Руководство. Интеграция единого входа Microsoft Entra с Check Point Remote Secure Access VPN
В этом руководстве описано, как интегрировать CHECK Point Remote Secure Access VPN с идентификатором Microsoft Entra ID. Интеграция CHECK Point Remote Secure Access VPN с идентификатором Microsoft Entra ID позволяет:
- Управляйте идентификатором Microsoft Entra, имеющим доступ к VPN Check Point Remote Secure Access.
- Включите автоматический вход пользователей в Check Point Remote Secure Access VPN с помощью учетных записей Microsoft Entra.
- Управление учетными записями в одном центральном расположении.
Необходимые компоненты
Чтобы приступить к работе, потребуется следующее.
- Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
- Подписка Check Point Remote Secure Access VPN с поддержкой единого входа (SSO).
Описание сценария
В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.
- Check Point Remote Secure Access VPN поддерживает единый вход, инициированный поставщиком удостоверений.
Добавление Check Point Remote Secure Access VPN из коллекции
Чтобы настроить интеграцию VPN Check Point Remote Secure Access с идентификатором Microsoft Entra ID, необходимо добавить VPN Check Point Remote Secure Access из коллекции в список управляемых приложений SaaS.
- Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
- Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
- В разделе Добавить из коллекции в поле поиска введите Check Point Remote Secure Access VPN.
- На панели результатов выберите Check Point Remote Secure Access VPN и добавьте приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.
Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.
Настройка и проверка единого входа Microsoft Entra для VPN удаленного безопасного доступа Check Point
Настройте и проверьте единый вход Microsoft Entra в Check Point Remote Secure Access VPN с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в vpn-подключении Check Point Remote Secure Access.
Чтобы настроить и проверить единый вход Microsoft Entra в Check Point Remote Secure Access VPN, выполните следующие действия.
Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
- Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
- Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
Настройка единого входа в Check Point Remote Secure Access VPN необходима, чтобы пользователи могли использовать эту функцию.
- Создание тестового пользователя Check Point Remote Secure Access VPN требуется для того, чтобы в Check Point Remote Secure Access VPN был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
Проверка единого входа позволяет убедиться в правильности конфигурации.
Настройка единого входа Microsoft Entra
Выполните следующие действия, чтобы включить единый вход Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
Перейдите к приложениям>Identity>Applications>Enterprise Check Point Remote Secure Access VPN>с единым входом.
На странице Выбрать метод единого входа выберите SAML.
На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.
На странице Базовая конфигурация SAML введите значения следующих полей.
В текстовое поле Идентификатор (идентификатор сущности) введите URL-адрес в следующем формате:
https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>
.В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате:
https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>
.В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате:
https://<GATEWAY_IP>/saml-vpn/
Примечание.
Эти значения приведены для примера. Измените их на фактические значения идентификатора и URL-адресов ответа и входа. Для получения этих значений обратитесь в службу поддержки клиента Check Point Remote Secure Access VPN. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".
На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите элемент XML метаданных федерации и выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.
Требуемые URL-адреса можно скопировать из раздела Настройка Check Point Remote Secure Access VPN.
Создание тестового пользователя Microsoft Entra
В этом разделе описано, как создать тестового пользователя B.Simon.
- Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
- Перейдите ко всем пользователям удостоверений>>.
- Выберите "Создать пользователя>" в верхней части экрана.
- В свойствах пользователя выполните следующие действия.
- В поле "Отображаемое имя" введите
B.Simon
. - В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например,
B.Simon@contoso.com
. - Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
- Выберите Review + create (Просмотреть и создать).
- В поле "Отображаемое имя" введите
- Нажмите кнопку создания.
Назначение тестового пользователя Microsoft Entra
В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к VPN Check Point Remote Secure Access.
- Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
- Перейдите к Приложениям удостоверений>Корпоративные приложения>>Check Point Remote Secure Access VPN.
- На странице обзора приложения выберите "Пользователи" и "Группы".
- Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
- В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
- Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
- В диалоговом окне Добавление назначения нажмите кнопку Назначить.
Настройка единого входа в Check Point Remote Secure Access VPN
Настройка объекта профиля внешнего пользователя
Примечание.
Этот раздел необходим только в том случае, если вы не хотите использовать локальную службу Active Directory (LDAP).
Настройте универсальный профиль пользователя на устаревшей интеллектуальной панели мониторинга.
