Tutorial: Integração do SSO (logon único) do Azure Active Directory ao Check Point Remote Secure Access VPN

Neste tutorial, você aprenderá a integrar o Check Point Remote Secure Access VPN ao Azure AD (Azure Active Directory). Ao integrar o Check Point Remote Secure Access VPN ao Azure AD, será possível:

  • Controlar no Azure AD quem tem acesso ao Check Point Remote Secure Access VPN.
  • Permitir que os usuários entrem automaticamente no Check Point Remote Secure Access VPN com as respectivas contas do Azure AD.
  • Gerenciar suas contas em um local central: o portal do Azure.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Azure AD. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Assinatura do Check Point Remote Secure Access VPN habilitada para SSO (logon único).

Descrição do cenário

Neste tutorial, você configurará e testará o SSO do Azure AD em um ambiente de teste.

  • O Check Point Remote Secure Access VPN dá suporte ao SSO iniciado por SP.

Para configurar a integração do Check Point Remote Secure Access VPN ao Azure AD, é necessário adicionar o Check Point Remote Secure Access VPN por meio da galeria à lista de aplicativos SaaS gerenciados.

  1. Entre no portal do Azure usando uma conta corporativa ou de estudante ou uma conta pessoal da Microsoft.
  2. No painel de navegação esquerdo, escolha o serviço Azure Active Directory.
  3. Navegue até Aplicativos Empresariais e, em seguida, escolha Todos os Aplicativos.
  4. Para adicionar um novo aplicativo, escolha Novo aplicativo.
  5. Na seção Adicionar por meio da galeria, digite Check Point Remote Secure Access VPN na caixa de pesquisa.
  6. Selecione Check Point Remote Secure Access VPN no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Configurar e testar o SSO do Azure AD para o Check Point Remote Secure Access VPN

Configure e teste o SSO do Azure AD com o Check Point Remote Secure Access VPN por meio de um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Azure AD e o usuário relacionado do Check Point Remote Secure Access VPN.

Para configurar e testar o SSO do Azure AD com o Check Point Remote Secure Access VPN, execute as seguintes etapas:

  1. Configurar o SSO do Azure AD – para permitir que os usuários usem esse recurso.

    1. Criar um usuário de teste do Azure AD para testar o logon único do Azure AD com B.Fernandes.
    2. Atribuir o usuário de teste do Azure AD – para permitir que B.Fernandes use o logon único do Azure AD.
  2. Configurar o SSO do Check Point Remote Secure Access VPN : para permitir que os usuários usem esse recurso.

    1. Criar um usuário de teste do Check Point Remote Secure Access VPN – para ter um equivalente de B.Fernandes no Check Point Remote Secure Access VPN que esteja vinculado à representação de usuário do Azure AD.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Azure AD

Siga estas etapas para habilitar o SSO do Azure AD no portal do Azure.

  1. No portal do Azure, na página de integração do aplicativo Check Point Remote Secure Access VPN, localize a seção Gerenciar e selecione Logon único.

  2. Na página Selecionar um método de logon único, escolha SAML.

  3. Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.

    Editar a Configuração Básica de SAML

  4. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

    a. Na caixa de texto Identificador (ID da Entidade) , digite uma URL usando o seguinte padrão: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>

    b. No URL de resposta caixa de texto, digite uma URL usando o seguinte padrão: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>

    c. Na caixa de texto URL de Logon, digite uma URL usando o seguinte padrão: https://<GATEWAY_IP>/saml-vpn/

    Observação

    Esses valores não são reais. Atualize esses valores com o Identificador, a URL de Resposta e a URL de Logon reais. Entre em contato com a equipe de suporte ao cliente do Check Point Remote Secure Access VPN para obter esses valores. Você também pode consultar os padrões exibidos na seção Configuração Básica de SAML no portal do Azure.

  5. Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, localize XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo no computador.

    O link de download do Certificado

  6. Na seção Configurar o Check Point Remote Secure Access VPN, copie as URLs apropriadas de acordo com suas necessidades.

    Copiar URLs de configuração

Criar um usuário de teste do Azure AD

Nesta seção, você criará um usuário de teste no portal do Azure chamado B.Fernandes.

  1. No painel esquerdo do portal do Azure, escolha Azure Active Directory, Usuários e, em seguida, Todos os usuários.
  2. Selecione Novo usuário na parte superior da tela.
  3. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome, insira B.Simon.
    2. No campo Nome de usuário, insira username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Clique em Criar.

Atribuir o usuário de teste do Azure AD

Nesta seção, você permitirá que B.Fernandes use o logon único do Azure permitindo acesso ao Check Point Remote Secure Access VPN.

