Aracılığıyla paylaş


Microsoft Entra ID ile Çoklu oturum açma için Check Point Uzaktan Güvenli Erişim VPN'sini yapılandırma

Bu makalede Check Point Uzaktan Güvenli Erişim VPN'sini Microsoft Entra Id ile tümleştirmeyi öğreneceksiniz. Check Point Uzaktan Güvenli Erişim VPN'sini Microsoft Entra Id ile tümleştirdiğinizde şunları yapabilirsiniz:

  • Check Point Uzaktan Güvenli Erişim VPN'sine kimlerin erişimi olduğunu Microsoft Entra Id'de denetleyin.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla Check Point Uzaktan Güvenli Erişim VPN'sinde otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

Önkoşullar

Bu makalede özetlenen senaryo, aşağıdaki önkoşullara zaten sahip olduğunuzu varsayar:

  • Etkin aboneliği olan bir Microsoft Entra kullanıcı hesabı. Henüz bir hesabınız yoksa, ücretsiz bir hesap oluşturun .
  • Aşağıdaki rollerden biri:
  • Check Point Uzaktan Güvenli Erişim VPN tek oturum açma (SSO) etkin aboneliği.

Senaryo açıklaması

Bu makalede Microsoft Entra SSO'larını bir test ortamında yapılandırıp test edebilirsiniz.

  • Check Point Uzaktan Güvenli Erişim VPN, SP tarafından başlatılan SSO'ları destekler.

Check Point Uzaktan Güvenli Erişim VPN'sinin Microsoft Entra ID ile tümleştirmesini yapılandırmak için galeriden Check Point Uzaktan Güvenli Erişim VPN'sini yönetilen SaaS uygulamaları listenize eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az bir Bulut Uygulaması Yöneticisi olarak oturum açın.
  2. Entra ID>Kurumsal uygulamalar>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna Denetim Noktası Uzaktan Güvenli Erişim VPN'i yazın.
  4. Sonuçlar panelinden Denetim Noktası Uzaktan Güvenli Erişim VPN'i seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

Check Point Uzaktan Güvenli Erişim VPN'i için Microsoft Entra SSO yapılandırma ve test

B.Simon adlı bir test kullanıcısını kullanarak Check Point Remote Secure Access VPN ile Microsoft Entra SSO'larını yapılandırın ve test edin. SSO'nun çalışması için Check Point Uzaktan Güvenli Erişim VPN'sinde bir Microsoft Entra kullanıcısı ile ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

Check Point Remote Secure Access VPN ile Microsoft Entra SSO'larını yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.

    1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
  2. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Denetim Noktası Uzaktan Güvenli Erişim VPN SSO'sını yapılandırın.

    1. Check Point Remote Secure Access VPN için bir test kullanıcısı oluşturun - bu, kullanıcının Microsoft Entra temsiline bağlı olarak Check Point Remote Secure Access VPN'de B.Simon'ın bir karşılığına sahip olmanızı sağlar.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az bir Bulut Uygulaması Yöneticisi olarak oturum açın.

  2. Entra ID>Kurumsal uygulamaları>Denetim Noktası Uzaktan Güvenli Erişim VPN>Çoklu oturum açma bölümüne gidin.

  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  4. SamL ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesini seçin.

    Temel SAML Yapılandırmasını Düzenle

  5. Temel SAML Yapılandırması bölümünde, aşağıdaki alanların değerlerini girin:

    1. Tanımlayıcı (Varlık Kimliği) metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>

    2. Yanıt URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>

    3. Oturum açma URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<GATEWAY_IP>/saml-vpn/

    Not

    Bu değerler gerçek değildir. Bu değerleri gerçek Tanımlayıcı, Yanıt URL'si ve Oturum Açma URL'si ile güncelleştirin. Bu değerleri almak için Check Point Uzaktan Güvenli Erişim VPN İstemcisi destek ekibine başvurun. Temel SAML Yapılandırması bölümünde gösterilen desenlere de başvurabilirsiniz.

  6. SAML ile çoklu oturum açmayı ayarlama sayfasında, SAML İmzalama Sertifikası bölümünde Federasyon Meta Verileri XML'sini bulun ve İndir'i seçerek sertifikayı indirip bilgisayarınıza kaydedin.

