Active Directory SSO für Cloud-verwaltete Fireboxen aktivieren

Gilt für: Cloud-verwaltete Fireboxen

In diesem Hilfethema wird beschrieben, wie Sie Active Directory Single Sign-On (SSO) für Cloud-verwaltete Fireboxen aktivieren. Weitere Informationen zum Konfigurieren und Aktivieren von Active Directory SSO für lokal verwaltete Fireboxen finden Sie unter Aktivieren von Active Directory SSO auf der Firebox.

Wenn Sie WatchGuard Active Directory Single Sign-On (SSO) konfigurieren, geben Benutzer in den vertrauenswürdigen oder optionalen Netzwerken einmalig ihre Benutzerzugangsdaten an (wenn sie sich an ihren Computern anmelden) und werden automatisch an Ihrer Firebox authentifiziert.

SSO-Komponenten:

SSO Agent

Sie müssen den SSO Agent in Ihrem Netzwerk installieren, um die Anmeldeinformationen der Benutzer zu sammeln und diese Informationen an die Fireboxen weiterzuleiten. Der SSO Agent kann die Anmeldedaten der Benutzer vom SSO Client, dem Event Log Monitor und dem Exchange Monitor sammeln.

SSO Client

Sie können den SSO Client auf Windows- und macOS-Computern in Ihrem Netzwerk installieren. Der SSO Client läuft im Hintergrund, um Benutzerzugangsdaten, Domäneninformationen und Gruppeninformationen zu sammeln und dem SSO Agent zur Verfügung zu stellen.

Event Log Monitor (ELM)

Sie können den Event Log Monitor auf einem Server in jeder Netzwerkdomäne installieren, um Benutzeranmeldeinformationen aus den Windows-Sicherheitsereignisprotokolldateien von Domänen-Windows-Computern zu sammeln, auf denen der SSO Client nicht installiert ist.

Bevor Sie beginnen

Bevor Sie Active Directory SSO aktivieren, empfehlen wir, dass Sie:

Konfigurieren Sie Ihren Active Directory-Server.
Fügen Sie Ihre Domäne als Authentifizierungsdomäne zu WatchGuard Cloud hinzu.
Fügen Sie die WatchGuard Cloud-Authentifizierungsdomäne zu Ihrer Firebox hinzu.
Installieren Sie den WatchGuard Einmaliges Anmelden (Single Sign-On, SSO) Agent und Event Log Monitor.
(Optional) Installieren Sie den Active Directory SSO Client von WatchGuard.
(Optional) Installieren Sie den Active Directory SSO Exchange Monitor von WatchGuard.

SSO aktivieren und konfigurieren

Wenn Sie die Einstellungen für SSO auf Ihrer Firebox aktivieren und konfigurieren, müssen Sie die IP-Adresse des SSO Agenten angeben. In WatchGuard Cloud können Sie bis zu vier SSO-Agenten angeben. Es ist jeweils nur ein SSO Agent aktiv. Wenn der aktive SSO Agent nicht mehr verfügbar ist, schaltet die Firebox automatisch auf den nächsten SSO Agent in Ihrer Konfiguration um.

Um SSO zu aktivieren und zu konfigurieren, gehen Sie zu WatchGuard Cloud:

Wählen Sie Konfigurieren > Geräte.
Wählen Sie die Cloud-verwaltete Firebox aus.
Klicken Sie auf Gerätekonfiguration.
Klicken Sie auf der Kachel Authentifizierung auf Einstellungen.
Wählen Sie Single Sign-On.
Aktivieren Sie Single Sign-On mit Active Directory.
Klicken Sie auf Agent hinzufügen.
Das Fenster Agent hinzufügen wird geöffnet.
Wählen Sie aus der Dropdown-Liste Typ eine Option, um die IP-Adresse Host IPv4 oder Host IPv6 zu nutzen.
Geben Sie in das Textfeld Host IPv4 oder Host IPv6 die IP-Adresse des Servers ein, auf dem der SSO Agent installiert ist.
Klicken Sie auf Hinzufügen.
(Optional) Um weitere SSO Agents hinzuzufügen, wiederholen Sie die Schritte 7-9. Sie können bis zu vier SSO Agents hinzufügen.
(Optional) Um IP-Adressen oder Bereiche hinzuzufügen, die von SSO-Abfragen ausgeschlossen werden sollen, klicken Sie auf Ausnahme hinzufügen. Weitere Informationen über SSO-Ausnahmen finden Sie im Abschnitt SSO-Ausnahmen definieren .
(Optional) Um Benutzern, die über einen BOVPN-Tunnel eine Verbindung zu Ihrem Netzwerk herstellen, die Verwendung von SSO zu ermöglichen, aktivieren Sie das Kontrollkästchen Single Sign-On über BOVPN-Tunnel aktivieren.
Klicken Sie auf Speichern.

