Integratie van eenmalige aanmelding van Microsoft Entra met Check Point Remote Secure Access VPN

Artikel
2025-03-21

In dit artikel leert u hoe u Check Point Remote Access VPN integreert met Microsoft Entra ID. Wanneer u Check Point Remote Secure Access VPN integreert met Microsoft Entra ID, kunt u het volgende doen:

In Microsoft Entra-id beheren wie toegang heeft tot Check Point Remote Secure Access VPN.
Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Check Point Remote Secure Access VPN.
Beheer uw accounts op één centrale locatie.

Vereisten

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u er nog geen hebt, kunt u Gratis een account maken.
Een van de volgende rollen:

Check Point Remote Secure Access VPN-abonnement met geactiveerde single sign-on (SSO).

Beschrijving van scenario

In dit artikel configureert en test u Microsoft Entra Single Sign-On (SSO) in een testomgeving.

Check Point Remote Secure Access VPN ondersteunt SP-geïnitieerd SSO.

Check Point Remote Secure Access VPN toevoegen vanuit de galerie

Als u de integratie van Check Point Remote Secure Access VPN in Microsoft Entra ID wilt configureren, moet u Check Point Remote Secure Access VPN vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

Meld u aan bij het Microsoft Entra-beheercentrum als minstens een cloudtoepassingsbeheerder.
Blader naar Identiteit>Toepassingen>Bedrijfstoepassingen>Nieuwe toepassing.
Typ in de sectie Toevoegen uit de galerie Check Point Remote Secure Access VPN in het zoekvak.
Selecteer Check Point Remote Secure Access VPN in het resultatenvenster en voeg vervolgens de app toe. Wacht een paar seconden terwijl de app aan jouw tenant wordt toegevoegd.

U kunt ook de Enterprise App Configuration Wizard gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Microsoft Entra SSO configureren en testen voor Check Point Remote Secure Access VPN

Configureer en test Microsoft Entra SSO met Check Point Remote Secure Access VPN met behulp van een testgebruiker genaamd B.Simon. Voor Single Sign-On (SSO) te laten werken, dient u een koppelingsrelatie opzetten tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Check Point Remote Secure Access VPN.

Voer de volgende stappen uit om Microsoft Entra SSO met Check Point Remote Secure Access VPN te configureren en testen:

Configureer Microsoft Entra eenmalige aanmelding (SSO) - zodat uw gebruikers deze functie kunnen gebruiken.
1. Een Microsoft Entra-testgebruiker maken : als u eenmalige aanmelding van Microsoft Entra wilt testen met B.Simon.
2. Wijs de Microsoft Entra-testgebruiker toe : om B.Simon in staat te stellen gebruik te maken van eenmalige aanmelding van Microsoft Entra.
Eenmalige aanmelding voor Check Point Remote Secure Access VPN configureren: zodat uw gebruikers deze functie kunnen gebruiken.
1. Testgebruiker voor Check Point Remote Secure Access VPN maken: als u een tegenhanger van B.Simon in Check Point Remote Secure Access VPN wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Microsoft Entra SSO configureren

nl-NL: Volg deze stappen om Microsoft Entra SSO in te schakelen.

Meld u aan bij het Microsoft Entra-beheercentrum als minstens een cloudtoepassingsbeheerder.
Blader naar Identity>Applications>Enterprise-toepassingen>Check Point Remote Secure Access VPN>Eenmalige aanmelding.
Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.
Op de pagina Eenmalige aanmelding instellen met SAML klikt u op het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.
In de sectie Standaard-SAML-configuratie voert u de waarden in voor de volgende velden:
1. In het tekstvak Id (Entiteits-id) typt u een URL met de volgende notatie: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>
2. In het tekstvak Antwoord-URL typt u een URL met de volgende notatie: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>
3. In het tekstvak Aanmeldings-URL typt u een URL met de volgende notatie: https://<GATEWAY_IP>/saml-vpn/
Notitie

Dit zijn geen echte waarden. Werk deze waarden bij met de werkelijke id, antwoord-URL en aanmeldings-URL. Neem contact op met het clientondersteuningsteam van Check Point Remote Secure Access VPN om deze waarden te verkrijgen. U kunt ook verwijzen naar de patronen die worden weergegeven in de sectie Standaard SAML-configuratie .
Ga op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat naar XML-bestand met federatieve metagegevens en selecteer Downloaden om het certificaat te downloaden en vervolgens op te slaan op de computer.
In de sectie Check Point Remote Secure Access VPN instellen kopieert u de juiste URL('s) op basis van uw behoeften.

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
Blader naar Identiteit>Gebruikers>Alle gebruikers.
Selecteer Nieuwe gebruiker>Nieuwe gebruiker aanmaken bovenaan het scherm.
Voer in de gebruikerseigenschappen de volgende stappen uit:
1. Voer in het veld WeergavenaamB.Simon in.
2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld: B.Simon@contoso.com.
3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
4. Selecteer Beoordelen + aanmaken.
Selecteer Nieuw.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door haar toegang te geven tot Salesforce.

