Oktatóanyag: A Microsoft Entra egyszeri bejelentkezés (SSO) integrációja a Check Point Remote Secure Access VPN-vel

Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja a Check Point Remote Secure Access VPN-t a Microsoft Entra ID-val. Ha integrálja a Check Point remote secure access VPN-t a Microsoft Entra-azonosítóval, az alábbiakat teheti:

  • Szabályozhatja a Microsoft Entra-azonosítóban, hogy ki rendelkezik hozzáféréssel a Check Point remote secure access VPN-hez.
  • Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek a Check Point Remote Secure Access VPN-be a Microsoft Entra-fiókjukkal.
  • A fiókokat egy központi helyen kezelheti.

Előfeltételek

Első lépésként a következő elemekre van szüksége:

  • Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
  • Check Point Remote Secure Access VPN single sign-on (SSO) kompatibilis előfizetés.

Forgatókönyv leírása

Ebben az oktatóanyagban a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.

  • A Check Point Remote Secure Access VPN támogatja az SP által kezdeményezett egyszeri bejelentkezést.

A Check Point Remote Secure Access VPN Microsoft Entra-azonosítóba való integrálásának konfigurálásához fel kell vennie a Check Point Remote Secure Access VPN-t a gyűjteményből a felügyelt SaaS-alkalmazások listájára.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
  3. A Gyűjtemény hozzáadása szakaszban írja be a Check Point Remote Secure Access VPN kifejezést a keresőmezőbe.
  4. Válassza a Check Point Remote Secure Access VPN lehetőséget a találati panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése a Check Point Remote Secure Access VPN-hez

A Microsoft Entra SSO konfigurálása és tesztelése a Check Point Remote Secure Access VPN-vel egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között a Check Point Remote Secure Access VPN-ben.

A Microsoft Entra SSO check point remote secure access VPN-sel való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:

  1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.

    1. Microsoft Entra-tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez B.Simon használatával.
    2. Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy B.Simon a Microsoft Entra egyszeri bejelentkezését használhassa.
  2. Állítsa be a Check Point Remote Secure Access VPN SSO-t , hogy a felhasználók használhassák ezt a funkciót.

    1. Hozzon létre ellenőrzőpont távoli biztonságos hozzáférésű VPN-tesztfelhasználót , hogy b.Simon megfelelője legyen a Check Point Remote Secure Access VPN-ben, amely a felhasználó Microsoft Entra-reprezentációjához van csatolva.
  3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>, és ellenőrizze a pont távoli biztonságos hozzáférésű VPN>egyszeri bejelentkezését.

  3. A Select a single sign-on method page, select SAML.

  4. Az saml-alapú egyszeri bejelentkezés beállítása lapon kattintson az egyszerű SAML-konfiguráció ceruza ikonjára a beállítások szerkesztéséhez.

    Edit Basic SAML Configuration

  5. Az Egyszerű SAML-konfiguráció szakaszban adja meg a következő mezők értékeit:

    1. Az Azonosító (Entity ID) szövegmezőbe írjon be egy URL-címet az alábbi mintával:https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>

    2. A Válasz URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>

    3. A Bejelentkezés URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:https://<GATEWAY_IP>/saml-vpn/

    Megjegyzés:

    Ezek az értékek nem valósak. Frissítse ezeket az értékeket a tényleges azonosítóval, válasz URL-címmel és bejelentkezési URL-címmel. Az értékek lekéréséhez lépjen kapcsolatba a Check Point Remote Secure Access VPN-ügyféltámogatási csapatával . Az egyszerű SAML-konfiguráció szakaszban látható mintákra is hivatkozhat.

  6. Az SAML-alapú egyszeri bejelentkezés beállítása lapon, az SAML aláíró tanúsítvány szakaszában keresse meg az összevonási metaadatok XML-fájlját, és válassza a Letöltés lehetőséget a tanúsítvány letöltéséhez és a számítógépre való mentéséhez.

    The Certificate download link

  7. A Check Point Remote Secure Access VPN beállítása szakaszban másolja ki a megfelelő URL-cím(ek)et a követelmény alapján.

