Kurz: Integrace jednotného přihlašování (SSO) microsoftu Entra se službou Check Point Remote Secure Access VPN

  • Článek

V tomto kurzu se dozvíte, jak integrovat vpn vzdáleného zabezpečeného přístupu Check Point s Microsoft Entra ID. Když integrujete vpn vzdáleného zabezpečeného přístupu Check Point s Microsoft Entra ID, můžete:

  • Řízení v Microsoft Entra ID, který má přístup k Check Point Remote Secure Access VPN.
  • Povolte uživatelům automatické přihlášení k síti VPN check Point Remote Secure Access pomocí svých účtů Microsoft Entra.
  • Spravujte účty v jednom centrálním umístění.

Požadavky

Abyste mohli začít, potřebujete následující položky:

  • Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
  • Předplatné s povoleným jednotným přihlašováním (SSO) vpn vzdáleného přístupu check Point.

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

  • Check Point Remote Secure Access VPN podporuje jednotné přihlašování iniciované aktualizací SP .

Pokud chcete nakonfigurovat integraci sítě VPN vzdáleného zabezpečeného přístupu Check Point do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat síť VPN vzdáleného zabezpečeného přístupu Check Point z galerie.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
  3. V části Přidat z galerie zadejte do vyhledávacího pole síť VPN vzdáleného zabezpečeného přístupu Check Point.
  4. Na panelu výsledků vyberte Check Point Remote Secure Access VPN a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro vpn vzdáleného zabezpečeného přístupu Check Point

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra pomocí sítě VPN vzdáleného zabezpečeného přístupu Check Point pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v síti VPN vzdáleného zabezpečeného přístupu check pointu.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování microsoftu Entra pomocí sítě VPN vzdáleného zabezpečeného přístupu Check Point, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.

    1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
    2. Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.

  2. Nakonfigurujte jednotné přihlašování k síti VPN vzdáleného zabezpečeného přístupu check pointu , abyste uživatelům umožnili používat tuto funkci.

    1. Vytvoření testovacího uživatele VPN vzdáleného zabezpečeného přístupu check pointu – aby měl protějšk B.Simon in Check Point Remote Secure Access VPN, který je propojený s reprezentací uživatele Microsoft Entra.

  3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Přejděte k podnikovým aplikacím>Identity>Applications>Check Point Remote Secure Access VPN>s jednotným přihlašováním.

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Edit Basic SAML Configuration

  5. V části Základní konfigurace SAML zadejte hodnoty pro následující pole:

    1. Do textového pole Identifikátor (ID entity) zadejte adresu URL pomocí následujícího vzoru: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>

    2. Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>

    3. Do textového pole Přihlásit se na adresu URL zadejte adresu URL pomocí následujícího vzoru: https://<GATEWAY_IP>/saml-vpn/

    Poznámka:

    Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem, adresou URL odpovědi a přihlašovací adresou URL. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory klienta VPN pro vzdálený zabezpečený přístup Check Point. Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML.

  6. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte XML federačních metadat a vyberte Stáhnout a stáhněte certifikát a uložte ho do počítače.

    The Certificate download link

  7. V části Nastavit check Point Remote Secure Access VPN zkopírujte odpovídající adresy URL podle vašeho požadavku.

    Copy configuration URLs

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

  1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
  2. Přejděte k identitě>Uživatelé>Všichni uživatelé.
  3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
  4. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Zobrazovaný název zadejte B.Simon.
    2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
    4. Vyberte Zkontrolovat a vytvořit.
  5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k síti VPN vzdáleného zabezpečeného přístupu Check Point.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte k podnikové aplikaci>Identity>Applications>Check Point Remote Secure Access VPN.
  3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
    1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
    2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
    3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace jednotného přihlašování VPN vzdáleného zabezpečeného přístupu check pointu

Konfigurace objektu profilu externího uživatele

Poznámka:

Tato část je nutná pouze v případě, že nechcete používat místní Active Directory (LDAP).

Konfigurace obecného profilu uživatele v panelu SmartDashboard starší verze:

  1. V aplikaci SmartConsole přejděte do okna Spravovat a Nastavení>.

  2. V části Mobilní přístup klikněte na Konfigurovat v smartDashboardu. Otevře se starší smartDashboard.

  3. V podokně Síťové objekty a klepněte na tlačítko Uživatelé.

  4. Klikněte pravým tlačítkem myši na prázdné místo a vyberte Možnost Nový > profil > externího uživatele Odpovídá všem uživatelům.

