教學課程：Microsoft Entra 單一登入 (SSO) 與 Check Point Remote Secure Access VPN 整合

文章
06/24/2024

在本教學課程中，您將了解如何整合 Check Point Remote Secure Access VPN 與 Microsoft Entra ID。當您整合 Check Point Remote Secure Access VPN 與 Microsoft Entra ID 時，您可以：

在 Microsoft Entra ID 中控制可存取 Check Point Remote Secure Access VPN 的人員。
讓使用者使用其 Microsoft Entra 帳戶自動登入 Check Point Remote Secure Access VPN。
在一個集中式位置管理您的帳戶。

必要條件

若要開始使用，您需要下列項目：

Microsoft Entra 訂用帳戶。如果您沒有訂用帳戶，可以取得免費帳戶。
已啟用 Check Point Remote Secure Access VPN 單一登入 (SSO) 的訂閱。

案例描述

在本教學課程中，您會在測試環境中設定並測試 Microsoft Entra SSO。

Check Point Remote Secure Access VPN 支援由 SP 起始的 SSO。

從資源庫新增 Check Point Remote Secure Access VPN

若要設定將 Check Point Remote Secure Access VPN 整合到 Microsoft Entra ID 中，您必須從資源庫將 Check Point Remote Secure Access VPN 新增到受控 SaaS 應用程式清單。

以至少雲端應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]> [應用程式]> [企業應用程式]> [新增應用程式]。
在 [從資源庫新增] 區段的搜尋方塊中，輸入 Check Point Remote Secure Access VPN。
從結果面板選取 [Check Point Remote Secure Access VPN]，然後新增應用程式。將應用程式新增至您的租用戶時，請稍候幾秒鐘。

或者，您也可以使用企業應用程式組態精靈。在此精靈中，您可以將應用程式新增至租用戶、將使用者/群組新增至應用程式、指派角色，以及逐步進行 SSO 設定。深入了解 Microsoft 365 精靈。

設定及測試 Check Point Remote Secure Access VPN 的 Microsoft Entra SSO

以名為 B.Simon 的測試使用者，設定及測試與 Check Point Remote Secure Access VPN 搭配運作的 Microsoft Entra SSO。若要讓 SSO 能夠運作，您必須建立 Microsoft Entra 使用者與 Check Point Remote Secure Access VPN 中相關使用者之間的連結關聯性。

若要設定及測試與 Check Point Remote Secure Access VPN 搭配運作的 Microsoft Entra SSO，請執行下列步驟：

設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
1. 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登入。
2. 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 使用 Microsoft Entra 單一登入。
設定 Check Point Remote Secure Access VPN SSO - 讓您的使用者能夠使用此功能。
1. 建立 Check Point Remote Secure Access VPN 測試使用者 - 使 Check Point Remote Secure Access VPN 中對應的 B.Simon 連結到該使用者在 Microsoft Entra 中的代表項目。
測試 SSO - 確認組態是否正常運作。

設定 Microsoft Entra SSO

遵循下列步驟來啟用 Microsoft Entra SSO。

以至少雲端應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[Check Point Remote Secure Access VPN]>[單一登入]。
在 [選取單一登入方法] 頁面上，選取 [SAML]。
在 [以 SAML 設定單一登入] 頁面上，按一下 [基本 SAML 設定] 的鉛筆圖示，以編輯設定。
在 [基本 SAML 組態] 區段上，輸入下列欄位的值：
1. 在 [識別碼 (實體識別碼)] 文字方塊中，使用下列模式輸入 URL：https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>
2. 在 [回覆 URL] 文字方塊中，使用下列模式來輸入 URL：https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>
3. 在 [登入 URL] 文字方塊中，使用下列模式輸入 URL：https://<GATEWAY_IP>/saml-vpn/
注意

這些都不是真正的值。請使用實際的「識別碼」、「回覆 URL」和「登入 URL」更新這些值。請連絡 Check Point Remote Secure Access VPN 用戶端支援小組以取得這些值。您也可以參考基本 SAML 設定章節所示的模式。
在 [以 SAML 設定單一登入] 頁面上的 [SAML 簽署憑證] 區段中，尋找 [同盟中繼資料 XML]，然後選取 [下載]，以下載憑證並將其儲存在電腦上。
在 [設定 Check Point Remote Secure Access VPN] 區段上，依據您的需求複製適當的 URL。

建立 Microsoft Entra 測試使用者

在本節中，您將建立名為 B.Simon 的測試使用者。

以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[使用者]>[所有使用者]。
選取畫面頂端的 [新增使用者]>[建立新的使用者]。
在 [使用者] 屬性中，執行下列步驟：
1. 在 [顯示名稱] 欄位中，輸入 B.Simon。
2. 在 [使用者主體名稱] 欄位中，輸入 username@companydomain.extension。例如： B.Simon@contoso.com 。
3. 選取 [顯示密碼] 核取方塊，然後記下 [密碼] 方塊中顯示的值。
4. 選取 [檢閱 + 建立]。
選取建立。

