Partilhar via

Tutorial: Integração do logon único (SSO) do Microsoft Entra com a VPN de Acesso Seguro Remoto da Check Point

  • Artigo

Neste tutorial, você aprenderá a integrar a VPN de Acesso Seguro Remoto Check Point com o Microsoft Entra ID. Ao integrar o Check Point Remote Secure Access VPN com o Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso à VPN Check Point Remote Secure Access.
  • Permita que seus usuários entrem automaticamente no Check Point Remote Secure Access VPN com suas contas Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
  • Assinatura habilitada para logon único (SSO) da Check Point Remote Secure Access VPN.

Descrição do cenário

Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • A VPN de Acesso Seguro Remoto da Check Point suporta SSO iniciado por SP .

Para configurar a integração da VPN de Acesso Seguro Remoto da Check Point na ID do Microsoft Entra, você precisa adicionar a VPN de Acesso Seguro Remoto da Check Point da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite Check Point Remote Secure Access VPN na caixa de pesquisa.
  4. Selecione Check Point Remote Secure Access VPN no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Check Point Remote Secure Access VPN

Configure e teste o Microsoft Entra SSO com o Check Point Remote Secure Access VPN usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Check Point Remote Secure Access VPN.

Para configurar e testar o Microsoft Entra SSO com a VPN de Acesso Seguro Remoto da Check Point, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.

    1. Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
    2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.

  2. Configure o SSO VPN de Acesso Seguro Remoto da Check Point - para permitir que seus usuários usem esse recurso.

    1. Criar usuário de teste de VPN de Acesso Seguro Remoto da Check Point - para ter uma contraparte de B.Simon na VPN de Acesso Seguro Remoto da Check Point que esteja vinculada à representação de usuário do Microsoft Entra.

  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Aplicativos de identidade>>, aplicativos corporativos>, Check Point, Acesso Remoto Seguro, VPN,>Logon único.

  3. Na página Selecione um método de logon único, selecione SAML.

  4. Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.

    Edit Basic SAML Configuration

  5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

    1. Na caixa de texto Identificador (ID da entidade), digite uma URL usando o seguinte padrão: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>

    2. Na caixa de texto URL de resposta, digite uma URL usando o seguinte padrão:https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>

    3. Na caixa de texto URL de logon, digite uma URL usando o seguinte padrão: https://<GATEWAY_IP>/saml-vpn/

    Nota

    Estes valores não são reais. Atualize esses valores com o Identificador real, URL de resposta e URL de logon. Entre em contato com a equipe de suporte do Cliente VPN de Acesso Seguro Remoto da Check Point para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML.

  6. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize XML de Metadados de Federação e selecione Download para baixar o certificado e salvá-lo em seu computador.

    The Certificate download link

  7. Na seção Configurar VPN de Acesso Seguro Remoto Check Point, copie o(s) URL(s) apropriado(s) com base em sua necessidade.

    Copy configuration URLs

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
  2. Navegue até Identidade>de usuários Todos os usuários.>
  3. Selecione Novo usuário Criar novo usuário>, na parte superior da tela.
  4. Nas propriedades do usuário , siga estas etapas:
    1. No campo Nome para exibição , digite B.Simon.
    2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
    4. Selecione Rever + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilitará B.Simon para usar o logon único concedendo acesso à VPN de Acesso Seguro Remoto da Check Point.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Check Point Remote Secure Access VPN.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
    1. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO VPN de Acesso Seguro Remoto da Check Point

Configurar um objeto de Perfil de Usuário Externo

Nota

Esta seção é necessária somente se você não quiser usar um Ative Directory (LDAP) local.

Configure um perfil de usuário genérico no SmartDashboard herdado:

  1. No SmartConsole, vá para Manage & Settings > Blades.

  2. Na seção Acesso Móvel, clique em Configurar no SmartDashboard. O SmartDashboard herdado é aberto.

  3. No painel Objetos de Rede e clique em Usuários.

  4. Clique com o botão direito do mouse em um espaço vazio e selecione Novo > perfil > de usuário externo Corresponder a todos os usuários.