  5. Nakonfigurujte vlastnosti profilu externího uživatele:

    1. Na stránce Obecné vlastnosti:

      • V poli Název externího profilu uživatele ponechte výchozí název. generic*
      • V poli Datum vypršení platnosti nastavte příslušné datum.

    2. Na stránce Ověřování:

      • V rozevíracím seznamu Schéma ověřování vyberte undefined

    3. Na stránkách Umístění, Čas a Šifrování:

      • Konfigurace dalších použitelných nastavení

    4. Klikněte na OK.

  6. Na horním panelu nástrojů klikněte na Aktualizovat (nebo stiskněte Ctrl+S).

  7. Zavřete SmartDashboard.

  8. V smartConsole nainstalujte zásady řízení přístupu.

Konfigurace sítě VPN vzdáleného přístupu

  1. Otevřete objekt příslušné brány zabezpečení.

  2. Na stránce Obecné vlastnosti povolte okno software SÍTĚ VPN protokolu IPSec.

  3. V levém stromu klikněte na stránku VPN PROTOKOLU IPSec.

  4. V části Tato brána zabezpečení se účastní následujících komunit VPN, klikněte na Přidat a vyberte Komunitu vzdáleného přístupu.

  5. V levém stromu klikněte na vzdálený přístup klientů > VPN.

  6. Povolte režim návštěvníka podpory.

  7. V levém stromu klikněte na režim Office klientů > VPN.

  8. Vyberte Povolit režim Office a vyberte příslušnou metodu režimu Office.

  9. V levém stromu klikněte na portál SAML klientů > VPN Nastavení.

  10. Ujistěte se, že hlavní adresa URL obsahuje plně kvalifikovaný název domény brány. Tento název domény by měl končit příponou DNS registrovanou vaší organizací. Příklad: https://gateway1.company.com/saml-vpn

  11. Ujistěte se, že je certifikát důvěryhodný prohlížečem koncových uživatelů.

  12. Klikněte na OK.

Konfigurace objektu zprostředkovatele identity

  1. Pro každou bránu zabezpečení, která se účastní sítě VPN vzdáleného přístupu, proveďte následující kroky.

  2. V zobrazení Brány SmartConsole a servery klikněte na možnost Nový další >> zprostředkovatel identity uživatele nebo identity>.>

    screenshot for new Identity Provider.

  3. V okně Nového zprostředkovatele identity proveďte následující kroky.

    screenshot for Identity Provider section.

    a. V poli Brána vyberte bránu zabezpečení, která musí provést ověřování SAML.

    b. V poli Služba vyberte v rozevíracím seznamu síť VPN vzdáleného přístupu.

    c. Zkopírujte hodnotu Identifier(ID entity), vložte tuto hodnotu do textového pole Identifikátor v části Základní konfigurace SAML.

    d. Zkopírujte hodnotu adresy URL odpovědi, vložte tuto hodnotu do textového pole Adresa URL odpovědi v části Základní konfigurace SAML.

    e. Vyberte Importovat soubor metadat a nahrajte stažený kód XML federačních metadat.

    Poznámka:

    Alternativně můžete také vybrat vložit ručněhodnoty ID entity a přihlašovací adresy URL do odpovídajících polí a nahrát soubor certifikátu.

    f. Klikněte na OK.

Konfigurace zprostředkovatele identity jako metody ověřování

  1. Otevřete objekt příslušné brány zabezpečení.

  2. Na stránce Ověřování klientů > VPN:

    a. Zrušte zaškrtnutí políčka Povolit starším klientům připojení k této bráně.

    b. Přidejte nový objekt nebo upravte existující sféru.

    screenshot for to Add a new object.

  3. Zadejte jméno a zobrazované jméno a přidejte nebo upravte metodu ověřování: V případě, že se možnost přihlášení použije na GWs, kteří se účastní MEP, aby se umožnilo bezproblémové uživatelské prostředí, mělo by jméno začínat předponou SAMLVPN_ .

    screenshot about Login Option.

  4. Vyberte možnost Zprostředkovatel identity, klikněte na zelené + tlačítko a vyberte příslušný objekt zprostředkovatele identity.

    screenshot to select the applicable Identity Provider object.

  5. V okně Možnosti více přihlášení: V levém podokně klikněte na Adresáře uživatelů a pak vyberte Ruční konfigurace. Existují dvě možnosti:

    1. Pokud nechcete používat místní Active Directory (LDAP), vyberte pouze profily externích uživatelů a klikněte na tlačítko OK.
    2. Pokud chcete použít místní Active Directory (LDAP), vyberte pouze uživatele LDAP a v typu vyhledávání LDAP vyberte e-mail. Pak klikněte na OK.

