Oktatóanyag: A Microsoft Entra egyszeri bejelentkezés (SSO) integrációja a Check Point Remote Secure Access VPN-vel
Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja a Check Point Remote Secure Access VPN-t a Microsoft Entra ID-val. Ha integrálja a Check Point remote secure access VPN-t a Microsoft Entra-azonosítóval, az alábbiakat teheti:
- Szabályozhatja a Microsoft Entra-azonosítóban, hogy ki rendelkezik hozzáféréssel a Check Point remote secure access VPN-hez.
- Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek a Check Point Remote Secure Access VPN-be a Microsoft Entra-fiókjukkal.
- A fiókokat egy központi helyen kezelheti.
Előfeltételek
Első lépésként a következő elemekre van szüksége:
- Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
- Check Point Remote Secure Access VPN single sign-on (SSO) kompatibilis előfizetés.
Forgatókönyv leírása
Ebben az oktatóanyagban a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.
- A Check Point Remote Secure Access VPN támogatja az SP által kezdeményezett egyszeri bejelentkezést.
Check Point Remote Secure Access VPN hozzáadása a katalógusból
A Check Point Remote Secure Access VPN Microsoft Entra-azonosítóba való integrálásának konfigurálásához fel kell vennie a Check Point Remote Secure Access VPN-t a gyűjteményből a felügyelt SaaS-alkalmazások listájára.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
- A Gyűjtemény hozzáadása szakaszban írja be a Check Point Remote Secure Access VPN kifejezést a keresőmezőbe.
- Válassza a Check Point Remote Secure Access VPN lehetőséget a találati panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.
Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.
A Microsoft Entra SSO konfigurálása és tesztelése a Check Point Remote Secure Access VPN-hez
A Microsoft Entra SSO konfigurálása és tesztelése a Check Point Remote Secure Access VPN-vel egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között a Check Point Remote Secure Access VPN-ben.
A Microsoft Entra SSO check point remote secure access VPN-sel való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:
Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
- Microsoft Entra-tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez B.Simon használatával.
- Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy B.Simon a Microsoft Entra egyszeri bejelentkezését használhassa.
Állítsa be a Check Point Remote Secure Access VPN SSO-t , hogy a felhasználók használhassák ezt a funkciót.
- Hozzon létre ellenőrzőpont távoli biztonságos hozzáférésű VPN-tesztfelhasználót , hogy b.Simon megfelelője legyen a Check Point Remote Secure Access VPN-ben, amely a felhasználó Microsoft Entra-reprezentációjához van csatolva.
SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.
A Microsoft Entra SSO konfigurálása
A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>, és ellenőrizze a pont távoli biztonságos hozzáférésű VPN>egyszeri bejelentkezését.
A Select a single sign-on method page, select SAML.
Az saml-alapú egyszeri bejelentkezés beállítása lapon kattintson az egyszerű SAML-konfiguráció ceruza ikonjára a beállítások szerkesztéséhez.
Az Egyszerű SAML-konfiguráció szakaszban adja meg a következő mezők értékeit:
Az Azonosító (Entity ID) szövegmezőbe írjon be egy URL-címet az alábbi mintával:
https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>
A Válasz URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:
https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>
A Bejelentkezés URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:
https://<GATEWAY_IP>/saml-vpn/
Feljegyzés
Ezek az értékek nem valósak. Frissítse ezeket az értékeket a tényleges azonosítóval, válasz URL-címmel és bejelentkezési URL-címmel. Az értékek lekéréséhez lépjen kapcsolatba a Check Point Remote Secure Access VPN-ügyféltámogatási csapatával . Az egyszerű SAML-konfiguráció szakaszban látható mintákra is hivatkozhat.
Az SAML-alapú egyszeri bejelentkezés beállítása lapon, az SAML aláíró tanúsítvány szakaszában keresse meg az összevonási metaadatok XML-fájlját, és válassza a Letöltés lehetőséget a tanúsítvány letöltéséhez és a számítógépre való mentéséhez.