Meld u aan bij het Microsoft Entra-beheercentrum als minstens een cloudtoepassingsbeheerder.
Blader naar Identiteit>Toepassingen>Enterprise-toepassingen. Selecteer uw toepassing in de lijst met toepassingen.
Selecteer gebruikers en groepen op de overzichtspagina van de app.
Selecteer Gebruiker/groep toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
1. Selecteer in het dialoogvenster Gebruikers en groepenB.Simon in de lijst Gebruikers en selecteer vervolgens de knop Selecteer onder aan het scherm.
2. Als u verwacht dat een rol wordt toegewezen aan de gebruikers, kunt u deze selecteren in de vervolgkeuzelijst Een rol selecteren. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
3. Selecteer in het dialoogvenster Toewijzing toevoegen de knop Toewijzen.

Single Sign-On voor Check Point Remote Secure Access VPN configureren

Een extern gebruikersprofielobject configureren

Notitie

Deze sectie is alleen nodig als u geen on-premises Active Directory (LDAP) wilt gebruiken.

Een algemeen gebruikersprofiel configureren in het verouderde SmartDashboard:

Ga in SmartConsole naar > Beheren en instellingen.
Klik in de sectie Mobiele toegang op Configureren in SmartDashboard. Het legacy SmartDashboard wordt geopend.
Klik in het deelvenster Netwerkobjecten op Gebruikers.
Klik met de rechtermuisknop op een lege ruimte en selecteer Nieuw > extern gebruikersprofiel > Match alle gebruikers.
Configureer de eigenschappen van het externe gebruikersprofiel :
1. Op de pagina Algemene eigenschappen :
  - Laat in het veld Naam van het externe gebruikersprofiel de standaardnaam staan generic*
  - Stel in het veld Vervaldatum de toepasselijke datum in
2. Op de pagina verificatie:
  - Selecteer in de vervolgkeuzelijst Verificatieschemaundefined
3. Op de pagina's Locatie, Tijd en Versleuteling:
  - Andere toepasselijke instellingen configureren
4. Klik op OK.
Klik in de bovenste werkbalk op Bijwerken (of druk op Ctrl+S).
Sluit SmartDashboard.
Installeer het toegangsbeheerbeleid in SmartConsole.

VPN voor externe toegang configureren

Open het object van de toepasselijke beveiligingsgateway.
Schakel op de pagina Algemene eigenschappen de IPSec VPN-software Blade in.
Klik op de pagina IPSec VPN in de linkerstructuur.
Klik in de sectie Deze Security Gateway maakt deel uit van de volgende VPN-community's op Toevoegen en selecteer Community voor externe toegang.
Klik in de linkerstructuur op VPN-clients > Externe Toegang.
Schakel de ondersteuningsbezoekermodus in.
Klik in de linkerstructuur op VPN-clients > in de Office-modus.
Selecteer De Office-modus toestaan en selecteer de toepasselijke Methode voor Office-modus.
Klik in de linkerstructuur op VPN-clients SAML-portalinstellingen>.
Zorg ervoor dat de hoofd-URL de volledig gekwalificeerde domeinnaam van de gateway bevat. Deze domeinnaam moet eindigen met een DNS-achtervoegsel dat is geregistreerd door uw organisatie. Bijvoorbeeld: https://gateway1.company.com/saml-vpn
Zorg ervoor dat het certificaat wordt vertrouwd door de browser van de eindgebruikers.
Klik op OK.

Een id-providerobject configureren

Voer de volgende stappen uit voor elke beveiligingsgateway die deelneemt aan REMOTE Access VPN.
Klik in SmartConsole in de weergave Gateways & Servers op Nieuw > Meer > Gebruiker/Identiteit > Identiteitsprovider.
Voer de volgende stappen uit in het venster Nieuwe id-provider.

a. Selecteer in het veld Gateway de beveiligingsgateway die de SAML-verificatie moet uitvoeren.

b. Selecteer in het Service-veld Externe Toegang VPN in de vervolgkeuzelijst.

c. Kopieer de id-waarde (entiteits-id) en plak deze waarde in het tekstvak Id in de sectie Standaard SAML-configuratie .

d. Kopieer de waarde van de antwoord-URL , plak deze waarde in het tekstvak Antwoord-URL in de sectie Standaard SAML-configuratie .

e. Selecteer Import Metadata File om het gedownloade XML-bestand met federatieve metagegevens te uploaden.

Notitie

U kunt ook Handmatig invoegen selecteren om handmatig de waarden voor de entiteits-id en aanmeldings-URL in de bijbehorende velden te plakken en het certificaatbestand te uploaden.

f. Klik op OK.

