Интеграция единого входа Microsoft Entra с Check Point Remote Secure Access VPN

Статья
2025-03-25

Из этой статьи вы узнаете, как интегрировать CHECK Point Remote Secure Access VPN с идентификатором Microsoft Entra ID. Интеграция CHECK Point Remote Secure Access VPN с идентификатором Microsoft Entra ID позволяет:

Управляйте доступом к Check Point Remote Secure Access VPN с помощью Microsoft Entra ID.
Включите автоматический вход пользователей в Check Point Remote Secure Access VPN с помощью учетных записей Microsoft Entra.
Управляйте учетными записями в одном центральном месте.

Требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете бесплатно создать учетную запись.
Одна из следующих ролей:

Подписка Check Point Remote Secure Access VPN с поддержкой единого входа (SSO).

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

Check Point Remote Secure Access VPN поддерживает единый вход (SSO), инициированный службой-поставщиком (SP).

Добавление Check Point Remote Secure Access VPN из галереи

Чтобы настроить интеграцию VPN Check Point Remote Secure Access с идентификатором Microsoft Entra ID, необходимо добавить VPN Check Point Remote Secure Access из коллекции в список управляемых приложений SaaS.

Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к Entra ID>корпоративным приложениям>Новое приложение.
В разделе "Добавление из коллекции" в поле поиска введите CHECK Point Remote Secure Access VPN .
Выберите Check Point Remote Secure Access VPN на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш тенант.

Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка Microsoft Entra SSO для Check Point VPN для удаленного безопасного доступа

Настройте единый вход Microsoft Entra и проверьте его работу с Check Point Remote Secure Access VPN, используя тестового пользователя B.Simon. Для того чтобы SSO работала, необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Check Point Remote Secure Access VPN.

Чтобы настроить и проверить единый вход Microsoft Entra в Check Point Remote Secure Access VPN, выполните следующие действия.

Настройте единый вход Microsoft Entra , чтобы пользователи могли использовать эту функцию.
1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
2. Назначьте тестового пользователя Microsoft Entra , чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
Настройте функцию единого входа (SSO) в VPN Remote Secure Access от Check Point, чтобы ваши пользователи могли использовать эту возможность.
1. Создание тестового пользователя для Check Point Remote Secure Access VPN необходимо для создания учетной записи B.Simon в Check Point Remote Secure Access VPN, связанной с представлением пользователя Microsoft Entra.
Test SSO - чтобы убедиться, что конфигурация работает.

Настроить SSO Microsoft Entra

Выполните следующие действия, чтобы включить единую аутентификацию Microsoft Entra.

Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к Entra ID>корпоративные приложения>Check Point Remote Secure Access VPN>единый вход.
На странице "Выбор метода единого входа" выберите SAML.
На странице "Настройка единого входа" на странице SAML выберите значок карандаша для базовой конфигурации SAML , чтобы изменить параметры.
В разделе "Базовая конфигурация SAML" введите значения для следующих полей:
1. В текстовом поле "Идентификатор сущности" введите URL-адрес, используя следующий шаблон: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>
2. В текстовом поле "URL-адрес ответа" введите URL-адрес, используя следующий шаблон: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>
3. В текстовом поле URL-адреса входа введите URL-адрес , используя следующий шаблон: https://<GATEWAY_IP>/saml-vpn/
Примечание.

Эти значения не являются реальными. Измените их на фактические значения идентификатора и URL-адресов ответа и входа. Чтобы получить эти значения, обратитесь в службу поддержки vpn-клиента Check Point Remote Secure Access . Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML ".
На странице "Настройка единого входа с помощью SAML " в разделе "Сертификат подписи SAML " найдите XML метаданных федерации и выберите "Скачать ", чтобы скачать сертификат и сохранить его на компьютере.
Скопируйте соответствующий URL в разделе «Настройка Check Point Remote Secure Access VPN», в соответствии с вашими требованиями.

Создание и назначение тестового пользователя Microsoft Entra

Следуйте руководству по созданию и назначению учетной записи пользователя в разделе быстрого старта, чтобы создать тестовую учетную запись пользователя с именем B.Simon.

Настройка SSO для VPN Check Point Remote Secure Access

Настройка объекта профиля внешнего пользователя

Примечание.

Этот раздел необходим только в том случае, если вы не хотите использовать локальный каталог Active Directory (LDAP).