Wenn Sie Konfigurationsänderungen für eine Cloud-verwaltete Firebox speichern, werden die Konfigurationseinstellungen in WatchGuard Cloud gespeichert. Ihre Änderungen werden erst wirksam, wenn Sie Ihre Konfiguration bereitstellen.

Bezüglich der Planung für eine Bereitstellung Ihrer gespeicherten Änderungen siehe Bereitstellung von Gerätekonfigurationen verwalten.

SSO-Ausnahmen definieren

Sie können IP-Adressen (oder Bereiche) zur Liste SSO-Ausnahmen hinzufügen, um sie von SSO-Abfragen auszunehmen. Wir empfehlen, dass Sie in diesen Szenarien SSO-Ausnahmen hinzufügen:

Ihr Netzwerk umfasst Geräte mit IP-Adressen, die keine Authentifizierung erfordern, z. B. Netzwerkserver, Switches und Router, Druckserver oder Computer, die nicht Teil der Domäne sind
Sie haben Benutzer in Ihrem internen Netzwerk, die sich manuell beim Authentifizierungsportal authentifizieren müssen
Sie haben Terminalserver für den Terminal Services Agent

Jedes Mal, wenn ein Verbindungsversuch von einer IP-Adresse erfolgt, die nicht in der Liste SSO-Ausnahmen aufgeführt ist, kontaktiert die Firebox den SSO Agent, um zu versuchen, die IP-Adresse mit einem Benutzernamen zu verbinden. Dies dauert über 10 Sekunden. Sie können die Liste SSO-Ausnahmen verwenden, um diese Verzögerung für jede Verbindung zu verhindern, um unnötigen Datenverkehr im Netzwerk zu reduzieren und um es Benutzern zu ermöglichen, sich zu authentifizieren und ohne Verzögerung mit Ihrem Netzwerk zu verbinden.

Wenn Sie einen Eintrag zur Liste SSO-Ausnahmen hinzufügen, können Sie eine Host-IP-Adresse, eine Netzwerk-IP-Adresse oder einen Host-Bereich auswählen.

Hinzufügen eines Eintrags zur Liste SSO-Ausnahmen in WatchGuard Cloud:

Wählen Sie Konfigurieren > Geräte.
Wählen Sie die Cloud-verwaltete Firebox aus.
Klicken Sie auf Gerätekonfiguration.
Klicken Sie auf der Kachel Authentifizierung auf Einstellungen.
Wählen Sie Single Sign-On.
Klicken Sie auf Ausnahme hinzufügen.
Das Fenster Ausnahme hinzufügen wird geöffnet.
Wählen Sie in der Dropdown-Liste Typ den Typ des Eintrags aus, der zur Liste SSO-Ausnahmen hinzugefügt werden soll:
- Host IPv4
- Netzwerk IPv4
- Host-Bereich IPv4
- Host IPv6
- Netzwerk IPv6
- Host-Bereich IPv6
Geben Sie die IP-Adresse, die Netzwerkadresse oder den Host-Bereich ein.
Geben Sie in das Textfeld Beschreibung eine Beschreibung des Hosts ein, für den Sie eine Ausnahme von SSO erstellen möchten.
Klicken Sie auf Hinzufügen.
Klicken Sie auf Speichern.

Sie können auch Einträge in der Liste SSO-Ausnahmen bearbeiten oder entfernen.

So bearbeiten Sie einen Eintrag in der Liste SSO-Ausnahmen:

Wählen Sie in der Liste SSO-Ausnahmen einen Eintrag aus.
Das Fenster Ausnahmen aktualisieren wird geöffnet.
Ändern Sie die Einstellungen für die SSO-Ausnahme.
Klicken Sie auf Aktualisieren.
Der aktualisierte Eintrag erscheint in der Liste SSO-Ausnahmen.
Klicken Sie auf Speichern.

So entfernen Sie einen Eintrag aus der Liste SSO-Ausnahmen:

Klicken Sie in der Liste SSO-Ausnahmen neben der Ausnahme auf .
Klicken Sie auf Speichern.

Siehe auch

Aktivieren von RADIUS SSO für eine Cloud-verwaltete Firebox

Über Single Sign-On (SSO) mit Active Directory

Wie Active Directory SSO funktioniert

Aktivieren von Active Directory SSO auf der Firebox

Installieren Sie den Active Directory SSO-Client von WatchGuard

© 2025 WatchGuard Technologies, Inc. Alle Rechte vorbehalten. WatchGuard und das WatchGuard-Logo sind eingetragene Marken oder Marken von WatchGuard Technologies in den Vereinigten Staaten und anderen Ländern. Sonstige Marken sind das Eigentum ihrer jeweiligen Inhaber.