Tutorial: integração do SSO do Microsoft Enta com a VPN de Acesso Remoto Seguro da Check Point

Neste tutorial, você aprenderá a integrar o Check Point Remote Secure Access VPN ao Microsoft Entra ID. Ao integrar o Check Point Remote Secure Access VPN ao Microsoft Entra ID, será possível:

  • Controlar no Microsoft Entra ID quem tem acesso ao Check Point Remote Secure Access VPN.
  • Permitir que os usuários entrem automaticamente no Check Point Remote Secure Access VPN com as respectivas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Assinatura do Check Point Remote Secure Access VPN habilitada para SSO (logon único).

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

  • O Check Point Remote Secure Access VPN dá suporte ao SSO iniciado por SP.

Para configurar a integração do Check Point Remote Secure Access VPN ao Microsoft Entra ID, é necessário adicionar o Check Point Remote Secure Access VPN por meio da galeria à lista de aplicativos SaaS gerenciados.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar por meio da galeria, digite Check Point Remote Secure Access VPN na caixa de pesquisa.
  4. Selecione Check Point Remote Secure Access VPN no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o Check Point Remote Secure Access VPN

Configure e teste o SSO do Microsoft Entra com o Check Point Remote Secure Access VPN por meio de um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do Check Point Remote Secure Access VPN.

Para configurar e testar o SSO do Microsoft Entra com o Check Point Remote Secure Access VPN, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra – Para permitir que os usuários usem esse recurso.

    1. Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Silva.
    2. Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o logon único do Microsoft Entra.
  2. Configurar o SSO do Check Point Remote Secure Access VPN : para permitir que os usuários usem esse recurso.

    1. Criar um usuário de teste do Check Point Remote Secure Access VPN – para ter um equivalente de B.Fernandes no Check Point Remote Secure Access VPN que esteja vinculado à representação de usuário do Microsoft Entra.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Check Point Remote Secure Access VPN>Logon único.

  3. Na página Selecionar um método de logon único, escolha SAML.

  4. Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.

    Editar a Configuração Básica de SAML

  5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

    1. Na caixa de texto Identificador (ID da Entidade) , digite uma URL usando o seguinte padrão: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>

    2. No URL de resposta caixa de texto, digite uma URL usando o seguinte padrão: https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>

    3. Na caixa de texto URL de Logon, digite uma URL usando o seguinte padrão: https://<GATEWAY_IP>/saml-vpn/

    Observação

    Esses valores não são reais. Atualize esses valores com o Identificador, a URL de Resposta e a URL de Logon reais. Entre em contato com a equipe de suporte ao cliente do Check Point Remote Secure Access VPN para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML.

  6. Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, localize XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo no computador.

    O link de download do Certificado

  7. Na seção Configurar o Check Point Remote Secure Access VPN, copie as URLs apropriadas de acordo com suas necessidades.

    Copiar URLs de configuração

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilitará B.Fernandes a usar o logon único permitindo acesso ao Check Point Remote Secure Access VPN.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Check Point Remote Secure Access VPN.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
    1. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do Check Point Remote Secure Access VPN

Configurar um objeto de Perfil de Usuário Externo

Observação

Esta seção só será necessária se você não quiser usar um Active Directory local (LDAP).

Configure um perfil de usuário genérico no SmartDashboard herdado:

  1. No SmartConsole, acesse Gerenciar e Configurações > Folhas.

  2. Na seção Acesso Móvel, clique em Configurar no SmartDashboard. O SmartDashboard herdado será aberto.

  3. No painel Objetos de Rede, clique em Usuários.

  4. Clique com o botão direito do mouse em um espaço vazio e selecione Novo > Perfil de Usuário Externo > Corresponder todos os usuários.

  5. Configure as propriedades de Perfil de Usuário Externo:

    1. Na página Propriedades Gerais:

      • No campo do nome do Perfil de Usuário Externo, mantenha o nome padrão generic*
      • No campo Data de Validade, defina a data aplicável
    2. Na página Autenticação:

      • Na lista suspensa Esquema de Autenticação, selecione undefined
    3. Nas páginas Localização, Hora e Criptografia:

      • Defina outras configurações aplicáveis
    4. Clique em OK.