    Copy configuration URLs

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
  2. Tallózással keresse meg az Identitásfelhasználók>>minden felhasználót.
  3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
  4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
    1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
    2. A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . For example, B.Simon@contoso.com.
    3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
    4. Select Review + create.
  5. Select Create.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon a Check Point Remote Secure Access VPN-hez való hozzáférés biztosításával.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>, és ellenőrizze a pont távoli biztonságos hozzáférésű VPN-ét.
  3. Az alkalmazás áttekintő lapján válassza a Felhasználók és csoportok lehetőséget.
  4. Válassza a Felhasználó/csoport hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
    1. A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listában, majd kattintson a Képernyő alján található Kiválasztás gombra.
    2. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
    3. A Hozzárendelés hozzáadása párbeszédpanelen kattintson a Hozzárendelés gombra.

Check Point Remote Secure Access VPN SSO konfigurálása

Külső felhasználói profil objektum konfigurálása

Megjegyzés:

Ez a szakasz csak akkor szükséges, ha nem szeretne helyi Active Directory (LDAP) használni.

Konfiguráljon egy általános felhasználói profilt az örökölt SmartDashboardban:

  1. A SmartConsole-ban válassza a Kezelés &Gépház > panelt.

  2. A Mobile Access szakaszban kattintson a Konfigurálás gombra a SmartDashboardban. Megnyílik az örökölt SmartDashboard.

  3. A Hálózati objektumok panelen kattintson a Felhasználók elemre.

  4. Kattintson a jobb gombbal egy üres területre, és válassza az Összes felhasználónak megfelelő új > külső felhasználói profil > lehetőséget.

  5. A külső felhasználói profil tulajdonságainak konfigurálása:

    1. Az Általános tulajdonságok lapon:

      • A Külső felhasználói profil neve mezőben hagyja meg az alapértelmezett nevetgeneric*
      • A Lejárati dátum mezőben adja meg a vonatkozó dátumot
    2. A Hitelesítés lapon:

      • A Hitelesítési séma legördülő listában válassza a undefined
    3. A Hely, idő és titkosítás lapon:

      • Egyéb alkalmazható beállítások konfigurálása
    4. Kattintson az OK gombra.

  6. A felső eszköztáron kattintson a Frissítés gombra (vagy nyomja le a Ctrl + S billentyűkombinációt).

  7. Zárja be a SmartDashboardot.

  8. A SmartConsole-ban telepítse a hozzáférés-vezérlési szabályzatot.

Távelérési VPN konfigurálása

  1. Nyissa meg a vonatkozó biztonsági átjáró objektumát.

  2. Az Általános tulajdonságok lapon engedélyezze az IPSec VPN-szoftver panelt.

  3. A bal oldali fából kattintson az IPSec VPN-oldalára .

  4. A következő VPN-közösségekben részt vevő biztonsági átjáró szakaszban kattintson a Távelérési közösség hozzáadása és kiválasztása elemre.

  5. A bal oldali fából kattintson a VPN-ügyfelek > távelérésére.

  6. Engedélyezze a támogatási látogató üzemmódot.

  7. A bal oldali fából kattintson a VPN-ügyfelek > Office-módjára.

  8. Válassza az Office mód engedélyezése lehetőséget, és válassza ki a megfelelő Office Mód metódust.

  9. A bal oldali fából kattintson a VPN-ügyfelek > SAML-portál Gépház.

  10. Győződjön meg arról, hogy a fő URL-cím tartalmazza az átjáró teljes tartománynevét. Ennek a tartománynévnek a szervezet által regisztrált DNS-utótaggal kell végződnie. For example: https://gateway1.company.com/saml-vpn

  11. Győződjön meg arról, hogy a tanúsítványt a végfelhasználók böngészője megbízhatónak minősíti.

  12. Kattintson az OK gombra.

Identitásszolgáltatói objektum konfigurálása

  1. Végezze el az alábbi lépéseket minden olyan biztonsági átjáró esetében, amely részt vesz a távelérési VPN-ben.

  2. A SmartConsole >Gateways &kiszolgálók nézetben kattintson az Új > további > felhasználó/identitásszolgáltató >elemre.

    screenshot for new Identity Provider.