Настройте универсальный профиль пользователя в устаревшем SmartDashboard:

В SmartConsole перейдите в "Управление и параметры" > Блейды.
В разделе "Мобильный доступ" выберите "Настроить" в SmartDashboard. Откроется устаревшая панель SmartDashboard.
На панели "Сетевые объекты " и выберите "Пользователи".
Щелкните правой кнопкой мыши пустое пространство и выберите "Создать > профиль > внешнего пользователя" для всех пользователей.
Настройте свойства профиля внешнего пользователя :
1. На странице "Общие свойства" :
  - В поле имени внешнего профиля пользователя оставьте имя по умолчанию generic*
  - В поле "Дата окончания срока действия " задайте соответствующую дату
2. На странице проверки подлинности :
  - В раскрывающемся списке "Схема проверки подлинности " выберите undefined
3. На страницах расположения, времени и шифрования :
  - Настройка других применимых параметров
4. Нажмите кнопку "ОК".
На верхней панели инструментов выберите "Обновить" (или нажмите клавиши CTRL+S).
Закройте SmartDashboard.
В интеллектуальной консоли установите политику контроля доступа.

Настройка VPN удаленного доступа

Откройте объект применимого шлюза безопасности.
На странице "Общие свойства" включите программный модуль IPSec VPN.
В левом дереве выберите страницу VPN IPSec .
В разделе "Этот шлюз безопасности" участвует в следующих сообществах VPN, выберите "Добавить " и выберите "Сообщество удаленного доступа".
В левом дереве выберите удаленный доступ к VPN-клиентам>.
Включите режим посетителя поддержки.
В левом дереве выберите режим Office ДЛЯ VPN-клиентов>.
Выберите "Разрешить режим Office " и выберите применимый метод режима Office.
В левом дереве выберите параметры портала SAML ДЛЯ VPN-клиентов>.
Убедитесь, что основной URL-адрес содержит полное доменное имя шлюза. Это доменное имя должно заканчиваться DNS-суффиксом, зарегистрированным вашей организацией. Например: https://gateway1.company.com/saml-vpn
Убедитесь, что сертификат является доверенным для пользовательского браузера.
Нажмите кнопку "ОК".

Настройка объекта поставщика удостоверений

Выполните следующие действия для каждого шлюза безопасности, участвующего в VPN удаленного доступа.
В SmartConsole в представлении шлюзов и серверов выберите новый > еще > пользователь/удостоверение > поставщик удостоверений.
Выполните следующие действия в окне "Новый поставщик удостоверений ".

a. В поле шлюза выберите шлюз безопасности, который должен выполнять проверку подлинности SAML.

б. В поле "Служба" выберите VPN удаленного доступа из раскрывающегося списка.

с. Скопируйте значение идентификатора сущности , вставьте это значение в текстовое поле идентификатора в разделе "Базовая конфигурация SAML ".

д. Скопируйте значение URL-адреса ответа , вставьте это значение в текстовое поле URL-адреса ответа в разделе "Базовая конфигурация SAML ".

д) Выберите импорт файла метаданных , чтобы отправить скачанный XML-файл метаданных федерации.

Примечание.

Кроме того, можно вручную вставить значения идентификатора сущности и URL-адреса входа в соответствующие поля, а также отправить файл сертификата.

ф. Нажмите кнопку "ОК".

Настройка поставщика удостоверений как метода проверки подлинности

Откройте объект применимого шлюза безопасности.
На странице проверки подлинности VPN-клиентов>:

a. Снимите флажок Разрешить старым клиентам подключаться к этому шлюзу.

