チュートリアル: Microsoft Entra シングル サインオン (SSO) と Check Point Remote Secure Access VPN の統合

  • [アーティクル]

このチュートリアルでは、Check Point Remote Secure Access VPN と Microsoft Entra ID を統合する方法について説明します。 Check Point Remote Secure Access VPN と Microsoft Entra ID を統合すると、次のことができます。

  • Check Point Remote Secure Access VPN にアクセスできるユーザーを Microsoft Entra ID で制御する。
  • ユーザーが自分の Microsoft Entra アカウントを使用して Check Point Remote Secure Access VPN に自動的にサインインできるようにする。
  • 1 つの場所でアカウントを管理します。

前提条件

開始するには、次が必要です。

  • Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
  • Check Point Remote Secure Access VPN でのシングル サインオン (SSO) が有効なサブスクリプション。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。

  • Check Point Remote Secure Access VPN では、SP Initiated SSO がサポートされます。

Microsoft Entra ID への Check Point Remote Secure Access VPN の統合を構成するには、ギャラリーからマネージド SaaS アプリの一覧に Check Point Remote Secure Access VPN を追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに「Check Point Remote Secure Access VPN」と入力します。
  4. 結果のパネルから [Check Point Remote Secure Access VPN] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。

Check Point Remote Secure Access VPN 用の Microsoft Entra SSO の構成とテスト

B.Simon というテスト ユーザーを使用して、Check Point Remote Secure Access VPN に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するためには、Microsoft Entra ユーザーと Check Point Remote Secure Access VPN の関連ユーザーとの間にリンク関係を確立する必要があります。

Check Point Remote Secure Access VPN に対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します。

  1. Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。

    1. Microsoft Entra のテスト ユーザーの作成 - B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。

  2. Check Point Remote Secure Access VPN SSO の構成 - ユーザーがこの機能を使用できるようにします。

    1. Check Point Remote Secure Access VPN のテスト ユーザーを作成する - Check Point Remote Secure Access VPN で B.Simon に対応するユーザーを作成し、Microsoft Entra のユーザーにリンクさせます。

  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Check Point Remote Secure Access VPN]>[Single sign-on] (シングル サインオン) の順に移動します。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンをクリックして設定を編集します。

    Edit Basic SAML Configuration

  5. [基本的な SAML 構成] セクションで、次のフィールドの値を入力します。

    1. [識別子 (エンティティ ID)] ボックスに、次のパターンを使用して URL を入力します。https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>

    2. [応答 URL] ボックスに、https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID> のパターンを使用して URL を入力します

    3. [サインオン URL] ボックスに、次のパターンを使用して URL を入力します。https://<GATEWAY_IP>/saml-vpn/

    注意

    これらは実際の値ではありません。 これらの値は、実際の識別子、応答 URL、サインオン URL で更新してください。 これらの値を取得するには、Check Point Remote Secure Access VPN クライアント サポート チームに問い合わせてください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

  6. [SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードして、お使いのコンピューターに保存します。

    The Certificate download link

  7. [Check Point Remote Secure Access VPN のセットアップ] セクションで、要件に基づいて適切な URL をコピーします。

    Copy configuration URLs

Microsoft Entra テスト ユーザーを作成する

このセクションでは、B.Simon というテスト ユーザーを作成します。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [ユーザー] プロパティで、以下の手順を実行します。
    1. "表示名" フィールドに「B.Simon」と入力します。
    2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「 B.Simon@contoso.com 」のように入力します。
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
    4. [Review + create](レビュー + 作成) を選択します。
  5. [作成] を選択します。

Microsoft Entra テスト ユーザーを割り当てる

このセクションでは、B.Simon に Check Point Remote Secure Access VPN へのアクセスを許可して、このユーザーがシングル サインオンを使用できるようにします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Check Point Remote Secure Access VPN] の順に移動します。
  3. アプリの概要ページで、[ユーザーとグループ] を選択します。
  4. [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
    1. [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
    2. ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
    3. [割り当ての追加] ダイアログで、 [割り当て] をクリックします。

Check Point Remote Secure Access VPN SSO の構成

外部ユーザー プロファイル オブジェクトを構成する

注意

このセクションは、オンプレミス Active Directory (LDAP) を使用しない場合のみ必須です。

レガシ SmartDashboard で汎用ユーザー プロファイルを構成する:

  1. SmartConsole で、[管理と設定] > [ブレード] に移動します。

  2. [Mobile Access](モバイル アクセス) セクションの [Configure in SmartDashboard](SmartDashboard で構成) をクリックします。 レガシ SmartDashboard が表示されます。

  3. [Network Objects](ネットワーク オブジェクト) ペインの [Users](ユーザー) をクリックします。

  4. 空の領域を右クリックし、[New](新規) > [External User Profile](外部ユーザー プロファイル) > [Match all users](すべてのユーザーを照合する) を選択します。