  3. Hajtsa végre a következő lépéseket az Új identitásszolgáltató ablakban.

    screenshot for Identity Provider section.

    a. Az Átjáró mezőben válassza ki a Biztonsági átjárót, amelynek el kell végeznie az SAML-hitelesítést.

    b. A Szolgáltatás mezőben válassza a távelérési VPN-t a legördülő listából.

    c. Másolja ki az Azonosító(Entitásazonosító) értéket, és illessze be ezt az értéket az Azonosító szövegmezőbe az Alapszintű SAML-konfiguráció szakaszban.

    d. Másolja a Válasz URL-címet, és illessze be ezt az értéket az Egyszerű SAML-konfiguráció szakasz Válasz URL-cím mezőjébe.

    e. Válassza a Metaadat-fájl importálása lehetőséget a letöltött összevonási metaadatok XML-fájljának feltöltéséhez.

    Megjegyzés:

    Ha manuálisan szeretné beilleszteni az entitásazonosítót és a bejelentkezési URL-értékeket a megfelelő mezőkbe, és feltölti a tanúsítványfájlt, válassza a Manuális beszúrás lehetőséget is.

    f. Kattintson az OK gombra.

Az identitásszolgáltató konfigurálása hitelesítési módszerként

  1. Nyissa meg a vonatkozó biztonsági átjáró objektumát.

  2. A VPN-ügyfelek > hitelesítése lapon:

    a. Törölje a jelet a jelölőnégyzetből , amely lehetővé teszi, hogy a régebbi ügyfelek csatlakozzanak ehhez az átjáróhoz.

    b. Adjon hozzá egy új objektumot, vagy szerkessze a meglévő tartományt.

    screenshot for to Add a new object.

  3. Adjon meg egy nevet és egy megjelenítendő nevet, és adjon hozzá/szerkesszen egy hitelesítési módszert: Ha a bejelentkezési lehetőséget az európai parlamenti képviselőben részt vevő GW-knél fogja használni, a zökkenőmentes felhasználói élmény érdekében a névnek előtaggal SAMLVPN_ kell kezdődnie.

    screenshot about Login Option.

  4. Válassza az Identitásszolgáltató lehetőséget, kattintson a zöld + gombra, és válassza ki a megfelelő Identitásszolgáltató objektumot.

    screenshot to select the applicable Identity Provider object.

  5. A Több bejelentkezési beállítás ablakban: A bal oldali panelen kattintson a Felhasználói címtárak elemre, majd válassza a Manuális konfiguráció lehetőséget. There are two options:

    1. Ha nem szeretne helyi Active Directory (LDAP) használni, csak külső felhasználói profilokat jelöljön ki, és kattintson az OK gombra.
    2. Ha helyi Active Directory (LDAP) szeretne használni, csak LDAP-felhasználókat jelöljön ki, és az LDAP keresési típusában válassza ki az e-mailt. Ezután kattintson az OK gombra.

    Screenshot of manual configuration.

  6. Konfigurálja a szükséges beállításokat a felügyeleti adatbázisban:

    1. Zárja be a SmartConsole-t.

    2. Csatlakozás a GuiDBEdit eszközzel a felügyeleti kiszolgálóra (lásd: sk13009).

    3. A bal felső panelen válassza a Hálózati objektumok szerkesztése > lehetőséget.

    4. A jobb felső panelen válassza ki a Security Gateway objektumot.

    5. Az alsó panelen lépjen realms_for_blades>VPN-hez.

    6. Ha nem szeretne helyi Active Directory (LDAP) használni, állítsa a do_ldap_fetch hamis értékre, és do_generic_fetch igaz értékre. Ezután kattintson az OK gombra. Ha helyi Active Directory (LDAP) szeretne használni, állítsa a do_ldap_fetch igaz értékre, és do_generic_fetch hamisra. Ezután kattintson az OK gombra.

