Tutorial: Integrasi akses menyeluruh (SSO) Microsoft Entra dengan Check Point Remote Secure Access VPN

  • Artikel

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan CHECK Point Remote Secure Access VPN dengan MICROSOFT Entra ID. Saat mengintegrasikan Check Point Remote Secure Access VPN dengan MICROSOFT Entra ID, Anda dapat:

  • Kontrol ID Microsoft Entra yang memiliki akses ke CHECK Point Remote Secure Access VPN.
  • Memungkinkan pengguna Anda untuk masuk secara otomatis ke Check Point Remote Secure Access VPN dengan akun Microsoft Entra mereka.
  • Kelola akun Anda di satu lokasi pusat.

Prasyarat

Untuk memulai, Anda membutuhkan item berikut:

  • Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
  • Langganan Check Point Remote Secure Access VPN dengan akses menyeluruh (SSO) yang diaktifkan.

Deskripsi Skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.

  • Check Point Remote Secure Access VPN mendukung SSO yang diinisiasi SP.

Untuk mengonfigurasi integrasi Check Point Remote Secure Access VPN ke MICROSOFT Entra ID, Anda perlu menambahkan Check Point Remote Secure Access VPN dari galeri ke daftar aplikasi SaaS terkelola Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
  3. Di bagian Tambahkan dari galeri, ketikkan Check Point Remote Secure Access VPN di kotak pencarian.
  4. Pilih Check Point Remote Secure Access VPN dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji SSO Microsoft Entra untuk Check Point Remote Secure Access VPN

Konfigurasikan dan uji SSO Microsoft Entra dengan Check Point Remote Secure Access VPN menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di Check Point Remote Secure Access VPN.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan Check Point Remote Secure Access VPN, lakukan langkah-langkah berikut:

  1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.

    1. Buat pengguna uji Microsoft Entra - untuk menguji akses menyeluruh Microsoft Entra dengan B.Simon.
    2. Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan B.Simon untuk menggunakan akses menyeluruh Microsoft Entra.

  2. Konfigurasikan SSO Check Point Remote Secure Access VPN - untuk memungkinkan pengguna Anda menggunakan fitur ini.

    1. Buat pengguna uji CHECK Point Remote Secure Access VPN - untuk memiliki mitra B.Simon di Check Point Remote Secure Access VPN yang ditautkan ke representasi Microsoft Entra pengguna.

  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Entra

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi >Identity>Applications>Enterprise Check Point Remote Secure Access VPN>Akses akses menyeluruh.

  3. Di halaman Pilih metode akses menyeluruh, pilih SAML.

  4. Di halaman Menyiapkan akses menyeluruh dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

    Edit Basic SAML Configuration

  5. Di bagian Konfigurasi SAML Dasar, masukkan nilai untuk bidang berikut:

    1. Di kotak teks Pengidentifikasi (ID Entitas), ketik URL menggunakan pola berikut: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>

    2. Dalam kotak teks URL Balasan, ketik URL menggunakan pola berikut: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>

    3. Di kotak teksURL Masuk, ketik URL menggunakan pola berikut: https://<GATEWAY_IP>/saml-vpn/

    Catatan

    Nilai-nilai ini tidak nyata. Perbarui nilai ini dengan Pengidentifikasi, URL Balasan, dan URL Masuk yang sebenarnya. Hubungi Tim dukungan Check Point Remote Secure Access VPN Client untuk mendapatkan nilai ini. Anda juga dapat merujuk ke pola yang ditampilkan di bagian Konfigurasi SAML Dasar.

  6. Di halaman Siapkan akses menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, cari Federation Metadata XML lalu pilih Unduh untuk mengunduh sertifikat dan menyimpannya pada komputer Anda.

    The Certificate download link

  7. Pada bagian Siapkan Check Point Remote Secure Access VPN, salin URL yang sesuai berdasarkan kebutuhan Anda.

    Copy configuration URLs

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda akan membuat pengguna uji bernama B.Simon.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
  2. Telusuri ke Pengguna>Identitas>Semua pengguna.
  3. Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
  4. Di properti Pengguna, ikuti langkah-langkah berikut:
    1. Di bidang Nama tampilan, masukkan B.Simon.
    2. Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya:B.Simon@contoso.com
    3. Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
    4. Pilih Tinjau + buat.
  5. Pilih Buat.

Menetapkan pengguna uji Microsoft Entra

Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh dengan memberikan akses ke Check Point Remote Secure Access VPN.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Perusahaan Aplikasi>>Identitas>Check Point Remote Secure Access VPN.
  3. Di halaman gambaran umum aplikasi, pilih Pengguna dan grup.
  4. Pilih Tambahkan pengguna/grup, kemudian pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
    1. Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
    2. Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" yang dipilih.
    3. Dalam dialog Tambah Penugasan, klik tombol Tetapkan.

Mengonfigurasi SSO Check Point Remote Secure Access VPN

Mengonfigurasi objek Profil Pengguna Eksternal

Catatan

Bagian ini hanya diperlukan jika Anda tidak ingin menggunakan Direktori Aktif lokal (LDAP).