  5. [External User Profile](外部ユーザー プロファイル) のプロパティを構成します。

    1. [General Properties](全般プロパティ) ページで:

      • 外部ユーザー プロファイルの名前フィールドは、既定の名前 (generic*) のままにします
      • [Expiration Date](有効期限) フィールドで、適切な日付を設定します

    2. [認証] ページで、次の操作を実行します。

      • [Authentication Scheme](認証スキーム) ボックスの一覧から [undefined](未定義) を選択します

    3. [Location](場所)[Time](時刻)[Encryption](暗号化) の各ページで:

      • その他の関連する設定を構成します

    4. [OK] をクリックします。

  6. 上部ツール バーの [Update](更新) をクリックします (または Ctrl + S キーを押します)。

  7. SmartDashboard を閉じます。

  8. SmartConsole で、Access Control Policy をインストールします。

Remote Access VPN を構成する

  1. 適切な Security Gateway のオブジェクトを開きます。

  2. [General Properties](全般プロパティ) ページで、IPSec VPN Software Blade を有効にします。

  3. 左側のツリーで、 [IPSec VPN] ページをクリックします。

  4. [This Security Gateway participates in the following VPN communities](この Security Gateway は次の VPN コミュニティに参加します) セクションの [Add](追加) をクリックし、 [Remote Access Community](リモート アクセス コミュニティ) を選択します。

  5. 左側のツリーから [VPN clients](VPN クライアント) > [Remote Access](リモート アクセス) をクリックします。

  6. [Support Visitor Mode](ビジター モードのサポート) を有効にします。

  7. 左側のツリーから [VPN clients](VPN クライアント) > [Office Mode](オフィス モード) をクリックします。

  8. [Allow Office Mode](オフィス モードを許可する) を選択し、適切なオフィス モード メソッドを選択します。

  9. 左側のツリーから [VPN Clients](VPN クライアント) > [SAML Portal Settings](SAML ポータル設定) をクリックします。

  10. [Main URL](メイン URL) に、ゲートウェイの完全修飾ドメイン名が指定されていることを確認します。 このドメイン名の末尾は、自分が所属する組織によって登録された DNS サフィックスであることが必要です。 例: https://gateway1.company.com/saml-vpn

  11. 証明書が、エンド ユーザーのブラウザーによって信頼されていることを確認します。

  12. [OK] をクリックします。

ID プロバイダー オブジェクトを構成する

  1. Remote Access VPN に参加する各 Security Gateway について、次の手順を実行します。

  2. SmartConsole >[ゲートウェイとサーバー] ビューで、[新規] > [詳細] > [ユーザーまたは ID] > [ID プロバイダー] をクリックします。

    screenshot for new Identity Provider.

  3. [New Identity Provider](新しい ID プロバイダー) ウィンドウで、次の手順を実行します。

    screenshot for Identity Provider section.

    a. [Gateway](ゲートウェイ) フィールドで、SAML 認証を実行する必要があるセキュリティ ゲートウェイを選択します。

    b. [Service](サービス) フィールドのドロップダウンから [Remote Access VPN] を選択します。

    c. [識別子 (エンティティ ID)] の値をコピーし、[基本的な SAML 構成] セクションの [識別子] テキスト ボックスにその値を貼り付けます。

    d. [応答 URL] の値をコピーし、[Basic SAML 構成] セクションの [応答 URL] テキスト ボックスにその値を貼り付けます。

    e. [Import Metadata File] (メタデータ ファイルのインポート) を選択し、ダウンロードしたフェデレーション メタデータ XML をアップロードします。

    Note

    または、[手動で挿入] を選択し、エンティティ IDログイン URL の値を対応するフィールドに手動で貼り付けて、証明書ファイルをアップロードすることもできます。

    f. [OK] をクリックします。

認証方法として ID プロバイダーを構成する

  1. 適切な Security Gateway のオブジェクトを開きます。

  2. [VPN Clients](VPN クライアント) > [Authentication](認証) ページで:

    a. [Allow older clients to connect to this gateway](以前のクライアントがこのゲートウェイに接続できるようにする) チェック ボックスをオフにします。

    b. 新しいオブジェクトを追加するか、既存の領域を編集します。

    screenshot for to Add a new object.

  3. 名前と表示名を入力し、認証方法を追加/編集します。MEP に参加する GW でログイン オプションが使用される場合、ユーザー エクスペリエンスを円滑にするには、名前を SAMLVPN_ プレフィックスで始める必要があります。

    screenshot about Login Option.

  4. [Identity Provider](ID プロバイダー) オプションを選択し、緑色の + ボタンをクリックして、適切な ID プロバイダー オブジェクトを選択します。

    screenshot to select the applicable Identity Provider object.

