worden opgeslagen in Microsoft Entra ID. Ook proxy- of TLS-inspectieregels kunnen de retourzending belemmeren.

Wanneer Microsoft de fout AADSTS50011 weergeeft, komt de omleidings-URI in de app-registratie doorgaans niet overeen met de URL die de firewall gebruikt. Vervolgens moeten het protocol, de FQDN, de poort en het pad exact worden vergeleken.

Er verschijnt een interne fout na aanmelding bij Microsoft

Een 500 Internal Server Error of een soortgelijke algemene fout na een succesvolle aanmelding bij Microsoft duidt vaak op een gebrek aan Microsoft Graph-machtigingen, een gebrek aan toestemming van de beheerder of een probleem met het clientgeheim. Vervolgens moet u de API-machtigingen, toestemming van de beheerder, geheime geldigheid en toewijzing van zakelijke apps controleren in Microsoft Entra ID.

Gebruikersnaam en wachtwoord werken niet direct

Entra ID SSO is een browser- en OAuth/OIDC-stroom. Gebruikers loggen niet rechtstreeks in op de firewall met klassieke inloggegevens, maar worden doorgestuurd naar Microsoft. Als een client of flow alleen gebruikersnaam en wachtwoord ondersteunt zonder browseromleiding, past deze methode niet.

MFA verschijnt niet of ziet er anders uit dan verwacht

Met Entra ID SSO wordt MFA beheerd in Microsoft Entra ID. On-premises firewall MFA is niet het juiste controlepunt voor deze SSO-stroom. Als MFA vereist is, controleer dan de voorwaardelijke toegang, gebruikersgroepen, uitsluitingen en testgebruikers in Microsoft Entra ID.

Gebruiker ziet no permission of wordt afgewezen na langdurig gebruik

Wis browsercookies en controleer of dezelfde gebruiker parallel wordt gebruikt via Entra ID SSO en lokale AD-authenticatie. Wanneer Entra en On-Prem AD voor dezelfde gebruiker worden gecombineerd, moet het authenticatieontwerp worden vereenvoudigd of op zijn minst netjes worden gedocumenteerd.

Inloggen werkt, maar de gebruikersregel komt niet overeen

Dan is captive portal waarschijnlijk niet langer het enige probleem. Controleer de bronzone, het bronnetwerk, de gebruikersgroep, de regelpositie en de logviewer. Vaak staat een algemenere regel boven de gebruikersregel of komt het verkeer van een ander netwerk dan verwacht.

Voor Entra ID SSO via Captive Portal moet u ook controleren of de firewallregel de primaire groep van de gebruiker gebruikt. Als alleen een secundaire groep in de regel voorkomt, kan het inloggen succesvol zijn terwijl de daadwerkelijke internet- of doeltoegang niet via de verwachte gebruikersregel verloopt.

Alleen individuele gebruikers worden getroffen

Vergelijk UPN, e-mailadres, weergavenaam, groepslidmaatschap en geïmporteerde groep. Bij Entra ID SSO mag u er niet vanuit gaan dat de zichtbare naam en de technische identificatie identiek zijn. Als het e-mailadres en de UPN historisch gezien uiteenlopen, kunnen er gemakkelijk mappingfouten ontstaan.

Welke logs helpen?oauth_sso_captive.log is met name relevant voor captive portal met Entra ID SSO. Bovendien helpen logviewers met de module Authenticatie, access_server.log en, afhankelijk van het daaropvolgende probleem, web-, firewall- of authenticatielogboeken. De toewijzing van de belangrijkste bestanden vindt u in Sophos Firewall-probleemoplossing: services en logboeken.

Controlelijst

  • Het gebruiksscenario van de captive portal is duidelijk: BYOD, gasten, onbeheerde apparaten of fallback.
  • FQDN en certificaat voor de captive portal zijn schoon.
  • Microsoft Entra ID-app met Redirect URI, Client ID, Tenant ID en Client Secret is gedocumenteerd.
  • Microsoft Graph API-machtigingen en toestemming van de beheerder zijn ingesteld.
  • Enterprise-app-toewijzingen worden aangevinkt als Toewijzing vereist actief is.
  • Client Secret heeft vervaldatum, eigenaar en rotatieproces.
  • Captive Portal Redirect URI werd overgenomen door de firewall en exact ingevoerd in Entra ID.
  • Authenticatie > Services gebruikt de juiste Entra-server voor Captive Portal.
  • Authenticatie > Webauthenticatie maakt gebruik van HTTPS en de juiste browservensterinstellingen.
  • Beheer > Apparaattoegang staat alleen captive portal toe in vereiste zones.
  • Microsoft-inlogeindpunten kunnen worden bereikt vanaf het clientnetwerk.
  • Webfiltering en TLS-inspectie blokkeren de SSO-stroom niet.
  • MFA en Conditional Access worden gepland en getest in Microsoft Entra ID.
  • Entra-groep en firewallgroep matchen.
  • Captive portal-regels met Entra ID SSO houden rekening met de primaire groep van de testgebruiker.
  • Testgebruiker kan inloggen en vervolgens op de verwachte firewallregel klikken.
  • Logviewer toont gebruiker, regel-ID en actie.
  • oauth_sso_captive.log en access_server.log staan ​​bekend om ondersteuningsaanvragen.
  • Fallback voor Entra- of Portal-storingen zijn gedocumenteerd.

Veelgestelde vragen

Is Captive Portal met Entra ID SSO hetzelfde als Sophos Connect SSO?

Nee. Captive Portal authenticeert gebruikers op het lokale netwerk via een browser, zodat op gebruikers gebaseerde regels van kracht kunnen worden. Sophos Connect SSO is onderdeel van Remote Access en VPN Portal.

Moet captive portal openbaar toegankelijk zijn?

Nee. Captive Portal is meestal bedoeld voor interne of Wi-Fi-zones. De toegankelijkheid moet zo nauw mogelijk worden ingesteld via Device Access.

Waarom komt de gebruikersregel niet overeen ondanks een succesvolle aanmelding?

De login bevestigt alleen de authenticatie. Vervolgens moeten de bronzone, het bronnetwerk, de gebruikersgroep, de regelpositie en het daadwerkelijke verkeer overeenkomen met de regel. Voor Entra ID SSO via Captive Portal moet u ook controleren of de regel de primaire groep van de gebruiker gebruikt.

Welk logbestand is belangrijk voor Entra Captive Portal SSO?

oauth_sso_captive.log is belangrijk voor de OAuth SSO-stroom van de captive portal. Daarnaast moet u Log Viewer en access_server.log controleren.

Kunt u Entra ID en lokale AD-authenticatie parallel gebruiken?

Afhankelijk van het ontwerp kan dit werken, maar het verhoogt de kans op fouten. Als dezelfde gebruikers parallel worden geverifieerd via Entra ID SSO en on-prem AD, moeten sessies, groepen en inlogpaden bijzonder schoon worden getest.