    Sertifika indirme bağlantısı

  7. Check Point Uzaktan Güvenli Erişim VPN'sini Ayarlama bölümünde, gereksinimlerinize göre uygun URL'leri kopyalayın.

    Yapılandırma URL'lerini kopyalama

Microsoft Entra test kullanıcısı oluşturma ve atama

B.Simon adlı bir test kullanıcısı hesabı oluşturmak için kullanıcı hesabı oluşturma ve atama hızlı başlangıçtaki yönergeleri izleyin.

Check Point Uzaktan Güvenli Erişim VPN SSO'sunu Yapılandırma

Dış Kullanıcı Profili nesnesi yapılandırma

Not

Bu bölüm yalnızca şirket içi Active Directory (LDAP) kullanmak istemiyorsanız gereklidir.

Eski SmartDashboard'da genel bir kullanıcı profili yapılandırın:

  1. SmartConsole'da Yönet & Ayarlar Blades kısmına gidin.

  2. Mobil Erişim bölümünde SmartDashboard 'de Yapılandır'ıseçin. Legacy SmartDashboard açılır.

  3. Nesneleri bölmesinde, Kullanıcılarseçin.

  4. Boş bir alana sağ tıklayın ve Yeni > Dış Kullanıcı Profili > tüm kullanıcılarıeşleştir'i seçin.

  5. Dış Kullanıcı Profili özelliklerini yapılandırın:

    1. Genel Özellikler sayfasında:

      • Dış Kullanıcı Profili adı alanında varsayılan adı bırakıngeneric*
      • Sona Erme Tarihi alanında, geçerli tarihi ayarlayın
    2. Kimlik Doğrulaması sayfasında:

      • Kimlik Doğrulama Düzeni açılır listesinden seçinundefined
    3. Konum, Saat ve Şifreleme sayfalarında:

      • Diğer geçerli ayarları yapılandırma
    4. Tamam'ı seçin.

  6. Üst araç çubuğundan Güncelleştir öğesini seçin (veya Ctrl + S tuşlarına basın).

  7. SmartDashboard'ı kapatın.

  8. SmartConsole'da Erişim Denetimi İlkesi'ni yükleyin.

Uzaktan Erişim VPN'lerini yapılandırma

  1. İlgili Güvenlik Ağ Geçidi nesnesini açın.

  2. Genel Özellikler sayfasında IPSec VPN Yazılım Bıçağını etkinleştirin.

  3. Sol ağaçtan IPSec VPN sayfasını seçin.

  4. Bu Güvenlik Ağ Geçidi aşağıdaki VPN topluluklarına bölümünde Ekle'yi seçin ve uzaktan erişim topluluğu seçin.

  5. Sol ağaçtan Uzaktan Erişim >VPN istemcilerini seçin.

  6. Destek Ziyaretçi Modu'nu etkinleştirin.

  7. Sol ağaçtan VPN istemcileri > Ofis Moduseçin.

  8. Office Moduna İzin Ver'i seçin ve uygun Office Modu Yöntemini seçin.

  9. Sol ağaçtan VPN Clients > SAML Portal Settingsöğesini seçin.

  10. Ana URL'nin, ağ geçidinin tam etki alanı adını içerdiğinden emin olun. Bu etki alanı adı, kuruluşunuzun kaydettirdiği bir DNS soneki ile bitmelidir. Örneğin: https://gateway1.company.com/saml-vpn

  11. Sertifikaya son kullanıcıların tarayıcısı tarafından güvenildiğinden emin olun.

  12. Tamam'ı seçin.

Kimlik Sağlayıcısı nesnesini yapılandırma

  1. Uzaktan Erişim VPN'sine katılan her Güvenlik Ağ Geçidi için aşağıdaki adımları uygulayın.

  2. SmartConsole'daki Ağ Geçitleri & Sunucular görünümünde Yeni > Daha Fazla > Kullanıcı/Kimlik > Kimlik Sağlayıcısıseçin.

