Partager via


Configurer Check Point Remote Secure Access VPN pour l’authentification unique avec l’ID Microsoft Entra

Dans cet article, vous allez apprendre à intégrer Check Point Remote Secure Access VPN à Microsoft Entra ID. Lorsque vous intégrez Check Point Remote Secure Access VPN avec Microsoft Entra ID, vous pouvez :

  • Contrôlez dans Microsoft Entra ID qui a accès au VPN Check Point Remote Secure Access.
  • Permettez à vos utilisateurs d'être automatiquement connectés au VPN Check Point Remote Secure Access avec leurs comptes Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Prérequis

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

  • Un abonnement Check Point Remote Secure Access VPN pour lequel l’authentification SSO (authentification unique) est activée.

Description du scénario

Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

  • Check Point Remote Secure Access VPN prend en charge le SSO initié par le fournisseur de services.

Pour configurer l'intégration de Check Point Remote Secure Access VPN dans Microsoft Entra ID, vous devez ajouter Check Point Remote Secure Access VPN depuis la galerie à votre liste d'applications SaaS gérées.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.
  2. Accédez à Entra ID>applications d'entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie , tapez Check Point Remote Secure Access VPN dans la zone de recherche.
  4. Sélectionnez Check Point Remote Secure Access VPN dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez sinon également utiliser l’Assistant de configuration des applications d'entreprise . Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les assistants Microsoft 365.

Configurer et tester Microsoft Entra SSO pour Check Point Remote Secure Access VPN

Configurez et testez l’authentification unique Microsoft Entra avec Check Point Remote Secure Access VPN à l’aide d’un utilisateur de test appelé B.Simon. Pour que SSO fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l'utilisateur associé dans Check Point Remote Secure Access VPN.

Pour configurer et tester Microsoft Entra SSO avec Check Point Remote Secure Access VPN, effectuez les étapes suivantes :

  1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.

    1. Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
    2. Affectez l’utilisateur de test Microsoft Entra pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurez l’authentification unique VPN Check Point Remote Secure Access pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.

    1. Créer un utilisateur de test Check Point Remote Secure Access VPN pour avoir un équivalent de B.Simon dans Check Point Remote Secure Access VPN lié à la représentation Microsoft Entra de l’utilisateur.
  3. Test SSO pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.

  2. Accédez à Entra ID>Enterprise apps>Check Point Remote Secure Access VPN>Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique , sélectionnez SAML.

  4. Dans la page Configurer l’authentification unique avec SAML , sélectionnez l’icône crayon de configuration SAML de base pour modifier les paramètres.

    Modifier la configuration SAML de base

  5. Dans la section Configuration SAML de base , entrez les valeurs des champs suivants :

    1. Dans la zone de texte Identificateur (ID d’entité), tapez une URL au format suivant :

    2. Dans la zone de texte URL de réponse , tapez une URL à l’aide du modèle suivant : https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>

    3. Dans la zone de texte URL de connexion , tapez une URL à l’aide du modèle suivant : https://<GATEWAY_IP>/saml-vpn/

    Remarque

    Ces valeurs ne sont pas réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL d’authentification et l’URL de réponse réels. Pour obtenir ces valeurs, contactez l’équipe du support technique de Check Point Remote Secure Access VPN Client. Vous pouvez également faire référence aux modèles indiqués dans la section Configuration SAML de base .

  6. Dans la page Configurer l’authentification unique avec SAML , dans la section Certificat de signature SAML , recherchez le code XML des métadonnées de fédération , puis sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

    Lien de téléchargement du certificat

  7. Dans la section Configurer Check Point Remote Secure Access VPN , copiez la ou les URL appropriées en fonction de vos besoins.

    Copier des URL de configuration

Créer et affecter un utilisateur de test Microsoft Entra

Suivez les instructions de création et d’affectation d’un compte d’utilisateur pour créer un compte d’utilisateur de test appelé B.Simon.

Configurer l’authentification SSO pour Check Point Remote Secure Access VPN

Configurer un objet de profil utilisateur externe

Remarque

Cette section est nécessaire uniquement si vous ne souhaitez pas utiliser un annuaire Active Directory local (LDAP).

Configurez un profil utilisateur générique dans le SmartDashboard hérité :

  1. Dans SmartConsole, accédez à Gérer & Paramètres Blades.

  2. Dans la section Mobile Access , sélectionnez Configurer dans SmartDashboard. Le SmartDashboard hérité s’ouvre.

  3. Dans le volet Objets réseau, puis sélectionnez Utilisateurs.

  4. Cliquez avec le bouton droit sur un espace vide, puis sélectionnez Nouveau > profil > utilisateur externe correspondant à tous les utilisateurs.

