Hoppa till innehållet
Avanet

Konfigurera Microsoft Entra ID SSO för Sophos Firewall Captive Portal

Sophos Firewall

Med Microsoft Entra ID SSO för Captive Portal kan Sophos Firewall autentisera användare mot Microsoft Entra ID via webbläsaren innan användarbaserade brandväggsregler träder i kraft. Detta är särskilt intressant för BYOD-nätverk, gäst- eller partnerzoner, enheter utan transparent AD-detektion eller miljöer där STAS inte passar alla klienter.

Det är viktigt att skilja: Captive portal är inte en VPN-portal och inte fjärråtkomst. Användaren är redan på det lokala nätverket eller Wi-Fi-nätverket och loggar in på webbläsaren så att brandväggen kan tilldela den efterföljande trafiken till en användaridentitet. För fjärråtkomst med Sophos Connect är den separata artikeln Configuration of Microsoft Entra ID SSO for Sophos Connect and VPN Portal lämplig.

När Captive Portal med Entra ID SSO är vettigt

Captive portal med Entra ID SSO är vettigt om användare loggar in med Microsoft 365 ändå och brandväggen behöver en användaridentitet för vissa nätverk.

Typiska tillämpningar:

  • BYOD eller WiFi-nätverk utan domänanslutning.
  • Gäster eller externa användare med kontrollerad tillgång till ett fåtal destinationer.
  • Användarbaserade internetregler utan STAS eller SATC.
  • Nätverk där transparent autentisering är opålitlig.
  • Övergångsscenarier där lokal AD-autentisering bör minskas.

För fullt hanterade Windows-klienter i en klassisk domän är Captive Portal inte automatiskt den bästa lösningen. Där kan STAS, AD SSO eller andra transparenta procedurer vara mer ergonomiska eftersom användare inte aktivt behöver utlösa en webbläsarinloggning. Captive portal är mer en reserv- eller speciallösning för ohanterade enheter.

Separat captive-portal, VPN-portal och användarportal

Med Entra ID SSO blandas portaltermer snabbt ihop. Separation är avgörande för konfigurationen.

PortalSyfteTypiskt Entra-omslag
Captive PortalAnvändare på det lokala nätverket loggar in via webbläsaren så att regler med användaridentitet träder i kraftEntra ID SSO för webbläsarinloggning och användarmappning
VPN-portalAnvändare med fjärråtkomst laddar Sophos Connect- eller VPN-konfigurationerEntra ID SSO för fjärråtkomst och portalinloggning
AnvändarportalAnvändarfunktioner som OTP eller äldre personliga alternativberoende på miljön som fortfarande är relevant för tokens eller användaralternativ

En allmän portalöversikt finns i Sophos-portaler: SophosID, Central, Support och brandväggsåtkomst. För captive portal måste du framför allt kontrollera från vilken zon den lokala brandväggstjänsten kan nås och vilken brandväggsregel som sedan behandlar den faktiska användartrafiken.

Krav

Innan du installerar bör dessa punkter förtydligas:

  • Sophos Firewall med en SFOS-version som stöder Microsoft Entra ID SSO.
  • Microsoft Entra Tenant med tillstånd för appregistrering, omdirigering av URI:er, API-behörigheter, administratörssamtycke och klienthemlighet.
  • FQDN och certifikat för captive-portalen så att användare inte ser onödiga webbläsarvarningar.
  • Tillgänglighet för Microsofts inloggningsslutpunkter från det berörda klientnätverket.
  • Captive-portal är tillåten under Administration > Enhetsåtkomst för rätt zon.
  • Användare eller grupper underhålls rent i Microsoft Entra ID.
  • Brandväggsregler använder de förväntade användarna eller grupperna.
  • En testanvändare och reservåtkomst är tillgängliga.
  • Tid och NTP på brandvägg och klienter är korrekta eftersom OAuth/OIDC är tidsberoende.
  • Om Uppdrag krävs är aktivt i Microsoft Entra ID, tilldelas de nödvändiga användarna eller grupperna till Enterprise Application.

⚠️ Captive portal är ett inloggningsområde på brandväggen. Den ska bara vara tillgänglig i de zoner där den verkligen behövs. Device Access och Local Service ACL är säkerhetskontroller här, inte bara anslutningsinställningar.

