Konfigurieren von Check Point Remote Secure Access VPN für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie Check Point Remote Secure Access VPN mit Microsoft Entra ID integrieren. Die Integration von Check Point Remote Secure Access VPN in Microsoft Entra ID ermöglicht Folgendes:

• Steuern Sie in Microsoft Entra ID, wer Zugriff auf Check Point Remote Secure Access VPN besitzt.
• Ermöglichen Sie es Ihren Benutzern, sich mit ihren Microsoft Entra-Konten automatisch bei Check Point Remote Secure Access VPN anzumelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Check Point Remote Secure Access VPN-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist.

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

• Check Point Remote Secure Access VPN unterstützt SP-initiiertes SSO .

Hinzufügen von Check Point Remote Secure Access VPN aus dem Katalog

Zum Konfigurieren der Integration von Check Point Remote Secure Access VPN in Microsoft Entra ID müssen Sie Check Point Remote Secure Access VPN aus dem Katalog der Liste der verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt Aus der Galerie hinzufügen im Suchfeld Check Point Remote Secure Access VPN ein.
4. Wählen Sie check Point Remote Secure Access VPN aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra für Check Point Remote Secure Access VPN

Konfigurieren und testen Sie Microsoft Entra SSO mit Check Point Remote Secure Access VPN mithilfe eines Testbenutzers namens B.Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Check Point Remote Secure Access VPN eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit Check Point Remote Secure Access VPN die folgenden Schritte aus:

1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.

   1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
   2. Weisen Sie den Microsoft Entra-Testbenutzer zu – damit B.Simon das Einmalige Anmelden von Microsoft Entra verwenden kann.

2. Konfigurieren Sie den SSO des Check Point Remote Secure Access VPN – damit Ihre Benutzer dieses Feature verwenden können.

   1. Erstellen Sie einen Check Point Remote Secure Access VPN-Testbenutzer - um ein Gegenstück zu B.Simon im Check Point Remote Secure Access VPN zu haben, das mit der Microsoft Entra-Repräsentation des Benutzers verknüpft ist.

3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Check Point Remote Secure Access VPN>Single Sign-On.

3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Geben Sie im Abschnitt "Grundlegende SAML-Konfiguration " die Werte für die folgenden Felder ein:

   1. Geben Sie im Textfeld Id (Entitäts-ID) eine URL mit dem folgenden Muster ein: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>

   2. Geben Sie im Textfeld "Antwort-URL " eine URL mit dem folgenden Muster ein: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>

   3. Geben Sie im Textfeld "Anmelde-URL " eine URL mit dem folgenden Muster ein: https://<GATEWAY_IP>/saml-vpn/

   Hinweis

   Diese Werte sind nicht real. Ersetzen Sie diese Werte durch die tatsächlichen Werte für Bezeichner, Antwort-URL und Anmelde-URL. Wenden Sie sich an das Check Point Remote Secure Access VPN Client-Supportteam , um diese Werte abzurufen. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

6. Suchen Sie auf der Seite "Einmaliges Anmelden mit SAML einrichten " im Abschnitt "SAML-Signaturzertifikat " die Partnerverbundmetadaten-XML , und wählen Sie "Herunterladen " aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

   

7. Kopieren Sie im Abschnitt "Einrichten von Check Point Remote Secure Access VPN" die entsprechenden URLs basierend auf Ihrer Anforderung.

   

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anleitung im Erstellen und Zuweisen eines Benutzerkontos Schnellstart, um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens für Check Point Remote Secure Access VPN

Konfigurieren eines externen Benutzerprofilobjekts

Hinweis

Dieser Abschnitt ist nur erforderlich, wenn Sie kein lokales Active Directory (LDAP) verwenden möchten.

Konfigurieren eines generischen Benutzerprofils im Legacy-SmartDashboard:

1. Wechseln Sie in SmartConsole zu "Manage & Settings > Blades".

2. Wählen Sie im Abschnitt "Mobile Access" die Option "In SmartDashboard konfigurieren" aus. Das Legacy-SmartDashboard wird geöffnet.

3. Wählen Sie im Bereich " Netzwerkobjekte " die Option "Benutzer" aus.

4. Klicken Sie mit der rechten Maustaste auf einen leeren Bereich, und wählen Sie "Neues > externes Benutzerprofil > Alle Benutzer abgleichen" aus.

5. Konfigurieren sie die Eigenschaften des externen Benutzerprofils :

   1. Auf der Seite "Allgemeine Eigenschaften":

      • Behalten Sie im Feld " Name des externen Benutzerprofils " den Standardnamen bei. generic*
      • Legen Sie im Feld "Ablaufdatum " das anwendbare Datum fest.

   2. Auf der Seite "Authentifizierung ":

      • Wählen Sie in der Dropdownliste des Authentifizierungsschemasundefined aus.

