Tutorial: Integrasi akses menyeluruh (SSO) Azure Active Directory dengan Check Point Remote Secure Access VPN | Microsoft Docs

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan Check Point Remote Secure Access VPN dengan Azure Active Directory (Azure AD). Saat Anda mengintegrasikan Check Point Remote Secure Access VPN dengan Azure AD, Anda dapat:

  • Mengontrol dari Azure AD siapa yang memiliki akses ke Check Point Remote Secure Access VPN.
  • Mengaktifkan pengguna Anda agar bisa masuk secara otomatis ke Check Point Remote Secure Access VPN dengan akun Azure AD mereka.
  • Mengelola akun di satu lokasi pusat - portal Azure.

Prasyarat

Untuk memulai, Anda memerlukan item berikut:

  • Langganan Microsoft Azure AD. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
  • Langganan Check Point Remote Secure Access VPN dengan akses menyeluruh (SSO) yang diaktifkan.

Deskripsi skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji SSO Microsoft Azure AD di lingkungan pengujian.

  • Check Point Remote Secure Access VPN mendukung SSO yang diinisiasi SP.

Untuk mengonfigurasi integrasi Check Point Remote Secure Access VPN ke Azure AD, Anda perlu menambahkan Check Point Remote Secure Access VPN dari galeri ke daftar aplikasi SaaS terkelola Anda.

  1. Masuk ke portal Azure menggunakan akun kerja atau sekolah, atau akun Microsoft pribadi.
  2. Di panel navigasi sebelah kiri, pilih layanan Azure Active Directory.
  3. Arahkan ke Aplikasi Enterprise lalu pilih Semua Aplikasi.
  4. Untuk menambahkan aplikasi baru, pilih Aplikasi baru.
  5. Di bagian Tambahkan dari galeri, ketikkan Check Point Remote Secure Access VPN di kotak pencarian.
  6. Pilih Check Point Remote Secure Access VPN dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Mengonfigurasi dan menguji SSO Azure AD untuk Check Point Remote Secure Access VPN

Mengonfigurasikan dan menguji SSO Azure AD dengan Check Point Remote Secure Access VPN menggunakan pengguna uji yang bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Azure AD dan pengguna terkait di Check Point Remote Secure Access VPN.

Untuk mengonfigurasi dan menguji SSO Azure AD dengan Check Point Remote Secure Access VPN, lakukan langkah-langkah berikut:

  1. Konfigurasikan SSO Azure AD - agar pengguna dapat menggunakan fitur ini.

    1. Buat pengguna uji coba Azure AD - untuk menguji akses menyeluruh Azure AD dengan B.Simon.
    2. Tetapkan pengguna uji coba Azure AD - agar B.Simon dapat menggunakan akses menyeluruh Azure AD.
  2. Konfigurasikan SSO Check Point Remote Secure Access VPN - untuk memungkinkan pengguna Anda menggunakan fitur ini.

    1. Buat pengguna uji Check Point Remote Secure Access VPN - untuk menyiapkan rekan B.Simon di Check Point Remote Secure Access VPN yang ditautkan ke representasi Azure AD pengguna.
  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasikan SSO Azure AD

Ikuti langkah berikut untuk mengaktifkan SSO Microsoft Azure AD di portal Microsoft Azure.

  1. Di portal Microsoft Azure, pada halaman integrasi aplikasi Check Point Remote Secure Access VPN, temukan bagian Kelola dan pilih SSO.

  2. Pada halaman Memilih metode akses menyeluruh, pilih SAML.

  3. Pada halaman Menyiapkan akses menyeluruh dengan SAML , klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

    Edit Konfigurasi SAML Dasar

  4. Pada bagian Konfigurasi SAML Dasar, masukkan nilai untuk bidang berikut:

    a. Di kotak teks Pengidentifikasi (ID Entitas) , ketik URL menggunakan pola berikut: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>

    b. Di kotak teks URL Balasan, ketik URL menggunakan pola berikut: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>

    c. Di kotak teks URL Masuk, ketik URL menggunakan pola berikut: https://<GATEWAY_IP>/saml-vpn/

    Catatan

    Nilai-nilai ini tidak nyata. Perbarui nilai ini dengan pengidentifikasi aktual, URL balasan, dan URL masuk. Hubungi Tim dukungan Check Point Remote Secure Access VPN Client untuk mendapatkan nilai ini. Anda juga dapat merujuk pada pola-pola yang ditampilkan di bagian Konfigurasi SAML Dasar pada portal Microsoft Azure.