  5. [Multiple Logon Options](複数のログオン オプション) ウィンドウの左ペインで、 [User Directories](ユーザー ディレクトリ) を選択し、 [Manual configuration](手動構成) を選択します。 2 つのオプションがあります。

    1. オンプレミスの Active Directory (LDAP) を使用したくない場合は、[External User Profiles](外部ユーザー プロファイル) のみを選択して [OK] をクリックします。
    2. オンプレミスの Active Directory (LDAP) を使用したい場合は、[LDAP users](LDAP ユーザー) のみを選択し、[LDAP Lookup Type](LDAP ルックアップ タイプ) で [email](メール) を選択します。 次に、[OK] をクリックします。

    Screenshot of manual configuration.

  6. 管理データベースで必要な設定を構成します。

    1. SmartConsole を閉じます。

    2. GuiDBEdit ツールを使用して管理サーバーに接続します (sk13009 を参照)。

    3. 左上のペインで、[Edit](編集) > [Network Objects](ネットワーク オブジェクト) に移動します。

    4. 右上のペインで、 [Security Gateway object](セキュリティ ゲートウェイ オブジェクト) を選択します。

    5. 下部のペインで、[realms_for_blades]>[vpn] に移動します。

    6. オンプレミスの Active Directory (LDAP) を使用したくない場合は、 [do_ldap_fetch]false に、 [do_generic_fetch]true に設定します。 次に、 [OK] をクリックします オンプレミスの Active Directory (LDAP) を使用したい場合は、 [do_ldap_fetch]true に、 [do_generic_fetch]false に設定します。 次に、 [OK] をクリックします

    7. 該当するすべての Security Gateway について、手順 4. から手順 6. を繰り返します。

    8. [ファイル]>[保存] を選択して、すべての変更を保存します。

  7. GuiDBEdit ツールを閉じます。

  8. 各 Security Gateway と各 Software Blade には個別の設定があります。 各 Security Gateway と各 Software Blade の設定のうち、認証を使用する設定を確認します (VPN、Mobile Access、Identity Awareness)。

    • [LDAP users](LDAP ユーザー) オプションは、LDAP を使用する Software Blade でのみ選択してください。

    • [External user profiles](外部ユーザー プロファイル) オプションは、LDAP を使用しない Software Blade でのみ選択してください。

  9. 各 Security Gateway に Access Control Policy をインストールします。

VPN RA クライアントのインストールと構成

  1. VPN クライアントをインストールします。

  2. ID プロバイダーのブラウザー モード (オプション) を設定します。

    既定では、Windows クライアントはその埋め込みブラウザーを、macOS クライアントは Safari を ID プロバイダーのポータルでの認証に使用します。 Windows クライアントで、この動作を変更して Internet Explorer を使用するには、次の手順を実行します。

    1. クライアント マシンで、プレーン テキスト エディターを管理者として開きます。

    2. テキスト エディターで trac.defaults ファイルを開きます。

      • 32 ビット Windows の場合:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • 64 ビット Windows の場合:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

    3. idp_browser_mode の値を embedded から IE に変更します。

    4. ファイルを保存します。

    5. Check Point Endpoint Security VPN クライアント サービスを再起動します。

    管理者として Windows コマンド プロンプトを開き、これらのコマンドを実行します。

    # net stop TracSrvWrapper

    # net start TracSrvWrapper

  3. バックグラウンドで実行中のブラウザーを使用して認証を開始します。

    1. クライアント マシンで、プレーン テキスト エディターを管理者として開きます。

    2. テキスト エディターで trac.defaults ファイルを開きます。

      • 32 ビット Windows の場合:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • 64 ビット Windows の場合:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • macOS の場合:

        /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults

    3. idp_show_browser_primary_auth_flow の値を false に変更します。

    4. ファイルを保存します。

    5. Check Point Endpoint Security VPN クライアント サービスを再起動します。

      • Windows クライアントで、管理者として Windows コマンド プロンプトを開き、次のコマンドを実行します。

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • macOS クライアントで、次を実行します。

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Check Point Remote Secure Access VPN テスト ユーザーの作成

このセクションでは、Britta Simon というユーザーを Check Point Remote Secure Access VPN に作成します。 Check Point Remote Secure Access VPN サポート チームと連携して、Check Point Remote Secure Access VPN プラットフォームにユーザーを追加してください。 シングル サインオンを使用する前に、ユーザーを作成し、有効化する必要があります。

SSO のテスト

  1. VPN クライアントを開き、 [接続先] をクリックします。

    screenshot for Connect to.

  2. ドロップダウンから [Site](サイト) を選択し、 [Connect](接続) をクリックします。

    screenshot for selecting site.

  3. Microsoft Entra のログイン ポップアップで、「Microsoft Entra テスト ユーザーを作成する」セクションで作成した Microsoft Entra 資格情報を使ってサインインします。

次のステップ

Check Point Remote Secure Access VPN を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。