A Check Point Remote Secure Access VPN beállítása szakaszban másolja ki a megfelelő URL-cím(ek)et a követelmény alapján.
Microsoft Entra-tesztfelhasználó létrehozása
Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.
- Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.
- Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
- A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
- A Megjelenítendő név mezőbe írja be a következőt
B.Simon
: - A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . Például:
B.Simon@contoso.com
. - Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
- Válassza az Áttekintés + létrehozás lehetőséget.
- A Megjelenítendő név mezőbe írja be a következőt
- Válassza a Létrehozás lehetőséget.
A Microsoft Entra tesztfelhasználó hozzárendelése
Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon a Check Point Remote Secure Access VPN-hez való hozzáférés biztosításával.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>, és ellenőrizze a pont távoli biztonságos hozzáférésű VPN-ét.
- Az alkalmazás áttekintő lapján válassza a Felhasználók és csoportok lehetőséget.
- Válassza a Felhasználó/csoport hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
- A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listában, majd kattintson a Képernyő alján található Kiválasztás gombra.
- Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
- A Hozzárendelés hozzáadása párbeszédpanelen kattintson a Hozzárendelés gombra.
Check Point Remote Secure Access VPN SSO konfigurálása
Külső felhasználói profil objektum konfigurálása
Feljegyzés
Ez a szakasz csak akkor szükséges, ha nem szeretne helyi Active Directory (LDAP) használni.
Konfiguráljon egy általános felhasználói profilt az örökölt SmartDashboardban:
A SmartConsole-ban válassza a Kezelés > Beállítások > panelt.
A Mobile Access szakaszban kattintson a Konfigurálás gombra a SmartDashboardban. Megnyílik az örökölt SmartDashboard.
A Hálózati objektumok panelen kattintson a Felhasználók elemre.
Kattintson a jobb gombbal egy üres területre, és válassza az Összes felhasználónak megfelelő új > külső felhasználói profil > lehetőséget.
A külső felhasználói profil tulajdonságainak konfigurálása:
Az Általános tulajdonságok lapon:
- A Külső felhasználói profil neve mezőben hagyja meg az alapértelmezett nevet
generic
* - A Lejárati dátum mezőben adja meg a vonatkozó dátumot
- A Külső felhasználói profil neve mezőben hagyja meg az alapértelmezett nevet
A Hitelesítés lapon:
- A Hitelesítési séma legördülő listában válassza a
undefined
- A Hitelesítési séma legördülő listában válassza a
A Hely, idő és titkosítás lapon:
- Egyéb alkalmazható beállítások konfigurálása
Kattintson az OK gombra.
A felső eszköztáron kattintson a Frissítés gombra (vagy nyomja le a Ctrl + S billentyűkombinációt).
Zárja be a SmartDashboardot.
A SmartConsole-ban telepítse a hozzáférés-vezérlési szabályzatot.
Távelérési VPN konfigurálása
Nyissa meg a vonatkozó biztonsági átjáró objektumát.
Az Általános tulajdonságok lapon engedélyezze az IPSec VPN-szoftver panelt.
A bal oldali fából kattintson az IPSec VPN-oldalára .
A következő VPN-közösségekben részt vevő biztonsági átjáró szakaszban kattintson a Távelérési közösség hozzáadása és kiválasztása elemre.
A bal oldali fából kattintson a VPN-ügyfelek > távelérésére.
Engedélyezze a támogatási látogató üzemmódot.
A bal oldali fából kattintson a VPN-ügyfelek > Office-módjára.
Válassza az Office mód engedélyezése lehetőséget, és válassza ki a megfelelő Office Mód metódust.
A bal oldali fából kattintson a VPN-ügyfelek > SAML portálbeállításai elemre.
Győződjön meg arról, hogy a fő URL-cím tartalmazza az átjáró teljes tartománynevét. Ennek a tartománynévnek a szervezet által regisztrált DNS-utótaggal kell végződnie. Például:
https://gateway1.company.com/saml-vpn
Győződjön meg arról, hogy a tanúsítványt a végfelhasználók böngészője megbízhatónak minősíti.