  3. Yeni Kimlik Sağlayıcısı penceresinde aşağıdaki adımları gerçekleştirin.

    Kimlik Sağlayıcısı bölümünün ekran görüntüsü.

    a. Ağ Geçidi alanında, SAML kimlik doğrulamasını gerçekleştirmesi gereken Güvenlik Ağ Geçidi'ni seçin.

    b. Hizmet alanında, açılan listeden Uzaktan Erişim VPN'i seçin.

    ç. Tanımlayıcı(Varlık Kimliği) değerini kopyalayın, bu değeri Temel SAML Yapılandırması bölümündeki Tanımlayıcı metin kutusuna yapıştırın.

    ö. Yanıt URL'si değerini kopyalayın, bu değeri Temel SAML Yapılandırması bölümündeki Yanıt URL'simetin kutusuna yapıştırın.

    e. Meta Veri Dosyasını İçeri Aktar'ı seçin ve indirilen Federasyon Meta Veri XML'sini karşıya yükleyin.

    Not

    Alternatif olarak, El ile Ekle'yi seçebilir ve Varlık Kimliği ile Oturum Açma URL'si değerlerini ilgili alanlara el ile yapıştırabilir ve Sertifika Dosyasını karşıya yükleyebilirsiniz.

    f. Tamam'ı seçin.

Kimlik Sağlayıcısı'nı kimlik doğrulama yöntemi olarak yapılandırma

  1. İlgili Güvenlik Ağ Geçidi nesnesini açın.

  2. VPN İstemcileri > Kimlik Doğrulaması sayfasında:

    a. Eski istemcilerin bu ağ geçidine bağlanmasına izin ver onay kutusunu temizleyin.

    b. Yeni bir nesne ekleyin veya var olan bir alanı düzenleyin.

    yeni nesne ekleme için ekran görüntüsü.

  3. Bir ad ve görünen ad girin ve bir kimlik doğrulama yöntemi ekleyin/düzenleyin: MeP'e katılan GW'lerde Oturum Açma Seçeneğinin kullanılması durumunda, sorunsuz kullanıcı deneyimine izin vermek için Ad SAMLVPN_ ön ekiyle başlamalıdır.

    Oturum Açma Seçeneği hakkındaki ekran görüntüsü.

  4. Kimlik Sağlayıcısı seçeneğini belirleyin, yeşil + düğmesini seçin ve uygun Kimlik Sağlayıcısı nesnesini seçin.

    geçerli Kimlik Sağlayıcısı nesnesini seçmek için ekran görüntüsü.

  5. Birden Çok Oturum Açma Seçenekleri penceresinde: Sol bölmeden kullanıcı dizinleri seçin ve ardından el ile yapılandırma seçin. İki seçenek vardır:

    1. Şirket içi Active Directory (LDAP) kullanmak istemiyorsanız, yalnızca Dış Kullanıcı Profilleri'ni ve ardından Tamam'ı seçin.
    2. şirket içi Active Directory (LDAP) kullanmak istiyorsanız yalnızca LDAP kullanıcıları'nı seçin ve LDAP Arama Türü'nde e-postayı seçin. Ardından Tamam'ı seçin.

    El ile yapılandırmanın ekran görüntüsü.

  6. Yönetim veritabanında gerekli ayarları yapılandırın:

    1. SmartConsole'ı kapatın.

    2. GuiDBEdit Aracı ile Yönetim Sunucusuna bağlanın (bkz . sk13009).

    3. Sol üst bölmede Ağ Nesnelerini Düzenle'ye >gidin.

    4. Sağ üst bölmede Güvenlik Ağ Geçidi nesnesini seçin.

    5. Alt bölmede realms_for_blades>vpn'ye gidin.

    6. Şirket içi Active Directory (LDAP) kullanmak istemiyorsanız, do_ldap_fetch değerini false ve do_generic_fetch değerini trueolarak ayarlayın. Ardından Tamam'ı seçin. şirket içi Active Directory (LDAP) kullanmak istiyorsanız, do_ldap_fetchtrue ve do_generic_fetch false olarak ayarlayın. Ardından Tamam'ı seçin.