  5. Configure as propriedades do Perfil de Usuário Externo:

    1. Na página Propriedades Gerais:

      • No campo Nome do Perfil de Usuário Externo, deixe o nome padrão generic*
      • No campo Data de validade, defina a data aplicável

    2. Na página Autenticação:

      • Na lista suspensa Esquema de autenticação, selecioneundefined

    3. Nas páginas Local, Hora e Criptografia:

      • Definir outras configurações aplicáveis

    4. Clique em OK.

  6. Na barra de ferramentas superior, clique em Atualizar (ou pressione Ctrl + S).

  7. Feche o SmartDashboard.

  8. No SmartConsole, instale a Política de Controle de Acesso.

Configurar VPN de Acesso Remoto

  1. Abra o objeto do Security Gateway aplicável.

  2. Na página Propriedades Gerais, habilite a Folha de Software VPN IPSec.

  3. Na árvore à esquerda, clique na página VPN IPSec.

  4. Na seção Este Gateway de Segurança participa das seguintes comunidades VPN, clique em Adicionar e selecione Comunidade de Acesso Remoto.

  5. Na árvore da esquerda, clique em Acesso Remoto de clientes > VPN.

  6. Habilite o modo de visitante de suporte.

  7. Na árvore à esquerda, clique em Modo Office de clientes > VPN.

  8. Selecione Permitir Modo Office e selecione o Método do Modo Office aplicável.

  9. Na árvore à esquerda, clique em Configurações do Portal SAML de Clientes > VPN.

  10. Verifique se a URL principal contém o nome de domínio totalmente qualificado do gateway. Este nome de domínio deve terminar com um sufixo DNS registado pela sua organização. Por exemplo: https://gateway1.company.com/saml-vpn

  11. Verifique se o certificado é confiável para o navegador dos usuários finais.

  12. Clique em OK.

Configurar um objeto Identity Provider

  1. Execute as etapas a seguir para cada Gateway de Segurança que participa da VPN de Acesso Remoto.

  2. Na visualização SmartConsole >Gateways & Servers, clique em Novo > Provedor de Identidade Mais > Usuário/Identidade>.

    screenshot for new Identity Provider.

  3. Execute as seguintes etapas na janela Novo provedor de identidade.

    screenshot for Identity Provider section.

    a. No campo Gateway, selecione o Security Gateway, que precisa executar a autenticação SAML.

    b. No campo Serviço, selecione VPN de Acesso Remoto na lista suspensa.

    c. Copie o valor Identifier(Entity ID), cole esse valor na caixa de texto Identifier na seção Basic SAML Configuration .

    d. Copie o valor da URL de resposta, cole esse valor na caixa de texto URL de resposta na seção Configuração básica do SAML.

    e. Selecione Importar arquivo de metadados para carregar o XML de metadados de federação baixado.

    Nota

    Como alternativa, você também pode selecionar Inserir manualmente para colar manualmente os valores de ID de entidade e URL de login nos campos correspondentes e carregar o arquivo de certificado.

    f. Clique em OK.

Configurar o provedor de identidade como um método de autenticação

  1. Abra o objeto do Security Gateway aplicável.

  2. Na página Autenticação de Clientes > VPN :

    a. Desmarque a caixa de seleção Permitir que clientes mais antigos se conectem a esse gateway.

    b. Adicione um novo objeto ou edite um realm existente.

    screenshot for to Add a new object.

  3. Insira um nome e um nome de exibição e adicione/edite um método de autenticação: Caso a opção de login seja usada em GWs que participam do MEP, para permitir uma experiência de usuário suave, o nome deve começar com SAMLVPN_ prefixo.

    screenshot about Login Option.

  4. Selecione a opção Provedor de identidade, clique no botão verde + e selecione o objeto Provedor de identidade aplicável.

    screenshot to select the applicable Identity Provider object.

  5. Na janela Várias Opções de Logon: No painel esquerdo, clique em Diretórios de Usuário e selecione Configuração manual. Existem duas opções:

    1. Se não quiser usar um Ative Directory (LDAP) local, selecione apenas Perfis de Usuário Externo e clique em OK.
    2. Se você quiser usar um Ative Directory (LDAP) local, selecione apenas usuários LDAP e, no Tipo de Pesquisa LDAP, selecione e-mail. Em seguida, clique em OK.