Kattintson az OK gombra.
Identitásszolgáltatói objektum konfigurálása
Végezze el az alábbi lépéseket minden olyan biztonsági átjáró esetében, amely részt vesz a távelérési VPN-ben.
A SmartConsole Átjárók & kiszolgálók nézetében kattintson az Új > további > felhasználó/identitás > identitásszolgáltató gombra.
Hajtsa végre a következő lépéseket az Új identitásszolgáltató ablakban.
a. Az Átjáró mezőben válassza ki a Biztonsági átjárót, amelynek el kell végeznie az SAML-hitelesítést.
b. A Szolgáltatás mezőben válassza a távelérési VPN-t a legördülő listából.
c. Másolja ki az Azonosító(Entitásazonosító) értéket, és illessze be ezt az értéket az Azonosító szövegmezőbe az Alapszintű SAML-konfiguráció szakaszban.
d. Másolja a Válasz URL-címet, és illessze be ezt az értéket az Egyszerű SAML-konfiguráció szakasz Válasz URL-cím mezőjébe.
e. Válassza a Metaadat-fájl importálása lehetőséget a letöltött összevonási metaadatok XML-fájljának feltöltéséhez.
Feljegyzés
Ha manuálisan szeretné beilleszteni az entitásazonosítót és a bejelentkezési URL-értékeket a megfelelő mezőkbe, és feltölti a tanúsítványfájlt, válassza a Manuális beszúrás lehetőséget is.
f. Kattintson az OK gombra.
Az identitásszolgáltató konfigurálása hitelesítési módszerként
Nyissa meg a vonatkozó biztonsági átjáró objektumát.
A VPN-ügyfelek > hitelesítése lapon:
a. Törölje a jelet a jelölőnégyzetből , amely lehetővé teszi, hogy a régebbi ügyfelek csatlakozzanak ehhez az átjáróhoz.
b. Adjon hozzá egy új objektumot, vagy szerkessze a meglévő tartományt.
Adjon meg egy nevet és egy megjelenítendő nevet, és adjon hozzá/szerkesszen egy hitelesítési módszert: Ha a bejelentkezési lehetőséget az európai parlamenti képviselőben részt vevő GW-knél fogja használni, a zökkenőmentes felhasználói élmény érdekében a névnek előtaggal
SAMLVPN_
kell kezdődnie.Válassza az Identitásszolgáltató lehetőséget, kattintson a zöld
+
gombra, és válassza ki a megfelelő Identitásszolgáltató objektumot.A Több bejelentkezési beállítás ablakban: A bal oldali panelen kattintson a Felhasználói címtárak elemre, majd válassza a Manuális konfiguráció lehetőséget. Két lehetőség kínálkozik:
- Ha nem szeretne helyi Active Directory (LDAP) használni, csak külső felhasználói profilokat jelöljön ki, és kattintson az OK gombra.
- Ha helyi Active Directory (LDAP) szeretne használni, csak LDAP-felhasználókat jelöljön ki, és az LDAP keresési típusában válassza ki az e-mailt. Ezután kattintson az OK gombra.
Konfigurálja a szükséges beállításokat a felügyeleti adatbázisban:
Zárja be a SmartConsole-t.
Csatlakozzon a GuiDBEdit eszközzel a felügyeleti kiszolgálóhoz (lásd: sk13009).
A bal felső panelen válassza a Hálózati objektumok szerkesztése > lehetőséget.
A jobb felső panelen válassza ki a Security Gateway objektumot.
Az alsó panelen lépjen realms_for_blades>VPN-hez.
Ha nem szeretne helyi Active Directory (LDAP) használni, állítsa a do_ldap_fetch hamis értékre, és do_generic_fetch igaz értékre. Ezután kattintson az OK gombra. Ha helyi Active Directory (LDAP) szeretne használni, állítsa a do_ldap_fetch igaz értékre, és do_generic_fetch hamisra. Ezután kattintson az OK gombra.