    Screenshot of manual configuration.

  6. Nakonfigurujte požadovaná nastavení v databázi pro správu:

    1. Zavřete SmartConsole.

    2. Připojení pomocí nástroje GuiDBEdit na server pro správu (viz sk13009).

    3. V levém horním podokně přejděte na Upravit > síťové objekty.

    4. V pravém horním podokně vyberte objekt Security Gateway.

    5. V dolním podokně přejděte na realms_for_blades>vpn.

    6. Pokud nechcete použít místní Active Directory (LDAP), nastavte do_ldap_fetch na hodnotu false a do_generic_fetch na hodnotu true. Pak klikněte na OK. Pokud chcete použít místní Active Directory (LDAP), nastavte do_ldap_fetch na true a do_generic_fetch na false. Pak klikněte na OK.

    7. Opakujte kroky 4 až 6 pro všechny příslušné brány zabezpečení.

    8. Uložte všechny změny výběrem možnosti Uložit>vše.

  7. Zavřete nástroj GuiDBEdit.

  8. Každá brána zabezpečení a každé okno softwaru mají samostatná nastavení. Zkontrolujte nastavení v každé bráně zabezpečení a v každém okně softwaru, které používají ověřování (VPN, mobilní přístup a rozpoznávání identit).

    • Nezapomeňte vybrat možnost Uživatelé protokolu LDAP pouze pro okna softwaru, která používají protokol LDAP.

    • Nezapomeňte vybrat možnost Profily externích uživatelů pouze pro okna softwaru, která nepoužívají protokol LDAP.

  9. Na každou bránu zabezpečení nainstalujte zásady řízení přístupu.

Instalace a konfigurace klienta VPN RA

  1. Nainstalujte klienta VPN.

  2. Nastavte režim prohlížeče zprostředkovatele identity (volitelné).

    Ve výchozím nastavení používá klient Windows svůj vložený prohlížeč a klient macOS používá Safari k ověření na portálu zprostředkovatele identity. U klientů s Windows změňte toto chování tak, aby místo toho používal Internet Explorer:

    1. Na klientském počítači otevřete editor prostého textu jako Správa istrator.

    2. trac.defaults Otevřete soubor v textovém editoru.

      • V 32bitovém systému Windows:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • V 64bitovém systému Windows:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

    3. Změňte hodnotu atributu idp_browser_mode z embedded na IE.

    4. Uložte soubor.

    5. Restartujte klientskou službu VPN služby Check Point Endpoint Security.

    Otevřete příkazový řádek systému Windows jako Správa istrator a spusťte tyto příkazy:

    # net stop TracSrvWrapper

    # net start TracSrvWrapper

  3. Spusťte ověřování s prohlížečem běžícím na pozadí:

    1. Na klientském počítači otevřete editor prostého textu jako Správa istrator.

    2. trac.defaults Otevřete soubor v textovém editoru.

      • V 32bitovém systému Windows:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • V 64bitovém systému Windows:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • V systému macOS:

        /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults

    3. Změňte hodnotu idp_show_browser_primary_auth_flow na false.

    4. Uložte soubor.

    5. Restartujte klientskou službu VPN služby Check Point Endpoint Security.

      • Na klientech Windows otevřete příkazový řádek windows jako Správa istrator a spusťte tyto příkazy:

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • Na klientech macOS spusťte:

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Vytvoření testovacího uživatele VPN vzdáleného zabezpečeného přístupu check pointu

V této části vytvoříte uživatele s názvem Britta Simon ve službě Check Point Remote Secure Access VPN. Spolupracujte s týmem podpory VPN pro vzdálený zabezpečený přístup Check Point a přidejte uživatele na platformě VPN check Point Remote Secure Access. Uživatelé se musí vytvořit a aktivovat před použitím jednotného přihlašování.

Testování jednotného přihlašování

  1. Otevřete klienta VPN a klikněte na Připojení...

    screenshot for Connect to.

  2. V rozevíracím seznamu vyberte Web a klikněte na Připojení.

    screenshot for selecting site.

  3. V místní nabídce Přihlášení k Microsoft Entra se přihlaste pomocí přihlašovacích údajů Microsoft Entra, které jste vytvořili v části Vytvoření testovacího uživatele Microsoft Entra.

Další kroky

Jakmile nakonfigurujete síť VPN vzdáleného zabezpečeného přístupu Check Point, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.