Udostępnij za pośrednictwem

Samouczek: integracja logowania jednokrotnego firmy Microsoft z usługą Check Point Remote Secure Access VPN

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować sieć VPN zdalnego bezpiecznego dostępu punktu check point z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu sieci VPN zdalnego dostępu do punktu check point z identyfikatorem Entra ID firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do sieci VPN zdalnego dostępu zdalnego punktu.
  • Umożliwianie użytkownikom automatycznego logowania do sieci VPN zdalnego dostępu do punktu kontrolnego przy użyciu kont firmy Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji Check Point Remote Secure Access VPN z obsługą logowania jednokrotnego.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

  • Usługa Check Point Remote Secure Access VPN obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.

Aby skonfigurować integrację sieci VPN zdalnego dostępu punktu check point do usługi Microsoft Entra ID, należy dodać sieć VPN zdalnego dostępu punktów zdalnego dostępu z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz Check Point Remote Secure Access VPN w polu wyszukiwania.
  4. Wybierz pozycję Check Point Remote Secure Access VPN z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego firmy Microsoft dla rozwiązania Check Point Remote Secure Access VPN

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft za pomocą sieci VPN zdalnego dostępu do punktu kontrolnego przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem w usłudze Check Point Remote Secure Access VPN.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z siecią VPN zdalnego dostępu do punktu kontrolnego, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.

    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
    2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.

  2. Skonfiguruj logowanie jednokrotne sieci VPN zdalnego dostępu zdalnego punktu — aby umożliwić użytkownikom korzystanie z tej funkcji.

    1. Tworzenie użytkownika testowego sieci VPN zdalnego dostępu zdalnego dostępu do punktu kontrolnego — aby mieć w usłudze Check Point Remote Secure Access odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.

  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do aplikacji>dla przedsiębiorstw Aplikacji tożsamości>>Check Point Remote Secure Access>VPN Single sign-on.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Edycja podstawowej konfiguracji protokołu SAML

  5. W sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

    1. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, używając następującego wzorca: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>

    2. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>

    3. W polu tekstowym Adres URL logowania wpisz adres URL, używając następującego wzorca: https://<GATEWAY_IP>/saml-vpn/

    Uwaga

    Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Aby uzyskać te wartości, skontaktuj się z zespołem pomocy technicznej klienta sieci VPN zdalnego dostępu zdalnego punktu dostępu zdalnego. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    Link do pobierania certyfikatu

  7. W sekcji Konfigurowanie sieci VPN zdalnego dostępu do punktu kontrolnego skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Kopiowanie adresów URL konfiguracji

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do sieci VPN zdalnego dostępu zdalnego punktu.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do sekcji>Aplikacje dla przedsiębiorstw Aplikacje>dla>przedsiębiorstw Check Point Remote Secure Access VPN.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie logowania jednokrotnego sieci VPN zdalnego dostępu zdalnego punktu

Konfigurowanie obiektu profilu użytkownika zewnętrznego

Uwaga

Ta sekcja jest wymagana tylko wtedy, gdy nie chcesz używać lokalna usługa Active Directory (LDAP).

Skonfiguruj ogólny profil użytkownika w starszej wersji smartDashboard:

  1. W obszarze SmartConsole przejdź do pozycji Zarządzaj blokami i ustawieniami>.

  2. W sekcji Mobile Access kliknij pozycję Konfiguruj w obszarze SmartDashboard. Zostanie otwarty starszy powłoka SmartDashboard.

  3. W okienku Obiekty sieciowe kliknij pozycję Użytkownicy.

  4. Kliknij prawym przyciskiem myszy puste miejsce i wybierz pozycję Nowy > profil > użytkownika zewnętrznego Dopasuj wszystkich użytkowników.

  5. Skonfiguruj właściwości profilu użytkownika zewnętrznego:

    1. Na stronie Właściwości ogólne:

      • W polu Nazwa profilu użytkownika zewnętrznego pozostaw nazwę domyślnągeneric*
      • W polu Data wygaśnięcia ustaw odpowiednią datę

    2. Na uwierzytelniania strony:

      • Z listy rozwijanej Schemat uwierzytelniania wybierz pozycję undefined

    3. Na stronach Lokalizacja, Godzina i Szyfrowanie:

      • Konfigurowanie innych odpowiednich ustawień

    4. Kliknij przycisk OK.

  6. Na górnym pasku narzędzi kliknij pozycję Aktualizuj (lub naciśnij Ctrl + S).

  7. Zamknij powłokę SmartDashboard.

  8. W rozwiązaniu SmartConsole zainstaluj zasady kontroli dostępu.

Konfigurowanie sieci VPN dostępu zdalnego

  1. Otwórz obiekt odpowiedniej bramy zabezpieczeń.

  2. Na stronie Właściwości ogólne włącz blok oprogramowania sieci VPN PROTOKOŁU IPSec.

  3. W drzewie po lewej stronie kliknij stronę IPSec VPN .

  4. W sekcji Ta brama zabezpieczeń uczestniczy w następujących społecznościach sieci VPN, kliknij przycisk Dodaj i wybierz pozycję Społeczność dostępu zdalnego.