б. Добавьте новый объект или измените существующую область.
Введите имя и отображаемое имя, а также добавьте или измените метод проверки подлинности: если параметр входа используется в GWs, участвующих в MEP, чтобы обеспечить плавное взаимодействие с пользователем, имя должно начинаться с префикса SAMLVPN_.
Выберите параметр "Поставщик удостоверений", нажмите зеленую + кнопку и выберите соответствующий объект поставщика удостоверений.
В окне "Несколько параметров входа": в левой области выберите каталоги пользователей и выберите конфигурацию вручную. Существует два варианта.
1. Если вы не хотите использовать локальную службу Active Directory (LDAP), выберите только внешние профили пользователей и нажмите кнопку "ОК".
2. Если вы хотите использовать локальную службу Active Directory (LDAP), выберите только пользователей LDAP, а в качестве типа поиска LDAP выберите адрес электронной почты. Затем выберите OK.
Настройте необходимые параметры в базе данных управления.
1. Закройте интеллектуальную панель мониторинга.
2. Подключитесь с помощью средства GuiDBEdit к серверу управления (см. sk13009).
3. В левой верхней области перейдите к разделу "Изменить > сетевые объекты".
4. В правой верхней области выберите объект Шлюза безопасности.
5. В нижней области перейдите к realms_for_blades>VPN.
6. Если вы не хотите использовать локальную службу Active Directory (LDAP), задайте для параметра do_ldap_fetchзначение false и do_generic_fetchзначение true. Затем нажмите кнопку "ОК". Если вы хотите использовать локальную службу Active Directory (LDAP), задайте для параметра do_ldap_fetchзначение true и do_generic_fetchзначение false. Затем нажмите кнопку "ОК".
7. Повторите шаги с 4 по 6 для всех применимых шлюзов безопасности.
8. Сохраните все изменения, выбрав Файл>Сохранить все.
Закройте средство GuiDBEdit.
У каждого шлюза безопасности и каждого программного модуля свои параметры. Проверьте параметры каждого шлюза безопасности и каждого модуля ПО, использующих аутентификацию (VPN, мобильный доступ и Информированность о личности).
- Обязательно выберите параметр Пользователи LDAP только для программных модулей, использующих LDAP.
- Не забудьте выбрать параметр Профили внешних пользователей только для программных модулей, которые не используют LDAP.
Установите политику контроля доступа на каждом шлюзе безопасности.

Установка и настройка клиента VPN RA

Установите VPN-клиент.
Установите режим работы браузера для провайдера удостоверений (необязательно).

По умолчанию клиент Windows использует встроенный браузер, а клиент macOS — Safari для проверки подлинности на портале поставщика удостоверений. Чтобы клиенты Windows использовали вместо этого Internet Explorer, сделайте следующее:
1. На клиентском компьютере откройте обычный текстовый редактор с правами администратора.
2. Откройте файл trac.defaults в текстовом редакторе.
  - В 32-разрядной версии Windows:
    
    %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
  - В 64-разрядной версии Windows:
    
    %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
3. Измените значение атрибута idp_browser_mode с embedded на IE.
4. Сохраните файл.
5. Перезапустите службу VPN-клиента безопасности конечных точек Check Point.
Откройте командную строку Windows от имени администратора и выполните следующие команды.

# net stop TracSrvWrapper

# net start TracSrvWrapper
Начните проверку подлинности, запустив браузер в фоновом режиме.
1. На клиентском компьютере откройте обычный текстовый редактор с правами администратора.
2. Откройте файл trac.defaults в текстовом редакторе.
  - В 32-разрядной версии Windows:
    
    %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
  - В 64-разрядной версии Windows:
    
    %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
  - В MacOS:
    
    /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults
3. Измените значение атрибута idp_show_browser_primary_auth_flow на false.
4. Сохраните файл.
5. Перезапустите службу VPN-клиента безопасности конечных точек Check Point.
  - На клиентах Windows откройте командную строку Windows от имени администратора и выполните следующие команды.
    
    # net stop TracSrvWrapper
    
    # net start TracSrvWrapper
  - На клиентах macOS нужно выполнить следующие команды:
    
    sudo launchctl stop com.checkpoint.epc.service
    
    sudo launchctl start com.checkpoint.epc.service

Создание тестового пользователя Check Point Remote Secure Access VPN

В данном разделе описано, как создать пользователя с именем Britta Simon в Check Point Remote Secure Access VPN. Обратитесь к группе поддержки VPN для удаленного безопасного доступа Check Point , чтобы добавить пользователей на платформу VPN Check Point Remote Secure Access. Перед использованием единого входа необходимо создать и активировать пользователей.

Тест SSO

Откройте VPN-клиент и выберите "Подключиться к...".
Выберите сайт из раскрывающегося списка и нажмите кнопку "Подключить".
Во всплывающем окне входа Microsoft Entra выполните вход, используя учетные данные Microsoft Entra, которые вы создали в разделе "Создание тестового пользователя Microsoft Entra".

После настройки Check Point Remote Secure Access VPN вы можете применить функцию управления сеансом, которая в реальном времени защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облачных приложений.