  5. Pada halaman Menyiapkan akses menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, temukan Federation Metadata XML, lalu pilih Unduh untuk mengunduh sertifikat dan menyimpannya di komputer Anda.

    Tautan pengunduhan Sertifikat

  6. Pada bagian Siapkan Check Point Remote Secure Access VPN, salin URL yang sesuai berdasarkan kebutuhan Anda.

    Menyalin URL konfigurasi

Membuat pengguna uji coba Microsoft Azure AD

Di bagian ini, Anda akan membuat pengguna penguji di portal Microsoft Azure dengan nama B.Simon.

  1. Dari panel sebelah kiri di portal Microsoft Azure, pilih Azure Active Directory, pilih Pengguna, lalu pilih Semua pengguna.
  2. Pilih Pengguna baru di bagian atas layar.
  3. Di properti Pengguna, ikuti langkah berikut ini:
    1. Di bidang Nama, masukkan B.Simon.
    2. Di bidang Nama pengguna, masukkan username@companydomain.extension. Contohnya,B.Simon@contoso.com.
    3. Pilih kotak centang Tampilkan kata sandi, lalu tuliskan nilai yang ditampilkan di kotak Kata Sandi.
    4. Klik Buat.

Menetapkan pengguna uji coba Microsoft Azure AD

Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh Azure dengan memberikan akses ke Check Point Remote Secure Access VPN.

  1. Di portal Microsoft Azure, pilih Aplikasi Perusahaan, lalu pilih Semua aplikasi.
  2. Dalam daftar aplikasi, pilih Check Point Remote Secure Access VPN.
  3. Di halaman gambaran umum aplikasi, temukan bagian Kelola lalu pilih Pengguna dan grup.
  4. Pilih Tambahkan pengguna, lalu pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
  5. Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
  6. Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari daftar menurun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" dipilih.
  7. Dalam dialog Tambahkan Penugasan, klik tombol Tetapkan.

Mengonfigurasi SSO Check Point Remote Secure Access VPN

Mengonfigurasi objek Profil Pengguna Eksternal

Catatan

Bagian ini hanya diperlukan jika Anda tidak ingin menggunakan Direktori Aktif lokal (LDAP).

Mengonfigurasi profil pengguna generik di Legacy SmartDashboard:

  1. Di SmartConsole, buka Mengelola & Pengaturan > Blades.

  2. Di bagian Akses Seluler, klik Konfigurasikan di SmartDashboard. Legacy SmartDashboard terbuka.

  3. Di panel Objek Jaringan, dan klik Pengguna.

  4. Klik kanan pada ruang kosong dan pilih Baru > Profil Pengguna Eksternal > Cocokkan semua pengguna.

  5. Mengonfigurasi properti Profil Pengguna Eksternal:

    1. Pada halaman Properti Umum :

      • Di bidang nama Profil Pengguna Eksternal, tinggalkan nama default generic*
      • Di bidang Tanggal Kedaluwarsa, atur tanggal yang berlaku
    2. Pada halaman Autentikasi:

      • Dari daftar drop-down Skema Autentikasi, pilih undefined
    3. Pada halaman Lokasi, Waktu, dan Enkripsi:

      • Mengonfigurasi pengaturan lain yang berlaku
    4. Klik OK.

  6. Dari toolbar atas, klik Perbarui (atau tekan Ctrl + S).

  7. Tutup SmartDashboard.

  8. Di SmartConsole, instal Kebijakan Kontrol Akses.

Mengonfigurasi VPN Akses Jarak Jauh

  1. Buka objek Gateway Keamanan yang berlaku.

  2. Pada halaman Properti Umum, aktifkan Bilah Perangkat Lunak IPSec VPN.

  3. Dari pohon kiri, klik halaman IPSec VPN.

  4. Di bagian Gateway Keamanan ini berpartisipasi dalam komunitas VPN berikut ini, klik Tambahkan dan pilih Komunitas Akses Jarak Jauh.