För härdning av lokala brandväggstjänster passar Säkra åtkomst till Sophos Firewall: Konfigurera enhetsåtkomst korrekt.I denna design implementeras MFA i Microsoft Entra ID, till exempel via Conditional Access. Sophos Firewalls lokala MFA ersätter inte Microsofts inloggningsfaktor med Entra ID SSO. Detta är vanligtvis bättre ur användarens perspektiv eftersom samma MFA används som Microsoft 365, men det måste noggrant planeras och testas hos hyresgästen.

Planera arkitektur innan möblering

Före den tekniska konfigurationen bör du bestämma vilken captive-portal för uppgift som specifikt ska lösa. Annars får du snabbt en inloggning som fungerar men som inte utlöser en lämplig brandväggsregel.

Viktiga designfrågor:

FrågaVarför viktigt
Vilken zon använder Captive Portal?Enhetsåtkomst och regelkälla beror på zonen.
Vilken användargrupp får logga in?Entra-gruppen måste matcha den senare brandväggsregeln.
Vilka mål kan uppnås efter inloggning?Captive portal ersätter inte ren segmentering.
Hur länge ska sessionerna vara giltiga?Sessioner som är för långa späder på användartilldelning och sessioner som är för korta stör driften.
Vad händer vid en Entra- eller Internetstörning?Det måste finnas en tydlig reserv för kritiska jobb.
Hur utlöses inloggningen?Användare behöver en tillgänglig webbadress för captiveportal eller en ren omdirigering.

Captive Portal ska inte användas som en ersättning för VLAN, zoner eller minimala brandväggsregler. Brandväggen känner användaren bättre efter inloggning, men nätverksarkitekturen måste fortfarande vara ren. Konfigurera Sophos Firewall-zoner och gränssnitt är lämplig för den grundläggande logiken i zoner.

Skapa Microsoft Entra ID-server

Installationen består av två delar: Först förbereds en appregistrering i Microsoft Entra ID. Denna app registreras sedan som en autentiseringsserver på Sophos brandvägg.

Förbered appregistrering i Microsoft Entra ID

En separat appregistrering för brandväggen ska skapas i Microsoft Entra ID. Detta innebär att omdirigerings-URI:er, behörigheter och klienthemligheter förblir rent separerade från andra applikationer.

Typisk process:

  1. Öppna Microsoft Entra admin center.
  2. Öppna Appregistreringar > Ny registrering.
  3. Ge ett meningsfullt namn, till exempel Sophos-Firewall-Captive-Portal.
  4. Välj som regel din egen hyresgäst som den kontotyp som stöds.
  5. Använd plattformen webb.
  6. Notera Applikations- (klient) ID och Katalog (hyresgäst) ID.
  7. Skapa en klienthemlighet under Certifikat & hemligheter och spara omedelbart det hemliga värdet säkert.
  8. Under API-behörigheter lägg till de nödvändiga Microsoft Graph-behörigheterna, vanligtvis User. Read. All och Group. Read. All.
  9. Ge Administratörens samtycke för behörigheterna.
  10. Om Tilldelning krävs används, tilldela de tillåtna användarna eller grupperna till Enterprise Application.

Utan lämpliga API-behörigheter och administratörsmedgivande kan inloggningen komma igenom till Microsofts inloggning, men brandväggen kan då inte korrekt utvärdera användar- eller gruppdata. I praktiken ser detta ofta ut som ett captive-portalproblem, även om orsaken ligger i Microsoft Entra ID.

Skapa Entra ID-server på Sophos-brandväggen

Menysökvägen på Sophos Firewall är:

Authentication > Servers

Grundläggande process:

  1. Öppna Lägg till.
  2. Välj alternativet Microsoft Entra ID SSO som Servertyp.
  3. Tilldela ett beskrivande namn, till exempel Entra-SSO-Captive-Portal.
  4. Ange Program (klient) ID från Entra-appen.
  5. Ange Katalog (hyresgäst) ID.
  6. Ange Kundhemlighet.
  7. Beroende på design, aktivera Matcha kända användare om befintliga lokala användare eller grupper ska mappas.
  8. Använd endast Använd webbautentisering för okända användare om okända användare medvetet ska hanteras via en reservgrupp.
  9. Ställ in en reservgrupp medvetet och håll den så restriktiv som möjligt.
  10. Testa anslutningen.
  11. Spara.