  5. Configurez les propriétés de profil utilisateur externe :

    1. Dans la page Propriétés générales :

      • Dans le champ Nom du profil utilisateur externe , laissez le nom par défaut generic*
      • Dans le champ Date d’expiration , définissez la date applicable
    2. Dans la page Authentification :

      • Dans la liste déroulante Schéma d’authentification , sélectionnez undefined
    3. Dans les pages Emplacement, Heure et Chiffrement :

      • Configurez les autres paramètres applicables
    4. Sélectionnez OK.

  6. Dans la barre d’outils supérieure, sélectionnez Mettre à jour (ou appuyez sur Ctrl + S).

  7. Fermez SmartDashboard.

  8. Dans SmartConsole, installez la stratégie de contrôle d’accès.

Configurer Remote Access VPN

  1. Ouvrez l’objet de la passerelle de sécurité applicable.

  2. Dans la page Propriétés générales, activez le Software Blade IPSec VPN.

  3. Dans l’arborescence gauche, sélectionnez la page VPN IPSec .

  4. Dans la section Cette passerelle de sécurité participe aux communautés VPN suivantes, sélectionnez Ajouter et sélectionner Communauté d’accès à distance.

  5. Dans l’arborescence de gauche, sélectionnez Accès à distance des clients > VPN.

  6. Activer le mode visiteur de support.

  7. Dans l’arborescence de gauche, sélectionnez Clients VPN Mode Office>.

  8. Sélectionnez Autoriser le mode Office et sélectionnez la méthode de mode Office applicable.

  9. Dans l’arborescence de gauche, sélectionnez Paramètres du portail SAML des clients > VPN.

  10. Vérifiez que l’URL principale contient le nom de domaine complet de la passerelle. Ce nom de domaine doit finir par un suffixe DNS inscrit par votre organisation. Par exemple : https://gateway1.company.com/saml-vpn

  11. Vérifiez que le certificat est approuvé par le navigateur des utilisateurs finaux.

  12. Sélectionnez OK.

Configurer un objet de fournisseur d’identité

  1. Effectuez les étapes suivantes pour chaque passerelle de sécurité qui participe à Remote Access VPN.

  2. Dans SmartConsole, dans la vue Passerelles & Serveurs, sélectionnez Nouveau Plus Utilisateur/Identité Fournisseur d'identité.

  3. Effectuez les étapes suivantes dans la fenêtre Nouveau fournisseur d’identité .

    capture d’écran de la section Identity Provider.

    a) Dans le champ Passerelle , sélectionnez la passerelle de sécurité, qui doit effectuer l’authentification SAML.

    b. Dans le champ Service , sélectionnez VPN d’accès à distance dans la liste déroulante.

    v. Copiez la valeur Identifier(ID d’entité), collez cette valeur dans la zone de texte Identificateur dans la section Configuration SAML de base .

    d. Copiez la valeur de l’URL de réponse , collez cette valeur dans la zone de texte URL de réponse dans la section Configuration SAML de base .

    é. Sélectionnez Importer le fichier de métadonnées pour charger le xml de métadonnées de fédération téléchargé.

    Remarque

    Vous pouvez également sélectionner Insérer manuellement pour coller manuellement l’ID d’entité et les valeurs d’URL de connexion dans les champs correspondants, puis charger le fichier de certificat.

    f. Sélectionnez OK.

Configurer le fournisseur d’identité en tant que méthode d’authentification

  1. Ouvrez l’objet de la passerelle de sécurité applicable.

  2. Dans la page Authentification des clients > VPN :

    a) Désactivez la case à cocher Autoriser les anciens clients à se connecter à cette passerelle.

    b. Ajoutez un nouvel objet ou modifiez un domaine existant.

    capture d’écran de l’ajout d’un nouvel objet.

  3. Entrez un nom et un nom complet, puis ajoutez/modifiez une méthode d’authentification : si l’option de connexion est utilisée sur les GW qui participent à MEP, pour garantir une expérience utilisateur fluide, le nom doit commencer par le préfixe SAMLVPN_.

    capture d’écran de l’option de connexion.

  4. Sélectionnez l’option Fournisseur d’identité, sélectionnez le bouton vert + et sélectionnez l’objet Fournisseur d’identité applicable.

    capture d’écran pour sélectionner l’objet Fournisseur d’identité applicable.

  5. Dans la fenêtre Options de connexion multiples : dans le volet gauche, sélectionnez Répertoires utilisateur , puis configuration manuelle. Nous avons deux options :

    1. Si vous ne souhaitez pas utiliser un annuaire Active Directory local (LDAP), sélectionnez uniquement profils utilisateur externes et ok.
    2. Si vous souhaitez utiliser un annuaire Active Directory local (LDAP), sélectionnez uniquement LDAP users (Utilisateurs LDAP), puis dans LDAP Lookup Type (Type de recherche LDAP), sélectionnez email (e-mail). Sélectionnez ensuite OK.