  5. Dari pohon kiri, klik Klien VPN > Akses Jarak Jauh.

  6. Aktifkan Mode Dukungan Pengunjung.

  7. Dari pohon kiri, klik Klien VPN > Mode Office.

  8. Pilih Perbolehkan Mode Office dan pilih Metode Mode Office yang berlaku.

  9. Dari pohon kiri, klik Klien VPN > Pengaturan Portal SAML.

  10. Pastikan URL Utama berisi nama domain gateway yang sepenuhnya memenuhi syarat. Nama domain ini harus diakhiri dengan akhiran DNS yang didaftarkan oleh organisasi Anda. Misalnya: https://gateway1.company.com/saml-vpn

  11. Pastikan sertifikat dipercaya oleh browser pengguna akhir.

  12. Klik OK.

Mengonfigurasi objek Penyedia Identitas

  1. Lakukan langkah-langkah berikut untuk setiap Gateway Keamanan yang berpartisipasi dalam Remote Access VPN.

  2. Di tampilan SmartConsole > Gateways & Server, klik Baru > Lainnya > Pengguna/Identitas > Penyedia Identitas.

    cuplikan layar untuk Penyedia Identitas baru.

  3. Lakukan langkah-langkah berikut di jendela Tambahkan Penyedia Identitas.

    cuplikan layar untuk bagian Penyedia Identitas.

    a. Di bidang Gateway, pilih Gateway Keamanan, yang perlu melakukan autentikasi SAML.

    b. Di bidang Layanan, pilih VPN Akses Jarak Jauh dari menu drop-down.

    c. Salin Pengidentifikasi (ID Entitas) , tempelkan nilai ini ke dalam kotak teks Pengidentifikasi di bagian Konfigurasi SAML Dasar di portal Microsoft Azure.

    d. Salin nilai URL Balasan, tempelkan nilai ini ke dalam kotak teks URL Balasan di bagian Konfigurasi SAML Dasar di portal Microsoft Azure.

    e. Pilih Impor File Metadata untuk mengunggah XML Metadata Federasi yang diunduh dari portal Microsoft Azure.

    Catatan

    Atau Anda juga dapat memilih Sisipkan Secara Manual untuk menempelkan secara manual nilai ID Entitas dan URL Login ke bidang yang sesuai, dan untuk mengunggah File Sertifikat dari portal Microsoft Azure.

    f. Klik OK.

Mengonfigurasi Penyedia Identitas sebagai metode autentikasi

  1. Buka objek Gateway Keamanan yang berlaku.

  2. Pada halaman Klien VPN > Autentikasi:

    a. Kosongkan kotak centang Perbolehkan klien yang lebih lama tersambung ke gateway ini.

    b. Menambahkan objek baru atau mengedit ranah yang sudah ada.

    cuplikan layar untuk Menambahkan objek baru.

  3. Masukkan nama dan nama tampilan, dan tambahkan/edit metode autentikasi: Jika Opsi Login akan digunakan pada GW yang berpartisipasi dalam MEP, untuk memungkinkan pengalaman pengguna yang lancar, Nama harus dimulai dengan awalan "SAMLVPN_".

    cuplikan layar tentang Opsi Login.

  4. Pilih opsi Penyedia Identitas, klik tombol hijau + dan pilih objek Penyedia Identitas yang berlaku.

    cuplikan layar untuk memilih objek Penyedia Identitas yang berlaku.

  5. Di jendela Opsi Logon Jamak: Dari panel kiri, klik Direktori Pengguna lalu pilih Konfigurasi manual. Ada dua opsi:

    1. Jika Anda tidak ingin menggunakan Direktori Aktif lokal (LDAP), pilih hanya Profil Pengguna Eksternal dan klik OK.
    2. Jika Anda ingin menggunakan Active Directory (LDAP) lokal, pilih hanya pengguna LDAP dan di Tipe Pencarian LDAP pilih email. Lalu klik OK.

    cuplikan layar ke konfigurasi manual.