Reservgruppen ska inte ta emot bred internet- eller nätverksdelning. Framför allt är det ett skyddsnät så att en användare inte okontrollerat får mer åtkomst än planerat.> ⚠️ Klienthemligheter är produktiv åtkomstdata. Sista utgångsdatum, rotation och ansvar ska dokumenteras. En utgången hemlighet verkar ofta som ett vanligt inloggningsproblem ur användarens perspektiv, men är faktiskt ett konfigurations- eller driftsproblem.

Ange omdirigerings-URI:er korrekt

Den omdirigerings-URI som matchar brandväggen måste anges i App Registration i Microsoft Entra ID. Det är avgörande att FQDN, certifikat, port och sökväg matchar exakt. Små skillnader i värdnamn, port, protokoll eller snedstreck räcker för att OAuth/OIDC-processen ska misslyckas.

Sophos-brandväggen visar de nödvändiga webbadresserna för tjänsten på Entra ID-servern. Captive-portalens URL är särskilt relevant för den här artikeln. Om WebAdmin eller Remote Access med Entra ID SSO också används, har dessa tjänster sina egna URL:er:

Tjänstens URLVad det används till
Webbadministratörskonsolens URLEntra ID SSO för WebAdmin Console
Captive portal URLEntra ID SSO för Captive Portal i det lokala nätverket
VPN-portal och fjärråtkomst-URLEntra ID SSO för VPN Portal och Sophos Connect

För Captive Portal bör endast Captive Portal Redirect URI testas i detta flöde. VPN-URL:n är en del av fjärråtkomstdesignen och behandlas i den separata artikeln om Microsoft Entra ID SSO för Sophos Connect och VPN Portal.

Ställ in autentiseringsmetod för captive portal

Efter att ha skapat Entra-servern måste autentiseringsmetoden för Captive Portal peka på rätt server.

Det aktuella området är under:

Authentication > Services

För att kontrollera:

  1. Öppna området för Autentiseringsmetoder för Captive-portal.
  2. Lägg till eller dra Microsoft Entra ID-server till rätt position.
  3. Behåll endast andra autentiseringsservrar om de fungerar som en avsiktlig reserv.
  4. Tillämpa ändringen med Apply.
  5. Utför en testinloggning med en enda användare.

Om flera autentiseringsmetoder är aktiva parallellt måste det framgå vilken server som ansvarar för vilken användargrupp. Blandad drift av Entra ID och lokal AD-autentisering kan fungera, men ökar avsevärt felsökningsarbetet. Sophos Known Issues List dokumenterar Entra SSO-fall där blandade Entra och on-prem AD-sessioner kan leda till no permission-liknande fel.

Dessutom bör du kontrollera under Autentisering > Webbeautentisering hur captive-portalen öppnas i webbläsaren. HTTPS är viktigt för Entra ID SSO. Alternativet Använd osäker HTTP istället för HTTPS ska inte aktiveras eftersom Entra-OAuth-flödet över HTTP inte stöds korrekt och skulle vara onödigt osäkert.

Följande är till hjälp för driften:

  1. Öppna Captive Portal i ett nytt webbläsarfönster.
  2. Håll det infångade portalfönstret öppet under sessionen.
  3. Låt användare logga ut medvetet via captive-portalen om föreningen ska avslutas.
  4. Efter att ha loggat in, kontrollera under Aktuella aktiviteter > Liveanvändare om användaren är synlig.

Beroende på gränssnitt och certifikat kan standard-URL https://<Firewall-IP>:8090 också hjälpa till vid testning. Ett rent FQDN med ett lämpligt certifikat är mycket trevligare för produktiv drift.

Kontrollera enhetsåtkomst och portaltillgänglighet

Captive Portal är en lokal brandväggstjänst. En vanlig brandväggsregel tillåter inte denna åtkomst. Tillgänglighet styrs under Administration > Enhetsåtkomst för respektive zon.