В SmartConsole перейдите к колонкам управления и Параметры>.
В разделе Мобильный доступ щелкните Настроить на интеллектуальной панели мониторинга. Откроется устаревшая интеллектуальная панель мониторинга.
Перейдите в область Сетевые объекты и щелкните Пользователи.
Щелкните пустое пространство правой кнопкой мыши и выберите Создать > Профиль внешнего пользователя > Сопоставить всех пользователей.
Настройте свойства Профиля внешнего пользователя
На странице Общие свойства
- В поле имени внешнего профиля пользователя оставьте имя по умолчанию
generic
*. - В поле Дата окончания срока действия установите применимую дату.
- В поле имени внешнего профиля пользователя оставьте имя по умолчанию
На странице проверки подлинности:
- В раскрывающемся списке Схема проверки подлинности выберите
undefined
.
- В раскрывающемся списке Схема проверки подлинности выберите
На страницах Расположение, Время и Шифрование
- Настройка других применимых параметров
Щелкните OK.
На верхней панели инструментов нажмите кнопку Обновить (или нажмите клавиши CTRL + S).
Закройте интеллектуальную панель мониторинга.
В интеллектуальной консоли установите политику контроля доступа.
Настройка VPN удаленного доступа
Откройте объект применимого шлюза безопасности.
На странице "Общие свойства" включите колонку ПО VPN-подключение IPSec.
В дереве слева щелкните страницу VPN-подключение IPSec.
В разделе Этот шлюз безопасности участвует в следующих сообществах VPN щелкните Добавить и выберите Сообщество удаленного доступа.
В дереве слева нажмите VPN-клиенты > Удаленный доступ.
Включите Поддерживать режим посетителя.
В дереве слева нажмите VPN-клиенты > Офисный режим.
Выберите параметр Разрешить офисный режим и выберите подходящий метод офисного режима.
В дереве слева нажмите VPN-клиенты > Параметры портала SAML.
Убедитесь, что основной URL-адрес содержит полное доменное имя шлюза. Это доменное имя должно заканчиваться DNS-суффиксом, зарегистрированным вашей организацией. Например:
https://gateway1.company.com/saml-vpn
Убедитесь, что сертификат является доверенным для пользовательского браузера.
Щелкните OK.
Настройка объекта поставщика удостоверений
Выполните следующие действия для каждого шлюза безопасности, участвующего в VPN удаленного доступа.
В представлении шлюзов SmartConsole >и серверов щелкните Новый >> поставщик удостоверений пользователей или удостоверений>.
Выполните следующие действия на странице New Identity Provider (Новый поставщик удостоверений):
a. В поле шлюз выберите шлюз безопасности, который должен выполнять проверку подлинности SAML.
b. В поле Служба выберите VPN удаленного доступа из раскрывающегося списка.
c. Скопируйте значение идентификатора сущности, вставьте это значение в текстовое поле идентификатора в разделе "Базовая конфигурация SAML".
d. Скопируйте значение URL-адреса ответа, вставьте это значение в текстовое поле URL-адреса ответа в разделе "Базовая конфигурация SAML".
д) Выберите импорт файла метаданных, чтобы отправить скачанный XML-файл метаданных федерации.
Примечание.
Кроме того, можно вручную вставить значения идентификаторасущности и URL-адреса входа в соответствующие поля, а также отправить файл сертификата.
f. Щелкните OK.
Настройка поставщика удостоверений в качестве способа проверки подлинности
Откройте объект применимого шлюза безопасности.
На странице VPN-клиенты > Проверка подлинности:
a. Снимите флажок Разрешить старым клиентам подключаться к этому шлюзу.
b. Добавьте новый объект или измените существующую область.
Введите имя и отображаемое имя и добавьте или измените метод проверки подлинности: если параметр входа будет использоваться в GWs, участвующих в MEP, чтобы разрешить плавному пользовательскому интерфейсу имя должно начинаться с
SAMLVPN_
префикса.Выберите вариант Поставщик удостоверений, нажмите зеленую кнопку
+
и выберите применимый объект поставщика удостоверений.В окне "Несколько вариантов входа в систему": в левой области щелкните Каталоги пользователей и выберите Настройка вручную. Существует два варианта.
- Если вы не хотите использовать локальную службу Active Directory (LDAP), выберите только профили внешних пользователей и нажмите кнопку OK.