  6. Mengonfigurasi pengaturan yang diperlukan dalam database manajemen:

    1. Tutup SmartConsole.

    2. Terhubung dengan Alat Bantu GuiDBEdit ke Server Manajemen (lihat sk13009).

    3. Di panel kiri atas, masuk ke Edit > Objek Jaringan.

    4. Di panel kanan atas, pilih Objek Gateway Keamanan.

    5. Di panel bawah, buka vpn realms_for_blades > vpn.

    6. Jika Anda tidak ingin menggunakan Direktori Aktif (LDAP) lokal, atur do_ldap_fetch ke false dan do_generic_fetch ke true. Lalu klik OK. Jika Anda tidak ingin menggunakan Direktori Aktif (LDAP) lokal, atur do_ldap_fetch ke true dan do_generic_fetch ke false. Lalu klik OK.

    7. Ulangi langkah iv-vi untuk semua Gateway Keamanan yang berlaku.

    8. Simpan semua perubahan (klik menu File > Simpan Semua) .

  7. Tutup Alat Bantu GuiDBEdit.

  8. Setiap Gateway Keamanan dan setiap Bilah Perangkat Lunak memiliki pengaturan terpisah. Tinjau pengaturan di setiap Gateway Keamanan dan setiap Bilah Perangkat Lunak yang menggunakan autentikasi (VPN, Akses Seluler, dan Kesadaran Identitas).

    • Pastikan untuk memilih opsi pengguna LDAP hanya untuk Bilah Perangkat Lunak yang menggunakan LDAP.

    • Pastikan untuk memilih opsi Profil pengguna eksternal hanya untuk Bilah Perangkat Lunak yang tidak menggunakan LDAP.

  9. Instal Kebijakan Kontrol Akses pada setiap Gateway Keamanan.

Instalasi dan konfigurasi Klien VPN RA

  1. Instal klien VPN.

  2. Mengatur mode browser Penyedia Identitas (opsional) Secara default, klien Windows menggunakan browser yang disematkan dan klien macOS menggunakan Safari untuk mengautentikasi di portal Penyedia Identitas. Agar klien Windows mengubah perilaku ini dengan menggunakan Internet Explorer sebagai gantinya:

    1. Pada komputer klien, buka editor teks biasa sebagai Administrator.

    2. Buka file trac.defaults di editor teks.

      • Pada Windows 32-bit: %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
      • Pada Windows 64-bit: %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
    3. Ubah nilai atribut idp_browser_mode dari "embedded" menjadi "IE":

    4. Simpan file.

    5. Mulai ulang layanan klien Check Point Endpoint Security VPN. Buka Prompt Perintah Windows sebagai Administrator dan jalankan perintah ini:

      # net stop TracSrvWrapper

      # net start TracSrvWrapper

  3. Mulai autentikasi dengan browser yang berjalan di latar belakang:

    1. Pada komputer klien, buka editor teks biasa sebagai Administrator.

    2. Buka file trac.defaults di editor teks.

      • Pada Windows 32-bit: %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • Pada Windows 64-bit: %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • Di macOS: /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/Trac.defaults

    3. Mengubah nilai idp_show_browser_primary_auth_flow menjadi false

    4. Simpan file.

    5. Mulai ulang layanan klien Check Point Endpoint Security VPN

      • Di klien Windows Buka Prompt Perintah Windows sebagai Administrator dan jalankan perintah ini:

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • Di klien macOS

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Membuat pengguna uji Check Point Remote Secure Access VPN

Di bagian ini, Anda akan membuat pengguna bernama Britta Simon di Check Point Secure Access VPN. Bekerja dengan Tim dukungan Check Point Remote Secure Access VPN untuk menambahkan pengguna di platform Check Point Remote Secure Access VPN. Pengguna harus dibuat dan diaktifkan sebelum Anda menggunakan akses menyeluruh.

Menguji SSO

  1. Buka klien VPN dan klik Sambungkan ke... .

    cuplikan layar untuk Sambungkan ke.

  2. Pilih Situs dari menu drop-down dan klik Sambungkan.

    cuplikan layar untuk memilih situs.

  3. Di pop up login Azure AD, masuk menggunakan info masuk Azure AD yang telah Anda buat di bagian Buat pengguna uji Azure AD.

Langkah berikutnya

Setelah mengonfigurasi Check Point Remote Secure Access VPN, Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real-time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menerapkan kontrol sesi dengan Microsoft Cloud App Security.