Du bör kontrollera:

  • Captive portal är endast tillåten i de nödvändiga zonerna. – Det betyder att WebAdmin och SSH inte av misstag också är allmänt tillgängliga.
  • Certifikat och FQDN matchar användarens URL.
  • DNS i klientnätverket löser portalnamnet korrekt.
  • Undantagsregler för lokala tjänster ACL ställs bara in när de verkligen är nödvändiga.

Om Captive Portal inte är tillgänglig från ett nätverk bör du inte skapa en normal Allow-regel först. Orsaken är ofta enhetsåtkomst, lokal tjänst ACL, DNS, certifikat eller felaktig zonmappning.

Överväg Microsoft-inloggning och webbfilterKlienten måste nå Microsofts inloggningssidor och relaterade resurser under inloggningen. Annars, i restriktiva nätverk, kan SSO-flödet stanna vid en punkt som för användarna ser ut som ett brandvägg- eller webbläsarfel.

För att kontrollera:

  • DNS-upplösning för Microsofts inloggningsdomäner fungerar.
  • HTTPS till Microsofts inloggningsslutpunkter är tillåtet.
  • Webbfilter, TLS-inspektion eller proxy blockerar inte inloggningssidan.
  • Tid på brandvägg och klient är rimlig.
  • Webbläsarcookies görs inte oanvändbara av en strikt policy.

I restriktiva miljöer bör du uttryckligen kontrollera Microsoft-inloggningen och Entra-slutpunkterna. Beroende på hyresgäst, webbläsare och Microsofts inloggningsväg är dessa domäner relevanta, bland annat:

  • login.microsoftonline.com
  • *.login.microsoftonline.com
  • *.microsoftonline.com
  • *.msauth.net
  • *.msftauth.net
  • aadcdn.msauth.net
  • aadcdn.msftauth.net
  • aadcdn.msftauthimages.net
  • graph.microsoft.com

Om webbfiltret, en proxy- eller TLS-inspektion träder i kraft före inloggning bör dessa mål inte dekrypteras eller blockeras i onödan. Tillåt URL-avsnittet och Entra ID-dokumentation bör krysskontrolleras för mycket restriktiva policyer.

Om webbskydd eller TLS Inspection är aktivt, bör inloggningen med en testanvändare observeras i loggvisaren. Ibland är problemet inte Captive Portal i sig, utan en webbpolicy, ett TLS-undantag eller ett klientnätverk som inte helt når Microsofts slutpunkter.

Testa användargrupper och brandväggsregler

Efter en lyckad inloggning på captive-portalen måste den faktiska brandväggsregeln se användaren eller gruppen i trafiken. Detta är det viktigaste praktiska provet.

Typisk process:

  1. Kontrollera användare i Microsoft Entra ID.
  2. Jämför UPN, e-postadress och gruppmedlemskap.
  3. Markera Entra group på Sophos Firewall.
  4. Utför captive portal-inloggning med testanvändare.
  5. Utlös sedan riktig användartrafik, till exempel HTTPS till en tillåten destination.
  6. I Log Viewer kontrollerar du om användaren, gruppen, källzonen, källnätverket och regel-ID matchar den förväntade regeln.

En lyckad webbläsarinloggning bevisar bara autentisering. Det bevisar inte att den senare användarregeln gäller. Om regelräknaren står kvar på 0 eller om ingen användare är synlig i loggvisaren, bör du använda flödet från Sophos Firewall-regel fungerar inte: Steuerera orsakerna.

Notera Primärgrupp för Entra Captive Portal

Med captive-portaler med Microsoft Entra ID SSO bör du särskilt kontrollera vilken grupp brandväggen faktiskt utvärderar för den efterföljande användarregeln. För Entra-ID SSO-användare kan Internetåtkomst via Captive Portal endast fungera om användarens Primära grupp används i brandväggsregeln. Sekundära grupper beter sig inte på samma sätt som med klassiska lokala AD-användare.

I praktiken betyder detta: En användare kan framgångsrikt logga in på captive-portalen och ändå inte uppfylla den förväntade regeln om regeln bara pekar på en sekundär Entra-grupp. Det här felet ser snabbt ut som ett captive-portal, OAuth- eller webbläsarproblem, även om själva inloggningen var korrekt.

