Dela via

Konfigurera Check Point fjärrsäker åtkomst-VPN för enkel inloggning med Microsoft Entra ID

I den här artikeln lär du dig att integrera Check Point Remote Secure Access VPN med Microsoft Entra-ID. När du integrerar Check Point Remote Secure Access VPN med Microsoft Entra-ID kan du:

  • Kontrollera i Microsoft Entra ID vem som har åtkomst till Check Point Remote Secure Access VPN.
  • Gör så att dina användare automatiskt loggas in på Check Point Remote Secure Access VPN med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Förutsättningar

Scenariot som beskrivs i den här artikeln förutsätter att du redan har följande förutsättningar:

  • Check Point Remote Secure Access VPN-prenumeration med enkel inloggning (SSO) aktiverat.

Beskrivning av scenario

I den här artikeln konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

  • Check Point Remote Secure Access VPN stöder SP-initierad Single Sign-On.

För att konfigurera integreringen av Check Point Remote Secure Access VPN i Microsoft Entra ID måste du lägga till Check Point Remote Secure Access VPN från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Entra ID>Enterprise-appar>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du Check Point Remote Secure Access VPN i sökrutan.
  4. Välj Check Point Remote Secure Access VPN från resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller och gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO for Check Point Remote Secure Access VPN

Konfigurera och testa Microsoft Entra SSO med Check Point Remote Secure Access VPN med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i Check Point Remote Secure Access VPN.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med Check Point Remote Secure Access VPN:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.

    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med B.Simon.
    2. Tilldela Microsoft Entra-testanvändaren – så att B.Simon kan använda enkel inloggning med Microsoft Entra.

  2. Konfigurera Check Point fjärråtkomst VPN SSO – för att dina användare ska kunna använda den här funktionen.

    1. Create Check Point Remote Secure Access VPN test user – för att ha en motsvarighet till B.Simon i Check Point Remote Secure Access VPN som är länkad till Microsoft Entra-representationen av användaren.

  3. Testa SSO – för att kontrollera om konfigurationen fungerar.

Konfigurera Microsoft Entra SSO

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Entra ID>Enterprise-appar>Check Point Remote Secure Access VPN>Enkel inloggning.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML väljer du pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  5. I avsnittet Grundläggande SAML-konfiguration anger du värdena för följande fält:

    1. I textrutan Identifierare (entitets-ID) anger du en URL enligt följande mönster: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>

    2. Skriv en URL med följande mönster i textrutan Svars-URL: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>

    3. I textrutan Inloggnings-URL anger du en URL enligt följande mönster: https://<GATEWAY_IP>/saml-vpn/

    Anteckning

    Dessa värden är inte verkliga. Uppdatera dessa värden med faktisk identifierare, svars-URL och inloggnings-URL. Kontakta supportteamet för Check Point Remote Secure Access VPN-klient för att få dessa värden. Du kan också referera till de mönster som visas i avsnittet Grundläggande SAML-konfiguration .

  6. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och letar upp XML för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

    Länk för nedladdning av certifikatet

  7. I avsnittet Konfigurera VPN för fjärrsäkerhetsåtkomst för kontrollpunkt kopierar du lämpliga URL:er baserat på dina behov.

    Kopiera konfigurations-URL:er

Skapa och tilldela Microsoft Entra-testanvändare

Följ riktlinjerna i skapa och tilldela ett användarkonto snabbstart för att skapa ett testanvändarkonto med namnet B.Simon.

Konfigurera Check Point säker fjärråtkomst VPN SSO

Konfigurera ett externt användarprofilobjekt

Anteckning

Det här avsnittet behövs bara om du inte vill använda en lokal Active Directory (LDAP).