   3. Auf den Seiten "Ort", " Uhrzeit" und "Verschlüsselung ":

      • Konfigurieren Sie andere anwendbare Einstellungen

   4. Wählen Sie "OK" aus.

6. Wählen Sie auf der oberen Symbolleiste "Aktualisieren" aus (oder drücken Sie STRG+S).

7. Schließen Sie SmartDashboard.

8. Installieren Sie in SmartConsole die Access Control-Richtlinie.

Konfigurieren Sie Remote Access VPN

1. Öffnen Sie das Objekt des entsprechenden Sicherheitsgateways.

2. Aktivieren Sie auf der Seite "Allgemeine Eigenschaften" das Software-Blade für "IPSec VPN".

3. Wählen Sie in der linken Navigationsleiste die IPSec-VPN-Seite aus.

4. Im Abschnitt nimmt dieses Sicherheitsgateway an den folgenden VPN-Communitys teil, wählen Sie Hinzufügen und Remotezugriffscommunity aus.

5. Wählen Sie in der linken Struktur >> aus.

6. Aktivieren Sie den Support-Besuchermodus.

7. Wählen Sie im linken Baum VPN-Clients > Office-Modus aus.

8. Wählen Sie "Office-Modus zulassen" und dann die entsprechende Office-Modusmethode aus.

9. Wählen Sie in der linken Baumstruktur VPN-Clients SAML-Portaleinstellungen> aus.

10. Stellen Sie sicher, dass die Haupt-URL den vollqualifizierten Domänennamen des Gateways enthält. Dieser Domänenname sollte mit einem DNS-Suffix enden, das von Ihrer Organisation registriert wurde. Beispiel: https://gateway1.company.com/saml-vpn

11. Stellen Sie sicher, dass das Zertifikat vom Browser des Endbenutzers als vertrauenswürdig eingestuft wird.

12. Wählen Sie "OK" aus.

Konfigurieren eines Identitätsproviders

1. Gehen Sie für jedes Sicherheitsgateway, das an Remote Access VPN beteiligt ist, die folgenden Schritte aus.

2. Wählen Sie in SmartConsole in der Ansicht Gateways & Server den Eintrag Neu > Mehr > Benutzer/Identitätsanbieter> aus.

3. Führen Sie die folgenden Schritte im Fenster "Neuer Identitätsanbieter " aus.

   

   a) Wählen Sie im Feld "Gateway " das Sicherheitsgateway aus, das die SAML-Authentifizierung ausführen muss.

   b. Wählen Sie im Feld Dienst im Dropdown Remotezugriffs-VPN aus.

   Abschnitt c. Kopieren Sie den Wert von Bezeichner (Entity-ID) und fügen Sie diesen Wert in das Textfeld Bezeichner im Abschnitt Basis-SAML-Konfiguration ein.

   d. Kopieren Sie den Antwort-URL-Wert , fügen Sie diesen Wert in das Textfeld "Antwort-URL " im Abschnitt "Grundlegende SAML-Konfiguration " ein.

   e. Wählen Sie "Metadatendatei importieren" aus, um die heruntergeladene Verbundmetadaten-XML hochzuladen.

   Hinweis

   Alternativ können Sie auch " Manuell einfügen" auswählen, um die Werte der Entitäts-ID und der Anmelde-URL manuell in die entsprechenden Felder einzufügen und die Zertifikatdatei hochzuladen.

   f. Wählen Sie "OK" aus.

Konfigurieren des Identitätsanbieters als Authentifizierungsmethode

1. Öffnen Sie das Objekt des entsprechenden Sicherheitsgateways.

2. Auf der Seite "VPN-Clients-Authentifizierung>":

   a) Deaktivieren Sie das Kontrollkästchen "Älteren Clients die Verbindung mit diesem Gateway erlauben".

   b. Fügen Sie ein neues Objekt hinzu oder bearbeiten Sie einen vorhandenen Bereich.

   

3. Geben Sie einen Namen und einen Anzeigenamen ein, und fügen/bearbeiten Sie eine Authentifizierungsmethode hinzu: Falls die Anmeldeoption auf GWs verwendet wird, die an MEP teilnehmen, um eine reibungslose Benutzererfahrung zu ermöglichen, sollte der Name mit SAMLVPN_ dem Präfix beginnen.

   

4. Wählen Sie die Option "Identitätsanbieter" aus, wählen Sie die grüne + Schaltfläche und dann das entsprechende Identitätsanbieterobjekt aus.

   

5. Wählen Sie im Fenster "Mehrfachanmeldungsoptionen" im linken Bereich " Benutzerverzeichnisse" und dann " Manuelle Konfiguration" aus. Es gibt zwei Optionen:

   1. Wenn Sie kein lokales Active Directory (LDAP) verwenden möchten, wählen Sie nur externe Benutzerprofile aus, und wählen Sie "OK" aus.
   2. Wenn Sie eine lokale Active Directory (LDAP) verwenden möchten, wählen Sie nur LDAP-Benutzer und im LDAP-Suchtyp die Option E-Mail aus. Wählen Sie dann OK aus.

