Check Point Remote Secure Access VPN configureren voor eenmalige aanmelding met Microsoft Entra-id

2025-05-04

In dit artikel leert u hoe u Check Point Remote Secure Access VPN integreert met Microsoft Entra ID. Wanneer u Check Point Remote Secure Access VPN integreert met Microsoft Entra ID, kunt u het volgende doen:

In Microsoft Entra-id beheren wie toegang heeft tot Check Point Remote Secure Access VPN.
Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Check Point Remote Secure Access VPN.
Beheer uw accounts op één centrale locatie.

Vereisten

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u er nog geen hebt, kunt u Gratis een account maken.
Een van de volgende rollen:

Check Point Remote Secure Access VPN-abonnement met geactiveerde single sign-on (SSO).

Beschrijving van scenario

In dit artikel configureert en test u Microsoft Entra Single Sign-On (SSO) in een testomgeving.

Check Point Remote Secure Access VPN ondersteunt SP-geïnitieerd SSO.

Check Point Remote Secure Access VPN toevoegen vanuit de galerie

Als u de integratie van Check Point Remote Secure Access VPN in Microsoft Entra ID wilt configureren, moet u Check Point Remote Secure Access VPN vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

Meld u aan bij het Microsoft Entra-beheercentrum als minstens een cloudtoepassingsbeheerder.
Blader naar Entra ID>Enterprise-apps>Nieuwe toepassing.
Typ in de sectie Toevoegen uit de galerie Check Point Remote Secure Access VPN in het zoekvak.
Selecteer Check Point Remote Secure Access VPN in het resultatenvenster en voeg vervolgens de app toe. Wacht een paar seconden terwijl de app aan jouw tenant wordt toegevoegd.

U kunt ook de Enterprise App Configuration Wizard gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Microsoft Entra SSO configureren en testen voor Check Point Remote Secure Access VPN

Configureer en test Microsoft Entra SSO met Check Point Remote Secure Access VPN met behulp van een testgebruiker genaamd B.Simon. Voor Single Sign-On (SSO) te laten werken, dient u een koppelingsrelatie opzetten tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Check Point Remote Secure Access VPN.

Voer de volgende stappen uit om Microsoft Entra SSO met Check Point Remote Secure Access VPN te configureren en testen:

Configureer Microsoft Entra eenmalige aanmelding (SSO) - zodat uw gebruikers deze functie kunnen gebruiken.
1. Een Microsoft Entra-testgebruiker maken : als u eenmalige aanmelding van Microsoft Entra wilt testen met B.Simon.
2. Wijs de Microsoft Entra-testgebruiker toe : om B.Simon in staat te stellen gebruik te maken van eenmalige aanmelding van Microsoft Entra.
Eenmalige aanmelding voor Check Point Remote Secure Access VPN configureren: zodat uw gebruikers deze functie kunnen gebruiken.
1. Testgebruiker voor Check Point Remote Secure Access VPN maken : als u een tegenhanger van B.Simon in Check Point Remote Secure Access VPN wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Microsoft Entra SSO configureren

nl-NL: Volg deze stappen om Microsoft Entra SSO in te schakelen.

Meld u aan bij het Microsoft Entra-beheercentrum als minstens een cloudtoepassingsbeheerder.
Blader naar Entra ID>Enterprise-apps>Check Point Remote Secure Access VPN>met eenmalige aanmelding.
Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.
Selecteer op de pagina Eenmalige aanmelding instellen met SAML het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.
In de sectie Standaard-SAML-configuratie voert u de waarden in voor de volgende velden:
1. In het tekstvak Id (Entiteits-id) typt u een URL met de volgende notatie: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>
2. In het tekstvak Antwoord-URL typt u een URL met de volgende notatie: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>
3. In het tekstvak Aanmeldings-URL typt u een URL met de volgende notatie: https://<GATEWAY_IP>/saml-vpn/
Notitie

Deze waarden zijn niet echt. Werk deze waarden bij met de werkelijke id, antwoord-URL en aanmeldings-URL. Neem contact op met het clientondersteuningsteam van Check Point Remote Secure Access VPN om deze waarden te verkrijgen. U kunt ook verwijzen naar de patronen die worden weergegeven in de sectie Standaard SAML-configuratie .
Ga op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat naar XML-bestand met federatieve metagegevens en selecteer Downloaden om het certificaat te downloaden en vervolgens op te slaan op de computer.
In de sectie Check Point Remote Secure Access VPN instellen kopieert u de juiste URL('s) op basis van uw behoeften.

Microsoft Entra-testgebruiker maken en toewijzen

Volg de richtlijnen in de quickstart voor het maken en toewijzen van een gebruikersaccount om een testgebruikersaccount met de naam B.Simon te maken.