Konfigurera en allmän användarprofil i Äldre SmartDashboard:

  1. I SmartConsole går du till Hantera blad och inställningar>.

  2. I avsnittet Mobile Access väljer du Konfigurera i SmartDashboard. Legacy SmartDashboard öppnas.

  3. I fönstret Nätverksobjekt objekt och välj Användare.

  4. Högerklicka på ett tomt utrymme och välj Ny > extern användarprofil > Matcha alla användare.

  5. Konfigurera egenskaperna för extern användarprofil :

    1. På sidan Allmänna egenskaper :

      • I fältet Namn på extern användarprofil lämnar du standardnamnet generic*
      • I fältet Förfallodatum anger du tillämpligt datum

    2. På sidan Autentisering :

      • I listrutan Autentiseringsschema väljer duundefined

    3. På sidorna Plats, Tid och Kryptering:

      • Konfigurera andra tillämpliga inställningar

    4. Välj OK.

  6. I det övre verktygsfältet väljer du Uppdatera (eller trycker på Ctrl + S).

  7. Stäng SmartDashboard.

  8. Installera åtkomstkontrollprincipen i SmartConsole.

Konfigurera VPN för fjärråtkomst

  1. Öppna objektet för den tillämpliga Säkerhetsgatewayen.

  2. På sidan Allmänna egenskaper aktiverar du Software Blade IPSec VPN.

  3. I det vänstra trädet väljer du sidan IPSec VPN-.

  4. I avsnittet Den här säkerhetsgatewayen deltar i följande VPN-gemenskaperväljer du Lägg till och väljer Gemenskap för fjärråtkomst.

  5. I det vänstra trädet väljer du VPN-klienter > Fjärråtkomst.

  6. Aktivera stöd för besöksläge.

  7. I det vänstra trädet väljer du VPN-klienter > Office-läge.

  8. Välj Tillåt Office-läge och välj lämplig Office-lägesmetod.

  9. I det vänstra trädet väljer du VPN-klienter > SAML-portalinställningar.

  10. Kontrollera att huvud-URL:en innehåller gatewayens fullständigt kvalificerade domännamn. Det här domännamnet ska sluta med ett DNS-suffix som registrerats av din organisation. Till exempel: https://gateway1.company.com/saml-vpn

  11. Kontrollera att certifikatet är betrott av slutanvändarwebbläsaren.

  12. Välj OK.

Konfigurera ett identitetsproviderobjekt

  1. Utför följande steg för varje Säkerhetsgateway som deltar i VPN för fjärråtkomst.

  2. I SmartConsole, i vyn Gateways & Servers, välj Ny > Mer > Användare/Identitet > Identitetsleverantör.

  3. Utför följande steg i fönstret Ny identitetsleverantör.

    skärmbild för avsnittet Identitetsprovider.

    a. I fältet Gateway väljer du Security Gateway, som måste utföra SAML-autentiseringen.

    b) I fältet Tjänst väljer du VPN för fjärråtkomst i listrutan.

    Punkt c Kopiera ID-värde (Entity ID) och klistra in det här värdet i textrutan Identifierare i avsnittet Grundläggande SAML-konfiguration .

    d. Kopiera värdet för svars-URL och klistra in det här värdet i textrutan Svars-URL i avsnittet Grundläggande SAML-konfiguration .

    e. Välj Importera metadatafil för att ladda upp den nedladdade XML-koden för federationsmetadata.

    Anteckning

    Du kan också välja Infoga manuellt för att klistra in värdena för entitets-ID och inloggnings-URL i motsvarande fält och ladda upp certifikatfilen.

    f. Välj OK.

Konfigurera identitetsprovidern som en autentiseringsmetod

  1. Öppna objektet för den tillämpliga Säkerhetsgatewayen.

  2. På sidan VPN-klienters > autentisering :

    a. Avmarkera kryssrutan Tillåt äldre klienter att ansluta till den här gatewayen.

    b) Lägg till ett nytt objekt eller redigera en befintlig sfär.

    skärmbild för att lägga till ett nytt objekt.

  3. Ange ett namn och ett visningsnamn och lägg till/redigera en autentiseringsmetod: Om inloggningsalternativet används på GW:er som deltar i MEP ska namnet börja med SAMLVPN_ prefix för att tillåta smidig användarupplevelse.

    skärmbild om inloggningsalternativet.

  4. Välj alternativet Identitetsprovider, välj den gröna knappen + och välj det tillämpliga identitetsproviderobjektet.

    skärmbild för att välja det tillämpliga Identity Provider-objektet.

  5. I fönstret Alternativ för flera inloggningar: I den vänstra rutan väljer du Användarkataloger och väljer sedan Manuell konfiguration. Det finns två alternativ:

    1. Om du inte vill använda en lokal Active Directory (LDAP) väljer du endast Externa användarprofiler och väljer OK.
    2. Om du vill använda en lokal Active Directory (LDAP) väljer du endast LDAP-användare och i LDAP-uppslagstypen väljer du e-post. Välj sedan OK.