- Если вы хотите использовать локальную службу Active Directory (LDAP), выберите только пользователей LDAP, а в качестве типа поиска LDAP выберите адрес электронной почты. Затем нажмите кнопку ОК.
Настройте необходимые параметры в базе данных управления.
Закройте интеллектуальную панель мониторинга.
Подключитесь к серверу управления с помощью средства GuiDBEdit (см. sk13009).
В верхней левой области перейдите в раздел Редактировать > Сетевые объекты.
В верхней правой области выберите Объект шлюза безопасности.
В нижней области перейдите к realms_for_blades>VPN.
Если вы не хотите использовать локальную службу Active Directory (LDAP), задайте для параметра do_ldap_fetch значение false, а для параметра do_generic_fetch — значение true. Затем нажмите кнопку ОК. Если вы хотите использовать локальную службу Active Directory (LDAP), задайте для параметра do_ldap_fetch значение true, а для параметра do_generic_fetch — значение false. Затем нажмите кнопку ОК.
Повторите шаги с 4 по 6 для всех применимых шлюзов безопасности.
Сохраните все изменения, выбрав элементы Файл>Сохранить все.
Закройте средство GuiDBEdit.
У каждого шлюза безопасности и каждой колонки ПО свои параметры. Проверьте параметры для каждого шлюза безопасности и каждой колонки ПО, использующих проверку подлинности (VPN, мобильный доступ и Identity Awareness).
Убедитесь, что вариант Пользователи LDAP выбран только для колонок ПО, использующих протокол LDAP.
Убедитесь, что вариант Профили внешних пользователей выбран только для колонок ПО, не использующих протокол LDAP.
Установите политику контроля доступа на каждом шлюзе безопасности.
Установка и настройка клиента VPN RA
Установите VPN-клиент.
Установите режим просмотра поставщика удостоверений (необязательно).
По умолчанию клиент Windows использует встроенный браузер, а клиент macOS — Safari для проверки подлинности на портале поставщика удостоверений. Чтобы клиенты Windows использовали вместо этого Internet Explorer, сделайте следующее:
На клиентском компьютере откройте обычный текстовый редактор с правами администратора.
Откройте файл
trac.defaults
в текстовом редакторе.В 32-разрядной версии Windows:
%ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
В 64-разрядной версии Windows:
%ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
Измените значение атрибута
idp_browser_mode
сembedded
наIE
.Сохраните файл.
Перезапустите службу VPN-клиента безопасности конечных точек Check Point.
Откройте командную строку Windows от имени администратора и выполните следующие команды.
# net stop TracSrvWrapper
# net start TracSrvWrapper
Начните проверку подлинности, запустив браузер в фоновом режиме.
На клиентском компьютере откройте обычный текстовый редактор с правами администратора.
Откройте файл
trac.defaults
в текстовом редакторе.В 32-разрядной версии Windows:
%ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
В 64-разрядной версии Windows:
%ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
В MacOS:
/Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults
Измените значение атрибута
idp_show_browser_primary_auth_flow
наfalse
.Сохраните файл.
Перезапустите службу VPN-клиента безопасности конечных точек Check Point.
На клиентах Windows откройте командную строку Windows от имени администратора и выполните следующие команды.
# net stop TracSrvWrapper
# net start TracSrvWrapper
На клиентах macOS нужно выполнить следующие команды:
sudo launchctl stop com.checkpoint.epc.service
sudo launchctl start com.checkpoint.epc.service
Создание тестового пользователя Check Point Remote Secure Access VPN
В данном разделе описано, как создать пользователя с именем Britta Simon в Check Point Remote Secure Access VPN. Обратитесь в техническую поддержку Check Point Remote Secure Access VPN, чтобы добавить пользователей на платформе Check Point Remote Secure Access VPN. Перед использованием единого входа необходимо создать и активировать пользователей.
Проверка единого входа
Откройте VPN-клиент и нажмите Подключение к...
Выберите Сайт из раскрывающегося списка и нажмите Подключиться.
Во всплывающем авторизации Microsoft Entra войдите с помощью учетных данных Microsoft Entra, созданных в разделе "Создание тестового пользователя Microsoft Entra".
Следующие шаги
После настройки Check Point Remote Secure Access VPN вы можете применить функцию управления сеансом, которая в реальном времени защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.