  1. No portal do Azure, selecione Aplicativos empresariais e, em seguida, selecione Todos os aplicativos.
  2. Na lista de aplicativos, selecione Check Point Remote Secure Access VPN.
  3. Na página de visão geral do aplicativo, localize a seção Gerenciar e escolha Usuários e grupos.
  4. Escolha Adicionar usuário e, em seguida, Usuários e grupos na caixa de diálogo Adicionar Atribuição.
  5. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
  6. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
  7. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do Check Point Remote Secure Access VPN

Configurar um objeto de Perfil de Usuário Externo

Observação

Esta seção só será necessária se você não quiser usar um Active Directory local (LDAP).

Configure um perfil de usuário genérico no SmartDashboard herdado:

  1. No SmartConsole, acesse Gerenciar e Configurações > Folhas.

  2. Na seção Acesso Móvel, clique em Configurar no SmartDashboard. O SmartDashboard herdado será aberto.

  3. No painel Objetos de Rede, clique em Usuários.

  4. Clique com o botão direito do mouse em um espaço vazio e selecione Novo > Perfil de Usuário Externo > Corresponder todos os usuários.

  5. Configure as propriedades de Perfil de Usuário Externo:

    1. Na página Propriedades Gerais:

      • No campo do nome do Perfil de Usuário Externo, mantenha o nome padrão generic*
      • No campo Data de Validade, defina a data aplicável
    2. Na página Autenticação:

      • Na lista suspensa Esquema de Autenticação, selecione undefined
    3. Nas páginas Localização, Hora e Criptografia:

      • Defina outras configurações aplicáveis
    4. Clique em OK.

  6. Na barra de ferramentas superior, clique em Atualizar (ou pressione CTRL + S).

  7. Feche o SmartDashboard.

  8. No SmartConsole, instale a Política de Controle de Acesso.

Configurar o VPN de acesso remoto

  1. Abra o objeto do Gateway de Segurança aplicável.

  2. Na página Propriedades Gerais, habilite a folha de software VPN IPSec.

  3. Na árvore à esquerda, clique na página VPN IPSec.

  4. Na seção Este Gateway de Segurança participa das seguintes comunidades de VPN, clique em Adicionar e selecione Comunidade de Acesso Remoto.

  5. Na árvore à esquerda, clique em Clientes VPN > Acesso Remoto.

  6. Habilite o Suporte ao Modo Visitante.

  7. Na árvore à esquerda, clique em Clientes VPN > Modo Escritório.

  8. Selecione Permitir Modo Escritório e escolha o Método do Modo Escritório aplicável.

  9. Na árvore à esquerda, clique em Clientes VPN > Configurações do Portal do SAML.

  10. Verifique se a URL principal contém o nome de domínio totalmente qualificado do gateway. Esse nome de domínio deve terminar com um sufixo DNS registrado pela sua organização. Por exemplo: https://gateway1.company.com/saml-vpn

  11. Verifique se o certificado é confiável pelo navegador dos usuários finais.

  12. Clique em OK.

Configurar um objeto de Provedor de Identidade

  1. Execute as etapas a seguir para cada gateway de segurança que participa da VPN de Acesso Remoto.

  2. Em SmartConsole > na exibição Gateways e Servidores, clique em Novo > Mais > Usuário/Identidade > Provedor de Identidade.

    captura de tela do novo provedor de identidade.

  3. Execute as etapas a seguir na janela Novo Provedor de Identidade.

    captura de tela da seção Provedor de Identidade.

    a. No campo Gateway, selecione o Gateway de Segurança, que precisa executar a autenticação SAML.

    b. No campo Serviço, selecione VPN de Acesso Remoto na lista suspensa.

    c. Copie o valor do Identificador (ID da Entidade) e cole-o na caixa de texto Identificador na seção Configuração Básica do SAML no portal do Azure.

    d. Copie o valor da URL de Resposta e cole-o na caixa de texto URL de Resposta na seção Configuração Básica do SAML no portal do Azure.

    e. Selecione Importar Arquivo de Metadados para carregar o XML de Metadados de Federação baixado do portal do Azure.

    Observação

    Como alternativa, você também pode selecionar Inserir Manualmente para colar manualmente os valores da ID da Entidade e da URL de Logon nos campos correspondentes e carregar o Arquivo de Certificado do portal do Azure.

    f. Clique em OK.

Configurar o provedor de identidade como um método de autenticação

  1. Abra o objeto do Gateway de Segurança aplicável.

  2. Na página Clientes VPN > Autenticação:

    a. Desmarque a caixa de seleção Permitir que os clientes mais antigos se conectem a esse gateway.

    b. Adicione um novo objeto ou edite um realm existente.

    captura de tela de Adicionar um novo objeto.

  3. Insira um nome e um nome de exibição e adicione/edite um método de autenticação: caso a Opção de Logon seja usada em GWs que participam do MEP, para permitir uma experiência estável do usuário, o Nome deve começar com o prefixo “SAMLVPN_”.

    captura de tela sobre a Opção de Logon.