Mengonfigurasi profil pengguna generik di Legacy SmartDashboard:

  1. Di SmartConsole, buka Kelola & Pengaturan > Bilah.

  2. Di bagian Akses Seluler, klik Konfigurasikan di SmartDashboard. Legacy SmartDashboard terbuka.

  3. Di panel Objek Jaringan, dan klik Pengguna.

  4. Klik kanan pada ruang kosong dan pilih Baru > Profil Pengguna Eksternal > Cocokkan semua pengguna.

  5. Mengonfigurasi properti Profil Pengguna Eksternal:

    1. Pada halaman Properti Umum :

      • Di bidang nama Profil Pengguna Eksternal, tinggalkan nama default generic*
      • Di bidang Tanggal Kedaluwarsa, atur tanggal yang berlaku

    2. Pada halaman Autentikasi:

      • Dari daftar drop-down Skema Autentikasi, pilih undefined

    3. Pada halaman Lokasi, Waktu, dan Enkripsi:

      • Mengonfigurasi pengaturan lain yang berlaku

    4. Klik OK.

  6. Dari toolbar atas, klik Perbarui (atau tekan Ctrl + S).

  7. Tutup SmartDashboard.

  8. Di SmartConsole, instal Kebijakan Kontrol Akses.

Mengonfigurasi VPN Akses Jarak Jauh

  1. Buka objek Gateway Keamanan yang berlaku.

  2. Pada halaman Properti Umum, aktifkan Bilah Perangkat Lunak IPSec VPN.

  3. Dari pohon kiri, klik halaman IPSec VPN.

  4. Di bagian Gateway Keamanan ini berpartisipasi dalam komunitas VPN berikut ini, klik Tambahkan dan pilih Komunitas Akses Jarak Jauh.

  5. Dari pohon sebelah kiri, klik klien VPN > Akses Jarak Jauh.

  6. Aktifkan Mode Dukungan Pengunjung.

  7. Dari pohon sebelah kiri, klik klien VPN > Mode Office.

  8. Pilih Perbolehkan Mode Office dan pilih Metode Mode Office yang berlaku.

  9. Dari hierarki kiri, klik Klien VPN > Pengaturan Portal SAML.

  10. Pastikan URL Utama berisi nama domain gateway yang sepenuhnya memenuhi syarat. Nama domain ini harus diakhiri dengan akhiran DNS yang didaftarkan oleh organisasi Anda. Misalnya: https://gateway1.company.com/saml-vpn

  11. Pastikan sertifikat dipercaya oleh browser pengguna akhir.

  12. Klik OK.

Mengonfigurasi objek Penyedia Identitas

  1. Lakukan langkah-langkah berikut untuk setiap Gateway Keamanan yang berpartisipasi dalam Remote Access VPN.

  2. Dalam tampilan Gateway & Server SmartConsole>, klik IdP Pengguna/Identitas > Baru > Lainnya>.

    screenshot for new Identity Provider.

  3. Lakukan langkah-langkah berikut di jendela Tambahkan Penyedia Identitas.

    screenshot for Identity Provider section.

    a. Di bidang Gateway, pilih Gateway Keamanan, yang perlu melakukan autentikasi SAML.

    b. Di bidang Layanan, pilih VPN Akses Jarak Jauh dari menu drop-down.

    c. Salin nilai Pengidentifikasi(ID Entitas) , tempelkan nilai ini ke dalam kotak teks Pengidentifikasi di bagian Konfigurasi SAML Dasar.

    d. Salin nilai URL Balasan, tempelkan nilai ini ke dalam kotak teks URL Balasan di bagian Konfigurasi SAML Dasar.

    e. Pilih Impor File Metadata untuk mengunggah XML Metadata Federasi yang diunduh.

    Catatan

    Atau Anda juga dapat memilih Sisipkan Secara Manual untuk menempelkan nilai ID Entitas dan URL Masuk secara manual ke bidang yang sesuai, dan untuk mengunggah File Sertifikat.

    f. Klik OK.

Mengonfigurasi Penyedia Identitas sebagai metode autentikasi

  1. Buka objek Gateway Keamanan yang berlaku.

  2. Pada halaman Klien VPN > Autentikasi:

    a. Kosongkan kotak centang Perbolehkan klien yang lebih lama tersambung ke gateway ini.

    b. Menambahkan objek baru atau mengedit ranah yang sudah ada.

    screenshot for to Add a new object.

  3. Masukkan nama dan nama tampilan, dan tambahkan/edit metode autentikasi: Jika Opsi Masuk akan digunakan pada GW yang berpartisipasi dalam MEP, untuk memungkinkan pengalaman pengguna yang lancar, Nama harus dimulai dengan SAMLVPN_ awalan.

    screenshot about Login Option.

  4. Pilih opsi Penyedia Identitas, klik tombol hijau + dan pilih objek Penyedia Identitas yang berlaku.

    screenshot to select the applicable Identity Provider object.