    Skärmbild av manuell konfiguration.

  6. Konfigurera de inställningar som krävs i hanteringsdatabasen:

    1. Stäng SmartConsole.

    2. Anslut med GuiDBEdit-verktyget till hanteringsservern (se sk13009).

    3. I den övre vänstra rutan går du till Redigera > nätverksobjekt.

    4. I den övre högra rutan väljer du objektet Security Gateway.

    5. I den nedre rutan går du till realms_for_blades>vpn.

    6. Om du inte vill använda ett lokalt Active Directory (LDAP) ställer du in do_ldap_fetch till false och do_generic_fetch till true. Välj sedan OK. Om du vill använda en lokal Active Directory (LDAP) anger du do_ldap_fetch till true och do_generic_fetch till false. Välj sedan OK.

    7. Upprepa steg 4 till 6 för alla tillämpliga säkerhetsgatewayer.

    8. Spara alla ändringar genom att välja ArkivSpara alla.

  7. Stäng GuiDBEdit-verktyget.

  8. Varje Säkerhetsgateway och varje programvarublad har separata inställningar. Granska inställningarna i varje säkerhetsgateway och varje programvarublad som använder autentisering (VPN, mobil åtkomst och identitetsmedvetenhet).

    • Se till att välja alternativet LDAP-användare endast för programvarublad som använder LDAP.

    • Se till att välja alternativet externa användarprofiler endast för programvarublad som inte använder LDAP.

  9. Installera åtkomstkontrollprincipen på varje säkerhetsgateway.

Installation och konfiguration av VPN RA-klient

  1. Installera VPN-klienten.

  2. Ange webbläsarläge för identitetsprovidern (valfritt).

    Som standard använder Windows-klienten sin inbäddade webbläsare och macOS-klienten använder Safari för att autentisera på identitetsproviderns portal. För Windows-klienter ändrar du det här beteendet för att använda Internet Explorer i stället:

    1. Öppna en oformaterad textredigerare som administratör på klientdatorn.

    2. trac.defaults Öppna filen i textredigeraren.

      • På 32-bitars Windows:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • På 64-bitars Windows:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

    3. idp_browser_mode Ändra attributvärdet från embedded till IE.

    4. Spara filen.

    5. Starta om VPN-klienttjänsten Check Point Endpoint Security.

    Öppna Windows-kommandotolken som administratör och kör följande kommandon:

    # net stop TracSrvWrapper

    # net start TracSrvWrapper

  3. Starta autentisering med webbläsare som körs i bakgrunden:

    1. Öppna en oformaterad textredigerare som administratör på klientdatorn.

    2. trac.defaults Öppna filen i textredigeraren.

      • På 32-bitars Windows:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • På 64-bitars Windows:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • På macOS:

        /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults

    3. Ändra värdet idp_show_browser_primary_auth_flow för till false.

    4. Spara filen.

    5. Starta om VPN-klienttjänsten Check Point Endpoint Security.

      • Öppna Windows-kommandotolken som administratör på Windows-klienter och kör följande kommandon:

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • På macOS-klienter kör du:

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Skapa testanvändare för Check Point Remote Secure Access VPN

I det här avsnittet skapar du en användare med namnet Britta Simon i Check Point Remote Secure Access VPN. Arbeta med Check Point Remote Secure Access VPN-supportteamet för att lägga till användarna i Check Point Remote Secure Access VPN-plattformen. Användare måste skapas och aktiveras innan du använder enkel inloggning.

Testa SSO

  1. Öppna VPN-klienten och välj Anslut till....

    skärmbild för att ansluta till.

  2. Välj webbplats i rullgardinsmenyn och välj Anslut.

    skärmbild för att välja webbplats.

  3. I popup-fönstret Microsoft Entra-inloggning loggar du in med Microsoft Entra-autentiseringsuppgifter som du har skapat i avsnittet Skapa en Microsoft Entra-testanvändare .

Relaterat innehåll

När du har konfigurerat Check Point Remote Secure Access VPN kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.

  • Last updated on