    7. Tüm geçerli Güvenlik Ağ Geçitleri için 4 ile 6 arasındaki adımları yineleyin.

    8. Dosya

  7. GuiDBEdit Aracı'nı kapatın.

  8. Her Güvenlik Ağ Geçidi ve Her Yazılım Dikey Penceresi ayrı ayarlara sahiptir. Güvenlik Ağ Geçidi ve kimlik doğrulaması (VPN, Mobil Erişim ve Kimlik Tanıma) kullanan her Yazılım Dikey Penceresindeki ayarları gözden geçirin.

    • Yalnızca LDAP kullanan Yazılım Dikey Pencereleri için LDAP kullanıcıları seçeneğini belirlediğinizden emin olun.

    • LDAP kullanmayan Yazılım Blades için sadece dış kullanıcı profilleri seçeneğini belirlediğinizden emin olun.

  9. Her Güvenlik Ağ Geçidine Erişim Denetimi İlkesi'ni yükleyin.

VPN RA İstemcisi Yüklemesi ve yapılandırması

  1. VPN istemcisini yükleyin.

  2. Kimlik Sağlayıcısı tarayıcı modunu ayarlayın (isteğe bağlı).

    Varsayılan olarak, Windows istemcisi katıştırılmış tarayıcısını, macOS istemcisi ise Kimlik Sağlayıcısı'nın portalında kimlik doğrulaması yapmak için Safari kullanır. Windows istemcileri için, bunun yerine bu davranışı Internet Explorer kullanacak şekilde değiştirin:

    1. İstemci makinesinde, yönetici olarak düz metin düzenleyicisini açın.

    2. trac.defaults Dosyayı metin düzenleyicisinde açın.

      • 32 bit Windows'ta:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • 64 bit Windows'ta:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

    3. idp_browser_mode öznitelik değerini embedded'den IE'ye değiştirin.

    4. Dosyayı kaydedin.

    5. Check Point Endpoint Security VPN istemci hizmetini yeniden başlatın.

    Windows Komut İstemi'ni Yönetici olarak açın ve şu komutları çalıştırın:

    # net stop TracSrvWrapper

    # net start TracSrvWrapper

  3. Arka planda çalışan tarayıcıyla kimlik doğrulamayı başlatın:

    1. İstemci makinesinde, yönetici olarak düz metin düzenleyicisini açın.

    2. trac.defaults Dosyayı metin düzenleyicisinde açın.

      • 32 bit Windows'ta:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • 64 bit Windows'ta:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • macOS'ta:

        /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults

    3. değerini idp_show_browser_primary_auth_flow olarak falsedeğiştirin.

    4. Dosyayı kaydedin.

    5. Check Point Endpoint Security VPN istemci hizmetini yeniden başlatın.

      • Windows istemcilerinde, Windows Komut İstemi'ni Yönetici olarak açın ve şu komutları çalıştırın:

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • macOS istemcilerinde şunu çalıştırın:

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Check Point Uzaktan Güvenli Erişim VPN test kullanıcısı oluşturma

Bu bölümde Check Point Uzaktan Güvenli Erişim VPN'sinde Britta Simon adlı bir kullanıcı oluşturacaksınız. Check Point Uzaktan Güvenli Erişim VPN destek ekibiyle birlikte çalışarak kullanıcıları Check Point Uzaktan Güvenli Erişim VPN platformuna ekleyin. Çoklu oturum açma özelliğini kullanmadan önce kullanıcıların oluşturulması ve etkinleştirilmesi gerekir.

SSO'ları test edin

  1. VPN istemcisini açın ve Bağlan...seçin.

    Bağlan'a ekran görüntüsü.

  2. Açılan listeden site seçin ve Bağlanseçeneğini belirleyin.

    site seçme ekran görüntüsü.

  3. Microsoft Entra oturum açma açılır menüsünde, Microsoft Entra test kullanıcısı oluşturma bölümünde oluşturduğunuz Microsoft Entra kimlik bilgilerini kullanarak oturum açın.

Check Point Uzaktan Güvenli Erişim VPN'sini yapılandırdıktan sonra, kuruluşunuzun hassas verilerinin gerçek zamanlı olarak sızdırılmasını ve sızılmasını önleyen oturum denetimini uygulayabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletilir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.