Innan en utrullning bör du därför registrera följande för varje testanvändare:

examenförväntan
Primärgrupp i Entra IDGruppen är känd och passar den planerade policyn.
Grupp på Sophos-brandväggenSamma grupp är korrekt importerad eller mappad.
BrandväggsregelDen primära gruppen ingår i användar- eller gruppvillkoret.
Testa trafik efter inloggningLog Viewer visar användare, regel-ID och förväntad åtgärd.
FallbackOm gruppmatchning inte är möjlig rent, finns det en tillfällig anpassad testregel.

Detta påverkar inte Sophos Connect VPN med Microsoft Entra ID SSO. För fjärråtkomst bör därför den separata processen för Microsoft Entra ID SSO för Sophos Connect och VPN Portal kontrolleras.

Validering efter lansering

För att acceptera det bör du inte bara kontrollera om Microsofts inloggningssida visas.| testa | Förväntat resultat | | — | — | | Öppna captive portal URL från klientnätverk | Webbläsaren visar förväntad Entra-inloggning eller Sophos-omdirigering | | Logga in med tillåten användare | Inloggningen lyckades, användaren visas på brandväggen | | Logga in med otillåten användare | Tillgång nekas förståeligt | | Primär gruppregeltest | Testanvändaren uppfyller den förväntade användarregeln | | Användartrafik efter inloggning | korrekt brandväggsregel matchade med användarreferens | | Sessionsflöde | Efter en timeout måste du logga in igen | | Microsoft-inloggning blockerad | Loggvisare eller webbloggar visar förståeliga skäl | | Reservscenario | Admin vet hur man kontrollerar eller tillfälligt ändrar åtkomst i händelse av en Entra-störning

Speciellt med BYOD-nätverk bör du testa med flera webbläsare och enheter. Privata surflägen, blockerade cookies från tredje part, gamla sparade inloggningar eller flera Microsoft-konton på samma enhet kan ge olika resultat.

Felsökning

Captive-portalen är inte tillgänglig

Kontrollera först Administration > Enhetsåtkomst för den drabbade zonen. Kontrollera sedan DNS, certifikat, portal FQDN, lokal tjänst ACL och zonmappning. Om åtkomsten går till själva brandväggen är en normal brandväggsregel inte den första kontrollpunkten.

Microsoft-inloggning startar men kommer inte tillbaka

Jämför omdirigerings-URI, FQDN, certifikat och port. Den exakta URL som Sophos Firewall använder för Captive Portal måste lagras i Microsoft Entra ID. Proxy- eller TLS-inspektionsregler kan också störa returen.

När Microsoft visar felet AADSTS50011 matchar omdirigerings-URI:en i appregistreringen vanligtvis inte URL:en som brandväggen använder. Sedan måste protokollet, FQDN, port och sökväg jämföras exakt.

Ett internt fel visas efter Microsoft-inloggning

Ett 500 Internal Server Error eller ett liknande generiskt fel efter en lyckad Microsoft-inloggning indikerar ofta en brist på Microsoft Graph-behörigheter, en brist på administratörsmedgivande eller ett problem med klienthemligheten. Sedan bör du kontrollera API-behörigheterna, administratörens samtycke, hemliga giltighet och företagsapptilldelning i Microsoft Entra ID.

Användarnamn och lösenord fungerar inte direkt

Entra ID SSO är en webbläsare och OAuth/OIDC-flöde. Användare loggar inte in direkt på brandväggen med klassiska referenser, utan omdirigeras till Microsoft. Om en klient eller ett flöde endast stöder användarnamn och lösenord utan webbläsaromdirigering, passar den här metoden inte.

MFA visas inte eller ser annorlunda ut än förväntat

Med Entra ID SSO kontrolleras MFA i Microsoft Entra ID. Lokal brandvägg MFA är inte rätt kontrollpunkt för detta SSO-flöde. Om MFA krävs bör du kontrollera villkorad åtkomst, användargrupper, undantag och testanvändare i Microsoft Entra ID.

Användaren ser no permission eller avvisas efter långvarig drift

Rensa webbläsarcookies och kontrollera om samma användare används parallellt via Entra ID SSO och lokal AD-autentisering. När man blandar Entra och On-Prem AD för samma användare, bör autentiseringsdesignen förenklas eller åtminstone dokumenteras rent.