    Screenshot of manual configuration.

  6. Configure as configurações necessárias no banco de dados de gerenciamento:

    1. Feche o SmartConsole.

    2. Conecte-se com a ferramenta GuiDBEdit ao Servidor de Gerenciamento (consulte sk13009).

    3. No painel superior esquerdo, vá para Editar > Objetos de Rede.

    4. No painel superior direito, selecione o objeto Security Gateway.

    5. No painel inferior, vá para realms_for_blades>vpn.

    6. Se você não quiser usar um Ative Directory local (LDAP), defina do_ldap_fetch como false e do_generic_fetch como true. Em seguida, clique em OK. Se você quiser usar um Ative Directory (LDAP) local, defina do_ldap_fetch como true e do_generic_fetch como false. Em seguida, clique em OK.

    7. Repita as etapas 4 a 6 para todos os Gateways de Segurança aplicáveis.

    8. Salve todas as alterações selecionando Arquivo>Salvar tudo.

  7. Feche a ferramenta GuiDBEdit.

  8. Cada Security Gateway e cada Software Blade têm configurações separadas. Analise as configurações em cada Gateway de Segurança e cada Lâmina de Software que usam autenticação (VPN, Acesso Móvel e Reconhecimento de Identidade).

    • Certifique-se de selecionar a opção Usuários LDAP somente para Lâminas de Software que usam LDAP.

    • Certifique-se de selecionar a opção Perfis de usuário externo somente para lâminas de software que não usam LDAP.

  9. Instale a Política de Controle de Acesso em cada Gateway de Segurança.

Instalação e configuração do Cliente VPN RA

  1. Instale o cliente VPN.

  2. Defina o modo de navegador Provedor de Identidade (opcional).

    Por padrão, o cliente Windows usa seu navegador incorporado e o cliente macOS usa o Safari para autenticar no portal do provedor de identidade. Para clientes Windows, altere esse comportamento para usar o Internet Explorer:

    1. Na máquina cliente, abra um editor de texto simples como administrador.

    2. Abra o trac.defaults arquivo no editor de texto.

      • No Windows de 32 bits:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • No Windows de 64 bits:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

    3. Altere o idp_browser_mode valor do atributo de embedded para IE.

    4. Guarde o ficheiro.

    5. Reinicie o serviço de cliente VPN do Check Point Endpoint Security.

    Abra o Prompt de Comando do Windows como Administrador e execute estes comandos:

    # net stop TracSrvWrapper

    # net start TracSrvWrapper

  3. Inicie a autenticação com o navegador em execução em segundo plano:

    1. Na máquina cliente, abra um editor de texto simples como administrador.

    2. Abra o trac.defaults arquivo no editor de texto.

      • No Windows de 32 bits:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • No Windows de 64 bits:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • Em macOS:

        /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults

    3. Altere o valor de idp_show_browser_primary_auth_flow para false.

    4. Guarde o ficheiro.

    5. Reinicie o serviço de cliente VPN do Check Point Endpoint Security.

      • Em clientes Windows, abra o Prompt de Comando do Windows como Administrador e execute estes comandos:

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • Em clientes macOS, execute:

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Criar usuário de teste de VPN de Acesso Seguro Remoto da Check Point

Nesta seção, você cria um usuário chamado Brenda Fernandes na VPN de Acesso Seguro Remoto da Check Point. Trabalhe com a equipe de suporte do Check Point Remote Secure Access VPN para adicionar os usuários à plataforma Check Point Remote Secure Access VPN. Os usuários devem ser criados e ativados antes de usar o logon único.

SSO de teste

  1. Abra o cliente VPN e clique em Conectar a....

    screenshot for Connect to.

  2. Selecione Site na lista suspensa e clique em Conectar.

    screenshot for selecting site.

  3. No pop-up de login do Microsoft Entra, entre usando as credenciais do Microsoft Entra que você criou na seção Criar um usuário de teste do Microsoft Entra.

Próximos passos

Depois de configurar o Check Point Remote Secure Access VPN, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.