FortiGateのキャプティブポータル認証について

FortiGateのキャプティブポータル認証（Captive Portal Authentication）は、ネットワークに接続してくるユーザーに対して、ブラウザ経由での認証ページを表示させる仕組みです。

これは、特に無線LANやゲストネットワーク、BYOD環境などでユーザーの本人確認を行いたい場合に非常に有効です。

キャプティブポータルとは

キャプティブポータルは、ユーザーがインターネットアクセスなどのネットワークリソースを利用する前に、Webブラウザ上で強制的にログインページ（認証画面）を表示する仕組みです。

• スタバやホテルなどのWi-Fiスポットで、ブラウザを開くとログイン画面が出る、あれがまさにキャプティブポータルです。
• FortiGateではこの機能をファイアウォール・ポリシーに組み込んで実現します。

FortiGateのキャプティブポータル認証の仕組み

1. ユーザーがネットワークにアクセスしようとする
2. ファイアウォールポリシーで認証が必要と判断される
3. FortiGateが自動的にWebブラウザにリダイレクト（302）
4. ログインページ（FortiGateの内蔵Webサーバ）を表示
5. ユーザーがID・パスワードを入力
6. 認証成功後に、設定されたアクセス権限でネットワーク利用が可能に

主な認証方式

FortiGateのキャプティブポータルでは、以下の認証方式が利用可能です。

設定方法（概要）

ユーザーの作成

• ローカルユーザーを作る場合
  • GUI: User & Authentication > User Definition
  • CLI: config user local edit "testuser" set password "password123" next end

ユーザーグループの作成

• 認証に使うユーザーグループを作成し、ユーザーを追加。

ポリシーの作成

• Policy & Objects > IPv4 Policy で新しいポリシーを作成。
  • ソースインターフェース：例）internal
  • デスティネーションインターフェース：例）wan1
  • 「認証を要求する」オプションを有効に
  • ユーザーグループを選択

キャプティブポータルの動作確認

• クライアントPCからWebにアクセスしようとすると、ブラウザにログイン画面が表示されます。

応用機能

ポータルページのカスタマイズ

• FortiGateの標準ログインページはカスタマイズ可能。
• ロゴ、背景画像、テキスト、利用規約リンクなどを変更可能。
• GUI: System > Replacement Messages > Authentication

セッション制御

• 一度ログインしたユーザーに対して、タイムアウト時間（Idle Timeout）や最大セッション時間（Hard Timeout）の設定も可能。

バイパス例外設定

• プリンタや監視カメラなど、認証させたくない機器にはIPアドレスで例外設定を行うこともできます。

注意点

活用シーン

• ゲストWi-Fiへのログイン制御
• BYOD環境のユーザー認証
• オフィスネットワークでの部門別アクセス制御
• 社外ユーザーへの一時的なアクセス許可

まとめ

FortiGateのキャプティブポータルは、手軽で視覚的なユーザー認証を提供するセキュリティ機能です。

適切に構成することで、ゲストや社外ユーザー、BYODデバイスを安全にネットワークへ参加させることが可能です。

設定はGUIベースでも容易に行えますが、複雑な連携（例：LDAP＋SSOなど）を行う際にはCLIや外部サーバとの接続設定も理解しておくとよいでしょう。

以上、FortiGateのキャプティブポータル認証についてでした。

最後までお読みいただき、ありがとうございました。