Inloggning fungerar, men användarregeln matchar inte

Då är captive portal förmodligen inte längre det enda problemet. Kontrollera källzon, källnätverk, användargrupp, regelposition och loggvisare. Ofta ligger en mer generell regel över användarregeln eller så kommer trafiken från ett annat nätverk än förväntat.

För Entra ID SSO via Captive Portal bör du också kontrollera om brandväggsregeln använder användarens primära grupp. Om endast en sekundär grupp finns i regeln kan inloggningen lyckas medan den faktiska Internet- eller målåtkomsten inte går igenom den förväntade användarregeln.

Endast enskilda användare påverkas

Jämför UPN, e-postadress, visningsnamn, gruppmedlemskap och importerad grupp. Med Entra ID SSO ska du inte anta att det synliga namnet och den tekniska identifieraren är identiska. Om e-postadress och UPN historiskt sett skiljer sig åt, uppstår lätt mappningsfel.

Vilka loggar hjälper?oauth_sso_captive.log är särskilt relevant för captive-portal med Entra ID SSO. Dessutom hjälper loggvisare med modulen Autentisering, access_server.log och, beroende på efterföljande problem, webb-, brandväggs- eller autentiseringsloggar. Tilldelningen av de viktigaste filerna finns i Sophos Firewall Felsökning: Tjänster och loggar.

Checklista

  • Användningsfallet för infångad portal är tydligt: BYOD, gäster, ohanterade enheter eller reserv.
  • FQDN och certifikat för captive-portalen är rena.
  • Microsoft Entra ID-app med Redirect URI, Client ID, Tenant ID och Client Secret är dokumenterad.
  • Microsoft Graph API-behörigheter och administratörssamtycke är inställda.
  • Tilldelningar av företagsappar kontrolleras om Uppdrag krävs är aktivt.
  • Client Secret har utgångsdatum, ägare och rotationsprocess.
  • Captive Portal Redirect URI togs över av brandväggen och matades in exakt i Entra ID.
  • Autentisering > Tjänster använder rätt Entra-server för Captive Portal.
  • Autentisering > Webbautentisering använder HTTPS och lämpliga webbläsarfönsterinställningar.
  • Administration > Enhetsåtkomst tillåter endast captive portal i nödvändiga zoner.
  • Microsofts inloggningsslutpunkter kan nås från klientnätverket.
  • Webbfiltrering och TLS-inspektion blockerar inte SSO-flödet.
  • MFA och Conditional Access planeras och testas i Microsoft Entra ID.
  • Entra-grupp och brandväggsgrupp matchar.
  • Captive portalregler med Entra ID SSO tar hänsyn till testanvändarens primära grupp.
  • Testanvändare kan logga in och sedan träffa den förväntade brandväggsregeln.
  • Loggvisaren visar användare, regel-ID och åtgärd.
  • oauth_sso_captive.log och access_server.log är kända för supportärenden.
  • Reserv för Entra- eller Portal-fel dokumenteras.

Vanliga frågor

Är Captive Portal med Entra ID SSO samma som Sophos Connect SSO?

Nej. Captive Portal autentiserar användare på det lokala nätverket via webbläsaren så att användarbaserade regler kan träda i kraft. Sophos Connect SSO är en del av Remote Access och VPN Portal.

Måste captive-portalen vara allmänt tillgänglig?

Nej. Captive Portal är vanligtvis avsedd för interna eller Wi-Fi-zoner. Tillgänglighet bör sättas så snävt som möjligt via Device Access.

Varför matchar inte användarregeln trots en lyckad inloggning?

Inloggningen bekräftar endast autentiseringen. Då måste källzonen, källnätverket, användargruppen, regelpositionen och faktisk trafik matcha regeln. För Entra ID SSO via Captive Portal bör du också kontrollera om regeln använder användarens primära grupp.

Vilken loggfil är viktig för Entra Captive Portal SSO?

oauth_sso_captive.log är viktigt för OAuth SSO-flödet för captive-portalen. Dessutom bör du kontrollera Log Viewer och access_server.log.

Kan du använda Entra ID och lokal AD-autentisering parallellt?

Beroende på design kan detta fungera, men det ökar risken för fel. Om samma användare autentiseras parallellt via Entra ID SSO och on-prem AD, bör sessioner, grupper och inloggningsvägar testas särskilt väl.