  5. W drzewie po lewej stronie kliknij pozycję Dostęp zdalny klientów > sieci VPN.

  6. Włącz tryb gościa pomocy technicznej.

  7. W drzewie po lewej stronie kliknij pozycję Tryb pakietu Office klientów > sieci VPN.

  8. Wybierz pozycję Zezwalaj na tryb pakietu Office i wybierz odpowiednią metodę trybu pakietu Office.

  9. W drzewie po lewej stronie kliknij pozycję Ustawienia portalu SAML klientów > sieci VPN.

  10. Upewnij się, że główny adres URL zawiera w pełni kwalifikowaną nazwę domeny bramy. Ta nazwa domeny powinna kończyć się sufiksem DNS zarejestrowanym przez organizację. Na przykład: https://gateway1.company.com/saml-vpn.

  11. Upewnij się, że certyfikat jest zaufany przez przeglądarkę użytkowników końcowych.

  12. Kliknij przycisk OK.

Konfigurowanie obiektu dostawcy tożsamości

  1. Wykonaj następujące kroki dla każdej bramy zabezpieczeń, która uczestniczy w sieci VPN dostępu zdalnego.

  2. W obszarze SmartConsole w widoku Bramy i serwery kliknij pozycję Nowy > dostawca >tożsamości użytkownika/tożsamości>.

  3. Wykonaj następujące kroki w oknie Nowy dostawca tożsamości.

    zrzut ekranu przedstawiający sekcję Dostawca tożsamości.

    a. W polu Brama wybierz bramę zabezpieczeń, która musi przeprowadzić uwierzytelnianie SAML.

    b. W polu Usługa wybierz z listy rozwijanej pozycję Sieć VPN dostępu zdalnego.

    c. Skopiuj wartość Identyfikator (identyfikator jednostki), wklej tę wartość w polu tekstowym Identyfikator w sekcji Podstawowa konfiguracja protokołu SAML.

    d. Skopiuj wartość Adresu URL odpowiedzi, wklej tę wartość w polu tekstowym Adres URL odpowiedzi w sekcji Podstawowa konfiguracja protokołu SAML.

    e. Wybierz pozycję Importuj plik metadanych, aby przekazać pobrany plik XML metadanych federacji.

    Uwaga

    Alternatywnie możesz również wybrać opcję Wstaw ręcznie, aby wkleić ręcznie wartości Identyfikator jednostki i Adres URL logowania do odpowiednich pól, a następnie przekazać plik certyfikatu.

    f. Kliknij przycisk OK.

Konfigurowanie dostawcy tożsamości jako metody uwierzytelniania

  1. Otwórz obiekt odpowiedniej bramy zabezpieczeń.

  2. Na stronie Uwierzytelnianie klientów > sieci VPN:

    a. Wyczyść pole wyboru Zezwalaj starszym klientom na łączenie się z tą bramą.

    b. Dodaj nowy obiekt lub edytuj istniejący obszar.

    zrzut ekranu przedstawiający dodawanie nowego obiektu.

  3. Wprowadź nazwę i nazwę wyświetlaną, a następnie dodaj/edytuj metodę uwierzytelniania: jeśli opcja logowania będzie używana w GWs, którzy uczestniczą w MEP, w celu umożliwienia bezproblemowego środowiska użytkownika nazwa powinna zaczynać się od SAMLVPN_ prefiksu.

    zrzut ekranu przedstawiający opcję logowania.

  4. Wybierz opcję Dostawca tożsamości, kliknij zielony + przycisk i wybierz odpowiedni obiekt dostawcy tożsamości.

    Zrzut ekranu przedstawiający wybieranie odpowiedniego obiektu dostawcy tożsamości.

  5. W oknie Wiele opcji logowania: w okienku po lewej stronie kliknij pozycję Katalogi użytkowników, a następnie wybierz pozycję Konfiguracja ręczna. Dostępne są dwie opcje:

    1. Jeśli nie chcesz używać lokalna usługa Active Directory (LDAP), wybierz tylko profile użytkowników zewnętrznych i kliknij przycisk OK.
    2. Jeśli chcesz użyć lokalna usługa Active Directory (LDAP), wybierz tylko użytkowników LDAP, a następnie w polu Typ wyszukiwania LDAP wybierz pozycję wiadomość e-mail. Następnie kliknij przycisk OK.

    Zrzut ekranu przedstawiający konfigurację ręczną.