指派 Microsoft Entra 測試使用者

在本節中，您會將 Check Point Remote Secure Access VPN 的存取權授與 B.Simon，使其能夠使用單一登入。

以至少雲端應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[Check Point Remote Secure Access VPN]。
在應用程式概觀頁面中，選取 [使用者和群組]。
選取 [新增使用者/群組]，然後在 [新增指派] 對話方塊中選取 [使用者和群組]。
1. 在 [使用者和群組] 對話方塊中，從 [使用者] 列表中選取 [B.Simon]，然後按一下畫面底部的 [選取] 按鈕。
2. 如果您預期將角色指派給使用者，則可以從 [選取角色] 下拉式清單中選取該角色。如果未為此應用程式設定任何角色，您會看到已選取 [預設存取權] 角色。
3. 在 [新增指派] 對話方塊中，按一下 [指派] 按鈕。

設定 Check Point Remote Secure Access VPN SSO

設定外部使用者設定檔物件

注意

只有當您不想使用內部部署的 Active Directory (LDAP) 時，才需要執行此節中的步驟。

在舊版 SmartDashboard 中設定一般使用者設定檔：

在 SmartConsole 中，移至 [管理和設定]>[刀鋒視窗]。
在 [行動存取] 區段中，按一下 [在 SmartDashboard 中設定]。舊版 SmartDashboard 隨即開啟。
在網路 [物件] 窗格中，按一下 [使用者]。
以滑鼠右鍵按一下空白處，然後選取 [新建] > [外部使用者設定檔] > [比對所有使用者]。
設定 [外部使用者設定檔] 屬性：
1. 在 [一般屬性] 頁面上：
  - 在 [外部使用者設定檔] 名稱欄位中，保留預設名稱 generic*
  - 在 [到期日] 欄位中，設定適用的日期
2. 在 [驗證] 頁面上：
  - 從 [驗證配置] 下拉式清單中，選取 undefined
3. 在 [位置]、[時間] 與 [加密] 頁面上：
  - 設定其他適用的設定
4. 按一下 [確定]。
從頂端工具列中，按一下 [更新] (或按下 Ctrl + S)。
關閉 SmartDashboard。
在 SmartConsole 中，安裝存取控制原則。

設定遠端存取 VPN

開啟適用安全性閘道的物件。
在 [一般屬性] 頁面上，啟用 [IPSec VPN] 軟體刀鋒視窗。
從左側樹狀結構中，按一下 [IPSEC VPN] 頁面。
在 [此安全性閘道參與下列 VPN 社群] 區段中，按一下 [新增]，然後選取 [遠端存取社群]。
從左側樹狀結構中，按一下 [VPN 用戶端] > [遠端存取]。
啟用 [支援訪客模式]。
從左側樹狀結構中，按一下 [VPN 用戶端] > [Office 模式]。
選取 [允許 Office 模式]，然後選取適用的 Office 模式方法。
從左側樹狀結構中，按一下 [VPN 用戶端] > [SAML 入口網站設定]。
確定主要 URL 包含閘道的完整網域名稱。此網域名稱應以您的組織所註冊的 DNS 尾碼做為結尾。例如：https://gateway1.company.com/saml-vpn
確保使用者的瀏覽器信任該憑證。
按一下 [確定]。

設定識別提供者物件

針對參與遠端存取 VPN 的每個安全性閘道執行下列步驟。
在 SmartConsole >[閘道和伺服器] 檢視中，按一下 [新增]>[更多]>[使用者/身分識別]>[識別提供者]。
在 [新增識別提供者] 視窗中，執行下列步驟。