Single Sign-On voor Check Point Remote Secure Access VPN configureren

Een extern gebruikersprofielobject configureren

Notitie

Deze sectie is alleen nodig als u geen on-premises Active Directory (LDAP) wilt gebruiken.

Een algemeen gebruikersprofiel configureren in het verouderde SmartDashboard:

Ga in SmartConsole naar > Beheren en instellingen.
Selecteer Configureren in SmartDashboard in de sectie Mobiele toegang. Het legacy SmartDashboard wordt geopend.
Selecteer Gebruikers in het deelvenster Netwerkobjecten.
Klik met de rechtermuisknop op een lege ruimte en selecteer Nieuw > extern gebruikersprofiel > voor alle gebruikers.
Configureer de eigenschappen van het externe gebruikersprofiel :
1. Op de pagina Algemene eigenschappen :
  - Laat in het veld Naam van het externe gebruikersprofiel de standaardnaam staan generic*
  - Stel in het veld Vervaldatum de toepasselijke datum in
2. Op de pagina verificatie:
  - Selecteer in de vervolgkeuzelijst Verificatieschemaundefined
3. Op de pagina's Locatie, Tijd en Versleuteling:
  - Andere toepasselijke instellingen configureren
4. Kies OK.
Selecteer Bijwerken in de bovenste werkbalk (of druk op Ctrl+S).
Sluit SmartDashboard.
Installeer het toegangsbeheerbeleid in SmartConsole.

VPN voor externe toegang configureren

Open het object van de toepasselijke beveiligingsgateway.
Schakel op de pagina Algemene eigenschappen de IPSec VPN-software Blade in.
Selecteer in de linkerstructuur de IPSec VPN-pagina .
In de sectie Deze beveiligingsgateway neemt deel aan de volgende VPN-community's, klikt u op Toevoegen en selecteert u Community voor externe toegang.
Selecteer in de linkerstructuur VPN-clients > Externe toegang.
Schakel de ondersteuningsbezoekermodus in.
Selecteer in het linkermenu VPN-clients Office-modus>.
Selecteer De Office-modus toestaan en selecteer de toepasselijke Methode voor Office-modus.
Selecteer in de linkerboom VPN-clients > SAML Portalinstellingen.
Zorg ervoor dat de hoofd-URL de volledig gekwalificeerde domeinnaam van de gateway bevat. Deze domeinnaam moet eindigen met een DNS-achtervoegsel dat is geregistreerd door uw organisatie. Bijvoorbeeld: https://gateway1.company.com/saml-vpn
Zorg ervoor dat het certificaat wordt vertrouwd door de browser van de eindgebruikers.
Kies OK.

Een id-providerobject configureren

Voer de volgende stappen uit voor elke beveiligingsgateway die deelneemt aan REMOTE Access VPN.
Selecteer in smartconsole in de weergave Gateways & Servers de optie Nieuwe > id-provider voor meer > gebruikers/identiteiten>.
Voer de volgende stappen uit in het venster Nieuwe id-provider.

een. Selecteer in het veld Gateway de beveiligingsgateway die de SAML-verificatie moet uitvoeren.

b. Selecteer in het Service-veld Externe Toegang VPN in de vervolgkeuzelijst.

Hoofdstuk c. Kopieer de id-waarde (entiteits-id) en plak deze waarde in het tekstvak Id in de sectie Standaard SAML-configuratie .

d. Kopieer de waarde van de antwoord-URL , plak deze waarde in het tekstvak Antwoord-URL in de sectie Standaard SAML-configuratie .

e. Selecteer Import Metadata File om het gedownloade XML-bestand met federatieve metagegevens te uploaden.

Notitie

U kunt ook Handmatig invoegen selecteren om handmatig de waarden voor de entiteits-id en aanmeldings-URL in de bijbehorende velden te plakken en het certificaatbestand te uploaden.

f. Kies OK.

De id-provider configureren als verificatiemethode

Open het object van de toepasselijke beveiligingsgateway.
Op de > van VPN-clients:

een. Schakel het selectievakje Toestaan dat oudere clients verbinding maken met deze gateway uit.