  5. Di jendela Opsi Logon Jamak: Dari panel kiri, klik Direktori Pengguna lalu pilih Konfigurasi manual. Ada dua opsi:

    1. Jika Anda tidak ingin menggunakan Direktori Aktif lokal (LDAP), pilih hanya Profil Pengguna Eksternal dan klik OK.
    2. Jika Anda ingin menggunakan Active Directory (LDAP) lokal, pilih hanya pengguna LDAP dan di Tipe Pencarian LDAP pilih email. Lalu klik OK.

    Screenshot of manual configuration.

  6. Mengonfigurasi pengaturan yang diperlukan dalam database manajemen:

    1. Tutup SmartConsole.

    2. Terhubung dengan Alat Bantu GuiDBEdit ke Server Manajemen (lihat sk13009).

    3. Di panel kiri atas, buka Edit > Objek Jaringan.

    4. Di panel kanan atas, pilih Objek Gateway Keamanan.

    5. Di panel bawah, buka realms_for_blades>vpn.

    6. Jika Anda tidak ingin menggunakan Direktori Aktif (LDAP) lokal, atur do_ldap_fetch ke false dan do_generic_fetch ke true. Lalu klik OK. Jika Anda tidak ingin menggunakan Direktori Aktif (LDAP) lokal, atur do_ldap_fetch ke true dan do_generic_fetch ke false. Lalu klik OK.

    7. Ulangi langkah 4 hingga 6 untuk semua Gateway Keamanan yang berlaku.

    8. Simpan semua perubahan dengan memilih File>Simpan Semua.

  7. Tutup Alat Bantu GuiDBEdit.

  8. Setiap Gateway Keamanan dan setiap Bilah Perangkat Lunak memiliki pengaturan terpisah. Tinjau pengaturan di setiap Gateway Keamanan dan setiap Bilah Perangkat Lunak yang menggunakan autentikasi (VPN, Akses Seluler, dan Kesadaran Identitas).

    • Pastikan untuk memilih opsi pengguna LDAP hanya untuk Bilah Perangkat Lunak yang menggunakan LDAP.

    • Pastikan untuk memilih opsi Profil pengguna eksternal hanya untuk Bilah Perangkat Lunak yang tidak menggunakan LDAP.

  9. Instal Kebijakan Kontrol Akses pada setiap Gateway Keamanan.

Instalasi dan konfigurasi Klien VPN RA

  1. Instal klien VPN.

  2. Atur mode browser Penyedia Identitas (opsional).

    Secara default, klien Windows menggunakan browser yang disematkan dan klien macOS menggunakan Safari untuk mengautentikasi portal Penyedia Identitas. Untuk klien Windows, ubah perilaku ini untuk menggunakan Internet Explorer sebagai gantinya:

    1. Pada komputer klien, buka editor teks biasa sebagai Administrator.

    2. Buka file trac.defaults di editor teks.

      • Pada Windows 32-bit:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • Pada Windows 64-bit:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

    3. Ubah nilai atribut idp_browser_mode dari embedded ke IE.

    4. Simpan file.

    5. Mulai ulang layanan klien Check Point Endpoint Security VPN.

    Buka Prompt Perintah Windows sebagai Administrator dan jalankan perintah ini:

    # net stop TracSrvWrapper

    # net start TracSrvWrapper

  3. Mulai autentikasi dengan browser yang berjalan di latar belakang:

    1. Pada komputer klien, buka editor teks biasa sebagai Administrator.

    2. Buka file trac.defaults di editor teks.

      • Pada Windows 32-bit:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • Pada Windows 64-bit:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • Di macOS:

        /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults

    3. Ubah nilai idp_show_browser_primary_auth_flow menjadi false.

    4. Simpan file.

    5. Mulai ulang layanan klien Check Point Endpoint Security VPN.

      • Di klien Windows, buka Perintah Windows sebagai Admin dan jalankan perintah ini:

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • Di klien macOS, jalankan:

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Membuat pengguna uji Check Point Remote Secure Access VPN

Di bagian ini, Anda akan membuat pengguna bernama Britta Simon di Check Point Secure Access VPN. Bekerja dengan Tim dukungan Check Point Remote Secure Access VPN untuk menambahkan pengguna di platform Check Point Remote Secure Access VPN. Pengguna harus dibuat dan diaktifkan sebelum Anda menggunakan akses menyeluruh.

Menguji akses menyeluruh

  1. Buka klien VPN dan klik Sambungkan ke....

    screenshot for Connect to.

  2. Pilih Situs dari menu drop-down dan klik Sambungkan.

    screenshot for selecting site.

  3. Di pop up masuk Microsoft Entra, masuk menggunakan kredensial Microsoft Entra yang telah Anda buat di bagian Buat pengguna uji Microsoft Entra.

Langkah berikutnya

Setelah mengonfigurasi Check Point Remote Secure Access VPN, Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real-time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.