    Capture d’écran de la configuration manuelle.

  6. Configurez les paramètres nécessaires dans la base de données de gestion :

    1. Fermez SmartConsole.

    2. Connectez-vous à l’outil GuiDBEdit au serveur d’administration (voir sk13009).

    3. Dans le volet supérieur gauche, accédez à Modifier les > objets réseau.

    4. Dans le volet supérieur droit, sélectionnez l’objet Security Gateway.

    5. Dans le volet inférieur, accédez à realms_for_blades>vpn.

    6. Si vous ne souhaitez pas utiliser un annuaire Active Directory local (LDAP), définissez do_ldap_fetch sur false et do_generic_fetch sur true. Sélectionnez OK. Si vous souhaitez utiliser un annuaire Active Directory local (LDAP), définissez do_ldap_fetch sur true et do_generic_fetch sur false. Sélectionnez OK.

    7. Répétez les étapes 4 à 6 pour toutes les passerelles de sécurité applicables.

    8. Enregistrez toutes les modifications en sélectionnant Fichier>Enregistrer tout.

  7. Fermez l’outil GuiDBEdit.

  8. Chaque passerelle de sécurité et chaque blade logicielle a des paramètres distincts. Vérifiez les paramètres de chaque passerelle de sécurité et de chaque blade logicielle qui utilise l’authentification (VPN, Mobile Access et Identity Awareness).

    • Veillez à sélectionner l’option UTILISATEURS LDAP uniquement pour les panneaux logiciels qui utilisent LDAP.

    • Veillez à sélectionner l’option Profils utilisateur externes uniquement pour les panneaux logiciels qui n’utilisent pas LDAP.

  9. Installez la stratégie de contrôle d’accès sur chaque passerelle de sécurité.

Installation et configuration du client VPN RA

  1. Installez le client VPN.

  2. Définissez le mode d’exploration du fournisseur d’identité (facultatif).

    Par défaut, le client Windows utilise son navigateur intégré, et le client macOS utilise Safari pour s’authentifier sur le portail du fournisseur d’identité. Pour les clients Windows, modifiez ce comportement de façon à utiliser Internet Explorer à la place :

    1. Sur la machine cliente, ouvrez un éditeur de texte brut en tant qu’administrateur.

    2. Ouvrez le fichier trac.defaults dans l’éditeur de texte.

      • Sur les éditions 32 bits de Windows :

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • Sur les éditions 64 bits de Windows :

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

    3. Remplacez la valeur idp_browser_mode de l’attribut embedded par IE.

    4. Enregistrez le fichier .

    5. Redémarrez le service du client Check Point Endpoint Security VPN.

    Ouvrez l’invite de commandes Windows en tant qu’administrateur, puis exécutez les commandes suivantes :

    # net stop TracSrvWrapper

    # net start TracSrvWrapper

  3. Démarrez l’authentification avec le navigateur s’exécutant en arrière-plan :

    1. Sur la machine cliente, ouvrez un éditeur de texte brut en tant qu’administrateur.

    2. Ouvrez le fichier trac.defaults dans l’éditeur de texte.

      • Sur les éditions 32 bits de Windows :

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • Sur les éditions 64 bits de Windows :

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • Sur macOS :

        /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults

    3. Remplacez la valeur de idp_show_browser_primary_auth_flow par false.

    4. Enregistrez le fichier .

    5. Redémarrez le service du client Check Point Endpoint Security VPN.

      • Sur les clients Windows, ouvrez l’invite de commandes Windows en tant qu’administrateur, puis exécutez les commandes suivantes :

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • Sur les clients macOS, exécutez :

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Créer l’utilisateur de test Check Point Remote Secure Access VPN

Dans cette section, vous allez créer une utilisatrice appelée Britta Simon dans Check Point Remote Secure Access VPN. Collaborez avec l’équipe du support technique Check Point Remote Secure Access VPN pour ajouter les utilisateurs à la plateforme VPN Check Point Remote Secure Access. Les utilisateurs doivent être créés et activés avant que vous utilisiez l’authentification unique.

Tester l’authentification unique (SSO)

  1. Ouvrez le client VPN et sélectionnez Se connecter à....

    Capture d’écran de connexion à.

  2. Sélectionnez Site dans la liste déroulante, puis sélectionnez Se connecter.

    capture d’écran de la sélection du site.

  3. Dans la fenêtre contextuelle de connexion Microsoft Entra, connectez-vous à l’aide des informations d’identification Microsoft Entra que vous avez créées dans la section Créer un utilisateur de test Microsoft Entra .

Une fois que vous avez configuré Check Point Remote Secure Access VPN, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer le contrôle de session avec Microsoft Defender pour Cloud Apps.