a. 在 [閘道] 欄位中，選取需要執行 SAML 驗證的安全性閘道。

b. 在 [服務] 欄位中，從下拉式清單中選取 [遠端存取 VPN]。

c. 複製 [識別碼 (實體識別碼)]值，並將此值貼在 [基本 SAML 設定] 區段的 [識別碼] 文字方塊中。

d. 複製 [回覆 URL] 值，並將此值貼到 [基本 SAML 組態] 區段中的 [回覆 URL] 文字方塊中。

e. 選取 [匯入中繼資料檔案]，以上傳已下載的同盟中繼資料 XML。

注意

或者，您也可以選取 [手動插入]，手動將 [實體識別碼] 和 [登入 URL] 值貼到對應的欄位，並上傳憑證檔案。

f. 按一下 [確定]。

將識別提供者設為驗證方法

開啟適用安全性閘道的物件。
在 [用戶端] > [驗證] 頁面上：

a. 清除 [允許舊版用戶端連線到此閘道] 核取方塊。

b. 新增新物件或編輯現有領域。
輸入名稱與顯示名稱，然後新增/編輯驗證方法：如果要在參與 MEP 的 GW 上使用 [登入選項]，為了讓使用者有流暢的體驗，[名稱] 開頭應該是 SAMLVPN_ 前置詞。
選取 [識別提供者] 選項，按一下綠色的 + 按鈕，然後選取適用的 [識別提供者] 物件。
在 [多個登入選項] 視窗中：從左窗格中，按一下 [使用者目錄]，然後選取 [手動設定]。有兩個選項：
1. 如果您不想使用內部部署 Active Directory (LDAP) ，請只選取 [外部使用者設定檔]，然後按一下 [確定]。
2. 如果您想使用內部部署 Active Directory (LDAP)，請只選取 LDAP 使用者，然後在 [LDAP 查閱類型] 中選取 [電子郵件]。然後按一下 [確定] 。
在管理資料庫中設定必要的設定：
1. 關閉 SmartConsole。
2. 使用 GuiDBEdit 工具與管理伺服器連線 (請參閱sk13009)。
3. 在左上方的窗格中，移至 [編輯] > [網路物件]。
4. 在右上方的窗格中，選取 [安全性閘道] 物件。
5. 在下方窗格中，移至 [realms_for_blades] >[vpn]。
6. 如果您不想使用內部部署 Active Directory (LDAP)，請將 do_ldap_fetch 設為 false，並將 do_generic_fetch 設為 true。然後按一下 [確定] 。如果您想使用內部部署 Active Directory (LDAP)，請將 do_ldap_fetch 設為 true，並將 do_generic_fetch 設為 false。然後按一下 [確定] 。
7. 針對所有適用的安全性閘道，重複步驟 4 至 6。
8. 選取 [檔案]> [全部儲存]，以儲存所有的變更。
關閉 GuiDBEdit 工具。
每個安全性閘道和每個軟體刀鋒視窗都有個別的設定。檢閱每個安全性閘道中的設定，以及每個使用驗證 (VPN、行動存取和身分識別感知) 的軟體刀鋒視窗。
- 對於使用 LDAP 的軟體刀鋒視窗，務必僅選取 [LDAP 使用者] 選項。
- 對於未使用 LDAP 的軟體刀鋒視窗，務必僅選取 [外使用者設定檔] 選項。
在每個安全性閘道上安裝存取控制原則。

安裝與設定 VPN RA 用戶端

安裝 VPN 用戶端。
設定識別提供者瀏覽器模式 (選擇性)。

根據預設，Windows 用戶端會使用其內嵌的瀏覽器，macOS 用戶端則使用 Safari，在識別提供者的入口網站上進行驗證。針對 Windows 用戶端，請將此行為改為使用 Internet Explorer：
1. 在用戶端電腦上，以管理員身分開啟純文字編輯器。
2. 在文字編輯器中開啟 trac.defaults 檔案。
  - 在 32 位元 Windows 上：
    
    %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
  - 在 64 位元 Windows 上：
    
    %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
3. 將 idp_browser_mode 屬性值從 embedded 變更為 IE。
4. 儲存檔案。
5. 重新啟動 Check Point Endpoint Security VPN 用戶端服務。
以管理員身分開啟 Windows 命令提示字元，然後執行下列命令：

# net stop TracSrvWrapper

# net start TracSrvWrapper
使用在背景中執行的瀏覽器開始驗證：
1. 在用戶端電腦上，以管理員身分開啟純文字編輯器。
2. 在文字編輯器中開啟 trac.defaults 檔案。
  - 在 32 位元 Windows 上：
    
    %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
  - 在 64 位元 Windows 上：
    
    %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
  - 在 macOS 上：
    
    /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults
3. 將 idp_show_browser_primary_auth_flow 的值變更為 false。
4. 儲存檔案。
5. 重新啟動 Check Point Endpoint Security VPN 用戶端服務。
  - 在 Windows 用戶端上，以管理員身分開啟 Windows 命令提示字元，然後執行下列命令：
    
    # net stop TracSrvWrapper
    
    # net start TracSrvWrapper
  - 在 macOS 用戶端上，執行：
    
    sudo launchctl stop com.checkpoint.epc.service
    
    sudo launchctl start com.checkpoint.epc.service

建立 Check Point Remote Secure Access VPN 測試使用者

在本節中，您會在 Check Point Remote Secure Access VPN 中，建立名為 Britta Simon 的使用者。請與 Check Point Remote Secure Access VPN 支援小組合作，在 Check Point Remote Secure Access VPN 平台中新增使用者。您必須先建立和啟動使用者，然後才能使用單一登入。

測試 SSO

開啟 VPN 用戶端，然後按一下 [連線到...]。
從下拉式清單中選取 [網站]，然後按一下 [連線]。
在 [Microsoft Entra 登入] 彈出視窗中，使用您在建立 Microsoft Entra 測試使用者區段中建立的 Microsoft Entra 認證登入。

下一步

設定 Check Point Remote Secure Access VPN 之後，您可以強制執行工作階段控制項，以即時防止組織的敏感資料遭到外洩和滲透。工作階段控制項會從條件式存取延伸。了解如何使用適用於雲端的 Microsoft Defender 應用程式來強制執行工作階段控制項。

分享方式：