Ismételje meg a 4–6. lépést az összes alkalmazható biztonsági átjáró esetében.
Az összes módosítás mentéséhez válassza az Összes fájl>mentése lehetőséget.
Zárja be a GuiDBEdit eszközt.
Minden biztonsági átjáró és minden szoftverpanel külön beállításokkal rendelkezik. Tekintse át az egyes biztonsági átjárók és a hitelesítést használó szoftverpanelek beállításait (VPN, Mobile Access és Identity Awareness).
Győződjön meg arról, hogy csak az LDAP-t használó szoftverpanelek esetében válassza ki az LDAP-felhasználók lehetőséget.
Ügyeljen arra, hogy csak az LDAP-t nem használó szoftverpanelekhez válassza a külső felhasználói profilok lehetőséget.
Telepítse a hozzáférés-vezérlési szabályzatot minden biztonsági átjáróra.
VPN RA-ügyfél telepítése és konfigurálása
Telepítse a VPN-ügyfelet.
Állítsa be az identitásszolgáltató böngészőmódját (nem kötelező).
Alapértelmezés szerint a Windows-ügyfél a beágyazott böngészőt használja, a macOS-ügyfél pedig a Safarit használja a hitelesítéshez az identitásszolgáltató portálján. Windows-ügyfelek esetén módosítsa ezt a viselkedést az Internet Explorer használatára:
Az ügyfélszámítógépen nyisson meg egy egyszerű szöveges szerkesztőt rendszergazdaként.
Nyissa meg a
trac.defaults
fájlt a szövegszerkesztőben.32 bites Windows rendszeren:
%ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
64 bites Windows rendszeren:
%ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
Az attribútum értékének
idp_browser_mode
módosítása a következőreembedded
IE
: .Mentse a fájlt.
Indítsa újra a Check Point Endpoint Security VPN-ügyfélszolgáltatást.
Nyissa meg rendszergazdaként a Windows parancssorát, és futtassa az alábbi parancsokat:
# net stop TracSrvWrapper
# net start TracSrvWrapper
A hitelesítés indítása a háttérben futó böngészővel:
Az ügyfélszámítógépen nyisson meg egy egyszerű szöveges szerkesztőt rendszergazdaként.
Nyissa meg a
trac.defaults
fájlt a szövegszerkesztőben.32 bites Windows rendszeren:
%ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
64 bites Windows rendszeren:
%ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
macOS rendszeren:
/Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults
Módosítsa a következő értékre
idp_show_browser_primary_auth_flow
:false
.Mentse a fájlt.
Indítsa újra a Check Point Endpoint Security VPN-ügyfélszolgáltatást.
Windows-ügyfeleken nyissa meg rendszergazdaként a Windows parancssorát, és futtassa az alábbi parancsokat:
# net stop TracSrvWrapper
# net start TracSrvWrapper
MacOS-ügyfeleken futtassa a következőt:
sudo launchctl stop com.checkpoint.epc.service
sudo launchctl start com.checkpoint.epc.service
Check Point Remote Secure Access VPN-tesztfelhasználó létrehozása
Ebben a szakaszban egy Britta Simon nevű felhasználót hoz létre a Check Point Remote Secure Access VPN-ben. A Check Point Remote Secure Access VPN támogatási csapatával együttműködve vegye fel a felhasználókat a Check Point Remote Secure Access VPN-platformba. A felhasználókat az egyszeri bejelentkezés használata előtt létre kell hozni és aktiválni kell.
Egyszeri bejelentkezés tesztelése
Nyissa meg a VPN-ügyfelet, és kattintson a Csatlakozás...gombra.
Válassza a Webhely lehetőséget a legördülő listában, és kattintson a Csatlakozás gombra.
A Microsoft Entra bejelentkezési előugró ablakban jelentkezzen be a Microsoft Entra-teszt felhasználói szakaszában létrehozott Microsoft Entra hitelesítő adatokkal.
Következő lépések
A Check Point Remote Secure Access VPN konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.