  4. Selecione a opção Provedor de Identidade, clique no botão + verde e escolha o objeto de Provedor de Identidade aplicável.

    captura de tela para seleção do objeto de Provedor de Identidade aplicável.

  5. Na janela Várias Opções de Logon: no painel esquerdo, clique em Diretórios de Usuário e selecione Configuração manual. Há duas opções:

    1. Se você não quiser usar um Active Directory local (LDAP), selecione somente Perfis de Usuário Externo e clique em OK.
    2. Caso deseje usar um Active Directory local (LDAP), selecione somente usuários LDAP e, em Tipo de Pesquisa LDAP, selecione email. Em seguida, clique em OK.

    captura de tela da configuração manual.

  6. Defina as configurações necessárias no banco de dados de gerenciamento:

    1. Feche o SmartConsole.

    2. Conecte-se com a Ferramenta GuiDBEdit ao Servidor de Gerenciamento (confira sk13009).

    3. No painel superior esquerdo, acesse Editar > Objetos de Rede.

    4. No painel superior direito, selecione o objeto Gateway de Segurança.

    5. No painel inferior, acesse realms_for_blades > VPN.

    6. Se você não quiser usar um Active Directory local (LDAP), defina do_ldap_fetch como false e do_generic_fetch como true. Em seguida, clique em OK. Caso deseje usar um Active Directory local (LDAP), defina do_ldap_fetch como true e do_generic_fetch como false. Em seguida, clique em OK.

    7. Repita as etapas iv a vi para todos os gateways de segurança aplicáveis.

    8. Salve todas as alterações (clique no menu Arquivo > Salvar Tudo).

  7. Feche a ferramenta GuiDBEdit.

  8. Cada gateway de segurança e cada folha de software têm configurações separadas. Examine as configurações de cada gateway de segurança e de cada folha de software que usa a autenticação (VPN, acesso móvel e reconhecimento de identidade).

    • Selecione a opção Usuários LDAP somente para as folhas de software que usam o LDAP.

    • Escolha a opção Perfis de usuário externo somente para as folhas de software que não usam o LDAP.

  9. Instale a Política de Controle de Acesso em cada gateway de segurança.

Instalação e configuração do cliente de RA de VPN

  1. Instale o cliente VPN.

  2. Defina o modo de navegador do provedor de identidade (opcional). Por padrão, o cliente do Windows usa o navegador inserido, e o cliente do macOS usa o Safari para autenticação no portal do provedor de identidade. Para o cliente do Windows alterar esse comportamento e usar o Internet Explorer:

    1. No computador cliente, abra um editor de texto sem formatação como Administrador.

    2. Abra o arquivo trac.defaults no editor de texto.

      • No Windows de 32 bits: %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
      • No Windows de 64 bits: %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
    3. Altere o valor do atributo idp_browser_mode de “embedded” para “IE”:

    4. Salve o arquivo.

    5. Reinicie o serviço de cliente VPN do Check Point Endpoint Security. Abra o prompt de comando do Windows como administrador e execute estes comandos:

      # net stop TracSrvWrapper

      # net start TracSrvWrapper

  3. Inicie a autenticação com o navegador em execução em segundo plano:

    1. No computador cliente, abra um editor de texto sem formatação como Administrador.

    2. Abra o arquivo trac.defaults no editor de texto.

      • No Windows de 32 bits: %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • No Windows de 64 bits: %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • No macOS: /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/Trac.defaults

    3. Altere o valor de idp_show_browser_primary_auth_flow para false

    4. Salve o arquivo.

    5. Reiniciar o serviço de cliente VPN do Check Point Endpoint Security

      • Em clientes do Windows, abra o prompt de comando do Windows como administrador e execute estes comandos:

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • Em clientes do macOS

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Criar um usuário de teste do Check Point Remote Secure Access VPN

Nesta seção, você criará um usuário chamado Brenda Fernandes no Check Point Remote Secure Access VPN. Trabalhe com a equipe de suporte do Check Point Remote Access VPN para adicionar os usuários à plataforma do Check Point Remote Secure Access VPN. Os usuários devem ser criados e ativados antes de usar o logon único.

Testar o SSO

  1. Abra o cliente VPN e clique em Conectar-se a… .

    captura de tela da opção Conectar-se a.

  2. Selecione Site no menu suspenso e clique em Conectar.

    captura de tela da seleção do site.

  3. No pop-up de logon do Azure AD, conecte-se usando as credenciais do Azure AD que você criou na seção Criar um usuário de teste do Azure AD.

Próximas etapas

Depois de configurar o Check Point Remote Secure Access VPN, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Cloud App Security.