  6. Skonfiguruj wymagane ustawienia w bazie danych zarządzania:

    1. Zamknij filtr SmartConsole.

    2. Połącz się z narzędziem GuiDBEdit z serwerem zarządzania (zobacz sk13009).

    3. W lewym górnym okienku przejdź do pozycji Edytuj > obiekty sieciowe.

    4. W prawym górnym okienku wybierz obiekt Security Gateway.

    5. W dolnym okienku przejdź do realms_for_blades>sieci VPN.

    6. Jeśli nie chcesz używać lokalna usługa Active Directory (LDAP), ustaw wartość do_ldap_fetch na wartość false i do_generic_fetch na true. Następnie kliknij przycisk OK. Jeśli chcesz użyć lokalna usługa Active Directory (LDAP), ustaw wartość do_ldap_fetch na true i do_generic_fetch wartość false. Następnie kliknij przycisk OK.

    7. Powtórz kroki od 4 do 6 dla wszystkich odpowiednich bram zabezpieczeń.

    8. Zapisz wszystkie zmiany, wybierając pozycję Plik>Zapisz wszystko.

  7. Zamknij narzędzie GuiDBEdit.

  8. Każda brama zabezpieczeń i każdy blok oprogramowania mają oddzielne ustawienia. Przejrzyj ustawienia w każdej bramie zabezpieczeń i każdym bloku oprogramowania korzystającym z uwierzytelniania (VPN, Mobile Access i Identity Awareness).

    • Upewnij się, że wybrano opcję Użytkownicy LDAP tylko dla bloków oprogramowania korzystających z protokołu LDAP.

    • Upewnij się, że wybrano opcję Profile użytkowników zewnętrznych tylko w przypadku bloków oprogramowania, które nie używają protokołu LDAP.

  9. Zainstaluj zasady kontroli dostępu w każdej bramie zabezpieczeń.

Instalacja i konfiguracja klienta usługi VPN RA

  1. Zainstaluj klienta sieci VPN.

  2. Ustaw tryb przeglądarki dostawcy tożsamości (opcjonalnie).

    Domyślnie klient systemu Windows używa przeglądarki osadzonej, a klient systemu macOS używa przeglądarki Safari do uwierzytelniania w portalu dostawcy tożsamości. W przypadku klientów z systemem Windows zmień to zachowanie, aby zamiast tego używać programu Internet Explorer:

    1. Na komputerze klienckim otwórz edytor zwykłego tekstu jako administrator.

    2. trac.defaults Otwórz plik w edytorze tekstów.

      • W 32-bitowym systemie Windows:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • W 64-bitowym systemie Windows:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

    3. Zmień wartość atrybutu idp_browser_mode z embedded na IE.

    4. Zapisz plik.

    5. Uruchom ponownie usługę klienta sieci VPN zabezpieczeń punktu końcowego punktu kontrolnego.

    Otwórz wiersz polecenia systemu Windows jako administrator i uruchom następujące polecenia:

    # net stop TracSrvWrapper

    # net start TracSrvWrapper

  3. Rozpocznij uwierzytelnianie za pomocą przeglądarki uruchomionej w tle:

    1. Na komputerze klienckim otwórz edytor zwykłego tekstu jako administrator.

    2. trac.defaults Otwórz plik w edytorze tekstów.

      • W 32-bitowym systemie Windows:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • W 64-bitowym systemie Windows:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • W systemie macOS:

        /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults

    3. Zmień wartość na idp_show_browser_primary_auth_flow false.

    4. Zapisz plik.

    5. Uruchom ponownie usługę klienta sieci VPN zabezpieczeń punktu końcowego punktu kontrolnego.

      • Na klientach z systemem Windows otwórz wiersz polecenia systemu Windows jako administrator i uruchom następujące polecenia:

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • Na klientach z systemem macOS uruchom polecenie:

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Tworzenie użytkownika testowego aplikacji Check Point Remote Secure Access VPN

W tej sekcji utworzysz użytkownika Britta Simon w usłudze Check Point Remote Secure Access VPN. Skontaktuj się z zespołem pomocy technicznej sieci VPN zdalnego dostępu zdalnego punktu kontroli dostępu zdalnego, aby dodać użytkowników na platformie VPN zdalnego dostępu zdalnego punktu kontrolnego. Użytkownicy muszą być utworzeni i aktywowani przed rozpoczęciem korzystania z logowania jednokrotnego.

Testowanie logowania jednokrotnego

  1. Otwórz klienta sieci VPN i kliknij przycisk Połącz z....

    zrzut ekranu przedstawiający pozycję Połącz z.

  2. Wybierz pozycję Lokacja z listy rozwijanej, a następnie kliknij pozycję Połącz.

    zrzut ekranu przedstawiający wybieranie witryny.

  3. W oknie podręcznym Microsoft Entra login zaloguj się przy użyciu poświadczeń firmy Microsoft Entra utworzonych w sekcji Tworzenie użytkownika testowego aplikacji Microsoft Entra.

Następne kroki

Po skonfigurowaniu sieci VPN zdalnego dostępu do punktu punktów można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.