   

6. Konfigurieren Sie die erforderlichen Einstellungen in der Verwaltungsdatenbank:

   1. Schließen Sie SmartConsole.

   2. Stellen Sie eine Verbindung mit dem GuiDBEdit-Tool mit dem Verwaltungsserver her (siehe sk13009).

   3. Wechseln Sie im oberen linken Bereich zu "Netzwerkobjekte bearbeiten>".

   4. Wählen Sie im oberen rechten Bereich das Security Gateway-Objekt aus.

   5. Wechseln Sie im unteren Bereich zu realms_for_blades>vpn.

   6. Wenn Sie kein lokales Active Directory (LDAP) verwenden möchten, legen Sie do_ldap_fetch auf "false" fest, und do_generic_fetch auf "true". Wählen Sie dann OK aus. Wenn Sie ein lokales Active Directory (LDAP) verwenden möchten, legen Sie do_ldap_fetch auf "true " fest, und do_generic_fetch auf "false". Wählen Sie dann OK aus.

   7. Wiederholen Sie die Schritte 4 bis 6 für alle anwendbaren Sicherheitsgateways.

   8. Speichern Sie alle Änderungen, indem Sie Datei>Alle speichern auswählen.

7. Schließen Sie das GuiDBEdit-Tool.

8. Jedes Sicherheitsgateway und jedes Softwareblatt verfügen über separate Einstellungen. Überprüfen Sie die Einstellungen auf jedem Sicherheitsgateway und jedem Softwareblatt, die die Authentifizierung verwenden (VPN, Mobile Access und Identity Awareness).

   • Stellen Sie sicher, dass Sie die Option LDAP-Benutzer nur für Software-Blades auswählen, die LDAP verwenden.

   • Stellen Sie sicher, dass Sie die Option "Externe Benutzerprofile " nur für Software-Blades auswählen, die kein LDAP verwenden.

9. Installieren Sie die Access Control-Richtlinie auf jedem Sicherheitsgateway.

Installieren und Konfigurieren des VPN RA-Client

1. Installieren Sie den VPN-Client.

2. Legen Sie den Identitätsanbieter-Browsermodus fest (optional).

   Standardmäßig verwendet der Windows-Client seinen eingebetteten Browser, und der macOS-Client verwendet Safari für die Authentifizierung im Portal des Identitätsanbieters. Ändern Sie für Windows-Clients dieses Verhalten, damit Sie stattdessen Internet Explorer verwenden können:

   1. Öffnen Sie auf dem Clientcomputer einen Nur-Text-Editor als Administrator.

   2. Öffnen Sie die Datei trac.defaults im Text-Editor.

      • Unter 32-Bit-Windows:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • Unter 64-Bit-Windows:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

   3. Ändern Sie den Attributwert idp_browser_mode von embedded in IE.

   4. Speichern Sie die Datei .

   5. Starten Sie den Check Point Endpoint Security-VPN-Clientdienst neu.

   Öffnen Sie die Windows-Eingabeaufforderung als Administrator, und führen Sie die folgenden Befehle aus:

   # net stop TracSrvWrapper

   # net start TracSrvWrapper

3. Starten Sie die Authentifizierung mit Browser, der im Hintergrund ausgeführt wird:

   1. Öffnen Sie auf dem Clientcomputer einen Nur-Text-Editor als Administrator.

   2. Öffnen Sie die Datei trac.defaults im Text-Editor.

      • Unter 32-Bit-Windows:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • Unter 64-Bit-Windows:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • Unter MacOS:

        /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults

   3. Ändern Sie den Wert von idp_show_browser_primary_auth_flow in false.

   4. Speichern Sie die Datei .

   5. Starten Sie den Check Point Endpoint Security-VPN-Clientdienst neu.

      • Öffnen Sie auf Windows-Clients die Windows-Eingabeaufforderung als Administrator, und führen Sie die folgenden Befehle aus:

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • Führen Sie auf macOS-Clients Folgendes aus:

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Erstellen eines Check Point Remote Secure Access VPN-Testbenutzers

In diesem Abschnitt wird in Check Point Remote Secure Access VPN ein Benutzer namens Britta Simon erstellt. Arbeiten Sie mit dem Vpn-Supportteam von Check Point Remote Secure Access VPN zusammen, um die Benutzer auf der VPN-Plattform "Remote Secure Access" von Check Point hinzuzufügen. Benutzer müssen erstellt und aktiviert werden, damit Sie einmaliges Anmelden verwenden können.

Testen des einmaligen Anmeldens

1. Öffnen Sie den VPN-Client, und wählen Sie "Verbinden mit..." aus.

   

2. Wählen Sie " Website " aus der Dropdownliste und dann "Verbinden" aus.

   

3. Melden Sie sich im Microsoft Entra-Anmeldefenster mit Microsoft Entra-Anmeldeinformationen an, die Sie im Abschnitt " Erstellen eines Microsoft Entra-Testbenutzers " erstellt haben.

Verwandte Inhalte

Nach dem Konfigurieren von Check Point Remote Secure Access VPN können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.