De id-provider configureren als verificatiemethode

Open het object van de toepasselijke beveiligingsgateway.
Op de > van VPN-clients:

a. Schakel het selectievakje Toestaan dat oudere clients verbinding maken met deze gateway uit.

b. Voeg een nieuw object toe of bewerk een bestaande realm.
Voer een naam en een weergavenaam in en voeg een verificatiemethode toe/bewerk: als de aanmeldingsoptie wordt gebruikt voor GW's die deelnemen aan mep, om een soepele gebruikerservaring te bieden, moet de naam beginnen met SAMLVPN_ voorvoegsel.
Selecteer de optie Identity Provider, klik op de groene + knop en selecteer het betreffende id-providerobject.
Klik in het venster Meerdere aanmeldopties in het linkerdeelvenster op Gebruikersdirectory's en selecteer Handmatige configuratie. Er zijn twee opties:
1. Als u geen on-premises Active Directory (LDAP) wilt gebruiken, selecteert u alleen externe gebruikersprofielen en klikt u op OK.
2. Als u een on-premises Active Directory (LDAP) wilt gebruiken, selecteert u alleen LDAP-gebruikers en selecteert u in het ldap-opzoektype e-mail. Klik vervolgens op OK.
Configureer de vereiste instellingen in de beheerdatabase:
1. Sluit SmartConsole.
2. Maak verbinding met het GuiDBEdit-hulpprogramma met de beheerserver (zie sk13009).
3. Ga in het linkerbovenhoekvenster naar > bewerken.
4. Selecteer in het deelvenster rechtsboven het Security Gateway-object.
5. Ga in het onderste deelvenster naar realms_for_blades>vpn.
6. Als u geen on-premises Active Directory (LDAP) wilt gebruiken, stel do_ldap_fetch in op false en do_generic_fetch op true. Klik vervolgens op OK. Als u een on-premises Active Directory (LDAP) wilt gebruiken, stel do_ldap_fetch in op true en do_generic_fetch op false. Klik vervolgens op OK.
7. Herhaal stap 4 tot en met 6 voor alle toepasselijke beveiligingsgateways.
8. Sla alle wijzigingen op door Alles> opslaan te selecteren.
Sluit het GuiDBEdit-hulpprogramma.
Elke beveiligingsgateway en elke softwareblade hebben afzonderlijke instellingen. Controleer de instellingen in elke beveiligingsgateway en elke softwareblade die gebruikmaken van verificatie (VPN, mobiele toegang en identiteitsbewustzijn).
- Zorg ervoor dat u de optie LDAP-gebruikers alleen selecteert voor softwareblades die GEBRUIKMAKEN van LDAP.
- Zorg ervoor dat u de optie Externe gebruikersprofielen alleen selecteert voor softwarebladeën die geen LDAP gebruiken.
Installeer het toegangsbeheerbeleid op elke beveiligingsgateway.

INSTALLATIE en configuratie van VPN RA-client

Installeer de VPN-client.
Stel de browsermodus voor de identity provider in (optioneel).

De Windows-client gebruikt standaard de ingesloten browser en de macOS-client gebruikt Safari om te verifiëren in de portal van de id-provider. Voor Windows-clients wijzigt u in plaats daarvan dit gedrag om Internet Explorer te gebruiken:
1. Open op de clientcomputer een editor voor tekst zonder opmaak als beheerder.
2. Open het trac.defaults bestand in de teksteditor.
  - In 32-bits Windows:
    
    %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
  - In 64-bits Windows:
    
    %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
3. Wijzig de idp_browser_mode kenmerkwaarde van embedded in IE.
4. Sla het bestand op.
5. Start de Check Point Endpoint Security VPN-clientservice opnieuw.
Open de Windows-opdrachtprompt als beheerder en voer deze opdrachten uit:

# net stop TracSrvWrapper

# net start TracSrvWrapper
Authenticatie starten met een browser die op de achtergrond draait.
1. Open op de clientcomputer een editor voor tekst zonder opmaak als beheerder.
2. Open het trac.defaults bestand in de teksteditor.
  - In 32-bits Windows:
    
    %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
  - In 64-bits Windows:
    
    %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
  - In macOS:
    
    /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults
3. Wijzig de waarde van idp_show_browser_primary_auth_flow in false.
4. Sla het bestand op.
5. Start de Check Point Endpoint Security VPN-clientservice opnieuw.
  - Open op Windows-clients de Windows-opdrachtprompt als beheerder en voer deze opdrachten uit:
    
    # net stop TracSrvWrapper
    
    # net start TracSrvWrapper
  - Voer op macOS-clients het volgende uit:
    
    sudo launchctl stop com.checkpoint.epc.service
    
    sudo launchctl start com.checkpoint.epc.service

Testgebruiker voor Check Point Remote Secure Access VPN maken

In deze sectie maakt u een gebruiker met de naam Britta Simon in Check Point Remote Secure Access VPN. Neem contact op met het ondersteuningsteam van Check Point Remote Secure Access VPN om de gebruikers toe te voegen in het Check Point Remote Secure Access VPN-platform. Er moeten gebruikers worden gemaakt en geactiveerd voordat u eenmalige aanmelding kunt gebruiken.

SSO testen

Open de VPN-client en klik op Verbinding maken met....
Selecteer Site in de vervolgkeuzelijst en klik op Verbinding maken.
Meld u in het pop-upvenster voor Microsoft Entra-aanmelding aan met behulp van Microsoft Entra-referenties die u hebt gemaakt in de sectie Een Microsoft Entra-testgebruiker maken.

Zodra u Check Point Remote Secure Access VPN hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.

Delen via