    7. Ismételje meg a 4–6. lépést az összes alkalmazható biztonsági átjáró esetében.

    8. Az összes módosítás mentéséhez válassza az Összes fájl>mentése lehetőséget.

  7. Zárja be a GuiDBEdit eszközt.

  8. Minden biztonsági átjáró és minden szoftverpanel külön beállításokkal rendelkezik. Tekintse át az egyes biztonsági átjárók és a hitelesítést használó szoftverpanelek beállításait (VPN, Mobile Access és Identity Awareness).

    • Győződjön meg arról, hogy csak az LDAP-t használó szoftverpanelek esetében válassza ki az LDAP-felhasználók lehetőséget.

    • Ügyeljen arra, hogy csak az LDAP-t nem használó szoftverpanelekhez válassza a külső felhasználói profilok lehetőséget.

  9. Telepítse a hozzáférés-vezérlési szabályzatot minden biztonsági átjáróra.

VPN RA-ügyfél telepítése és konfigurálása

  1. Telepítse a VPN-ügyfelet.

  2. Állítsa be az identitásszolgáltató böngészőmódját (nem kötelező).

    Alapértelmezés szerint a Windows-ügyfél a beágyazott böngészőt használja, a macOS-ügyfél pedig a Safarit használja a hitelesítéshez az identitásszolgáltató portálján. Windows-ügyfelek esetén módosítsa ezt a viselkedést az Internet Explorer használatára:

    1. Az ügyfélszámítógépen nyisson meg egy egyszerű szöveges szerkesztőt Rendszergazda istratorként.

    2. Nyissa meg a trac.defaults fájlt a szövegszerkesztőben.

      • 32 bites Windows rendszeren:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • 64 bites Windows rendszeren:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

    3. Az attribútum értékének idp_browser_mode módosítása a következőre embeddedIE: .

    4. Mentse a fájlt.

    5. Indítsa újra a Check Point Endpoint Security VPN-ügyfélszolgáltatást.

    Nyissa meg a Windows parancssort Rendszergazda istratorként, és futtassa az alábbi parancsokat:

    # net stop TracSrvWrapper

    # net start TracSrvWrapper

  3. A hitelesítés indítása a háttérben futó böngészővel:

    1. Az ügyfélszámítógépen nyisson meg egy egyszerű szöveges szerkesztőt Rendszergazda istratorként.

    2. Nyissa meg a trac.defaults fájlt a szövegszerkesztőben.

      • 32 bites Windows rendszeren:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • 64 bites Windows rendszeren:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • macOS rendszeren:

        /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults

    3. Módosítsa a következő értékre idp_show_browser_primary_auth_flow : false.

    4. Mentse a fájlt.

    5. Indítsa újra a Check Point Endpoint Security VPN-ügyfélszolgáltatást.

      • Windows-ügyfeleken nyissa meg a Windows parancssorát Rendszergazda istratorként, és futtassa az alábbi parancsokat:

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • MacOS-ügyfeleken futtassa a következőt:

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Check Point Remote Secure Access VPN-tesztfelhasználó létrehozása

Ebben a szakaszban egy Britta Simon nevű felhasználót hoz létre a Check Point Remote Secure Access VPN-ben. A Check Point Remote Secure Access VPN támogatási csapatával együttműködve vegye fel a felhasználókat a Check Point Remote Secure Access VPN-platformba. A felhasználókat az egyszeri bejelentkezés használata előtt létre kell hozni és aktiválni kell.

Egyszeri bejelentkezés tesztelése

  1. Nyissa meg a VPN-ügyfelet, és kattintson a Csatlakozás... elemre.

    screenshot for Connect to.

  2. Válassza a Webhely lehetőséget a legördülő listában, és kattintson a Csatlakozás elemre.

    screenshot for selecting site.

  3. A Microsoft Entra bejelentkezési előugró ablakban jelentkezzen be a Microsoft Entra-teszt felhasználói szakaszában létrehozott Microsoft Entra hitelesítő adatokkal.

További lépések

A Check Point Remote Secure Access VPN konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.