b. Voeg een nieuw object toe of bewerk een bestaande realm.
Voer een naam en een weergavenaam in en voeg een verificatiemethode toe/bewerk: als de aanmeldingsoptie wordt gebruikt voor GW's die deelnemen aan mep, om een soepele gebruikerservaring te bieden, moet de naam beginnen met SAMLVPN_ voorvoegsel.
Selecteer de optie Identity Provider, selecteer de groene + knop en selecteer het toepasselijke id-providerobject.
Selecteer in het venster Opties voor meerdere aanmeldingen: Selecteer in het linkerdeelvenster Gebruikersmappen en selecteer vervolgens Handmatige configuratie. Er zijn twee opties:
1. Als u geen on-premises Active Directory (LDAP) wilt gebruiken, selecteert u alleen externe gebruikersprofielen en selecteert u OK.
2. Als u een on-premises Active Directory (LDAP) wilt gebruiken, selecteert u alleen LDAP-gebruikers en selecteert u in het ldap-opzoektype e-mail. Selecteer vervolgens OK.
Configureer de vereiste instellingen in de beheerdatabase:
1. Sluit SmartConsole.
2. Maak verbinding met het GuiDBEdit-hulpprogramma met de beheerserver (zie sk13009).
3. Ga in het linkerbovenhoekvenster naar > bewerken.
4. Selecteer in het deelvenster rechtsboven het Security Gateway-object.
5. Ga in het onderste deelvenster naar realms_for_blades>vpn.
6. Als u geen on-premises Active Directory (LDAP) wilt gebruiken, stelt u do_ldap_fetch in op false en do_generic_fetch op true. Selecteer vervolgens OK. Als u een on-premises Active Directory (LDAP) wilt gebruiken, stel do_ldap_fetch in op true en do_generic_fetch op false. Selecteer vervolgens OK.
7. Herhaal stap 4 tot en met 6 voor alle toepasselijke beveiligingsgateways.
8. Sla alle wijzigingen op door Alles> opslaan te selecteren.
Sluit het GuiDBEdit-hulpprogramma.
Elke beveiligingsgateway en elke softwareblade hebben afzonderlijke instellingen. Controleer de instellingen in elke beveiligingsgateway en elke softwareblade die gebruikmaken van verificatie (VPN, mobiele toegang en identiteitsbewustzijn).
- Zorg ervoor dat u de optie LDAP-gebruikers alleen selecteert voor softwareblades die GEBRUIKMAKEN van LDAP.
- Zorg ervoor dat u de optie Externe gebruikersprofielen alleen selecteert voor softwareblades die geen LDAP gebruiken.
Installeer het toegangsbeheerbeleid op elke beveiligingsgateway.

INSTALLATIE en configuratie van VPN RA-client

Installeer de VPN-client.
Stel de browsermodus voor de identity provider in (optioneel).

De Windows-client gebruikt standaard de ingesloten browser en de macOS-client gebruikt Safari om te verifiëren in de portal van de id-provider. Voor Windows-clients wijzigt u in plaats daarvan dit gedrag om Internet Explorer te gebruiken:
1. Open op de clientcomputer een editor voor tekst zonder opmaak als beheerder.
2. Open het trac.defaults bestand in de teksteditor.
  - In 32-bits Windows:
    
    %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
  - In 64-bits Windows:
    
    %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
3. Wijzig de idp_browser_mode kenmerkwaarde van embedded in IE.
4. Sla het bestand op.
5. Start de Check Point Endpoint Security VPN-clientservice opnieuw.
Open de Windows-opdrachtprompt als beheerder en voer deze opdrachten uit:

# net stop TracSrvWrapper

# net start TracSrvWrapper
Authenticatie starten met een browser die op de achtergrond draait.
1. Open op de clientcomputer een editor voor tekst zonder opmaak als beheerder.
2. Open het trac.defaults bestand in de teksteditor.
  - In 32-bits Windows:
    
    %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
  - In 64-bits Windows:
    
    %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
  - In macOS:
    
    /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults
3. Wijzig de waarde van idp_show_browser_primary_auth_flow in false.
4. Sla het bestand op.
5. Start de Check Point Endpoint Security VPN-clientservice opnieuw.
  - Open op Windows-clients de Windows-opdrachtprompt als beheerder en voer deze opdrachten uit:
    
    # net stop TracSrvWrapper
    
    # net start TracSrvWrapper
  - Voer op macOS-clients het volgende uit:
    
    sudo launchctl stop com.checkpoint.epc.service
    
    sudo launchctl start com.checkpoint.epc.service

Testgebruiker voor Check Point Remote Secure Access VPN maken

In deze sectie maakt u een gebruiker met de naam Britta Simon in Check Point Remote Secure Access VPN. Neem contact op met het ondersteuningsteam van Check Point Remote Secure Access VPN om de gebruikers toe te voegen in het Check Point Remote Secure Access VPN-platform. Er moeten gebruikers worden gemaakt en geactiveerd voordat u eenmalige aanmelding kunt gebruiken.

SSO testen

Open de VPN-client en selecteer Verbinding maken met....
Selecteer Site in de vervolgkeuzelijst en selecteer Verbinding maken.
Meld u in het pop-upvenster voor Microsoft Entra-aanmelding aan met behulp van Microsoft Entra-referenties die u hebt gemaakt in de sectie Een Microsoft Entra-testgebruiker maken.

Zodra u Check Point Remote Secure Access VPN hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.