  6. Na barra de ferramentas superior, clique em Atualizar (ou pressione CTRL + S).

  7. Feche o SmartDashboard.

  8. No SmartConsole, instale a Política de Controle de Acesso.

Configurar o VPN de acesso remoto

  1. Abra o objeto do Gateway de Segurança aplicável.

  2. Na página Propriedades Gerais, habilite a folha de software VPN IPSec.

  3. Na árvore à esquerda, clique na página VPN IPSec.

  4. Na seção Este Gateway de Segurança participa das seguintes comunidades de VPN, clique em Adicionar e selecione Comunidade de Acesso Remoto.

  5. Na árvore à esquerda, clique em Clientes VPN > Acesso Remoto.

  6. Habilite o Suporte ao Modo Visitante.

  7. Na árvore à esquerda, clique em Clientes VPN > Modo Escritório.

  8. Selecione Permitir Modo Escritório e escolha o Método do Modo Escritório aplicável.

  9. Na árvore à esquerda, clique em Clientes VPN > Configurações do Portal do SAML.

  10. Verifique se a URL principal contém o nome de domínio totalmente qualificado do gateway. Esse nome de domínio deve terminar com um sufixo DNS registrado pela sua organização. Por exemplo: https://gateway1.company.com/saml-vpn

  11. Verifique se o certificado é confiável pelo navegador dos usuários finais.

  12. Clique em OK.

Configurar um objeto de Provedor de Identidade

  1. Execute as etapas a seguir para cada gateway de segurança que participa da VPN de Acesso Remoto.

  2. No SmartConsole, na visualização Gateways & Servers , clique em New > More > User/Identity > Identity Provider.

  3. Execute as etapas a seguir na janela Novo Provedor de Identidade.

    captura de tela da seção Provedor de Identidade.

    a. No campo Gateway, selecione o Gateway de Segurança, que precisa executar a autenticação SAML.

    b. No campo Serviço, selecione VPN de Acesso Remoto na lista suspensa.

    c. Copie o valor do Identificador (ID da Entidade) e cole-o na caixa de texto Identificador na seção Configuração Básica do SAML.

    d. Copie o valor da URL de Resposta e cole-o na caixa de texto URL de Resposta na seção Configuração Básica do SAML.

    e. Selecione Importar Arquivo de Metadados para carregar o XML de Metadados de Federação baixado.

    Observação

    Como alternativa, você também pode selecionar Inserir Manualmente para colar manualmente os valores da ID da Entidade e da URL de Logon nos campos correspondentes e carregar o Arquivo de Certificado.

    f. Clique em OK.

Configurar o provedor de identidade como um método de autenticação

  1. Abra o objeto do Gateway de Segurança aplicável.

  2. Na página Clientes VPN > Autenticação:

    a. Desmarque a caixa de seleção Permitir que os clientes mais antigos se conectem a esse gateway.

    b. Adicione um novo objeto ou edite um realm existente.

    captura de tela de Adicionar um novo objeto.

  3. Insira um nome e um nome de exibição e adicione/edite um método de autenticação: caso a Opção de Logon seja usada em GWs que participam do MEP, a fim de permitir uma experiência suave do usuário, o Nome deve começar com o prefixo SAMLVPN_.

    captura de tela sobre a Opção de Logon.

  4. Selecione a opção Provedor de Identidade, clique no botão + verde e escolha o objeto de Provedor de Identidade aplicável.

    captura de tela para seleção do objeto de Provedor de Identidade aplicável.

  5. Na janela Várias Opções de Logon: no painel esquerdo, clique em Diretórios de Usuário e selecione Configuração manual. Há duas opções:

    1. Se você não quiser usar um Active Directory local (LDAP), selecione somente Perfis de Usuário Externo e clique em OK.
    2. Caso deseje usar um Active Directory local (LDAP), selecione somente usuários LDAP e, em Tipo de Pesquisa LDAP, selecione email. Em seguida, clique em OK.

    Captura de tela da configuração manual.

  6. Defina as configurações necessárias no banco de dados de gerenciamento:

    1. Feche o SmartConsole.

    2. Conecte-se com a Ferramenta GuiDBEdit ao Servidor de Gerenciamento (confira sk13009).

    3. No painel superior esquerdo, acesse Editar > Objetos de Rede.

    4. No painel superior direito, selecione o objeto Gateway de Segurança.

    5. No painel inferior, vá para realms_for_blades>vpn.

    6. Se você não quiser usar um Active Directory local (LDAP), defina do_ldap_fetch como false e do_generic_fetch como true. Em seguida, clique em OK. Caso deseje usar um Active Directory local (LDAP), defina do_ldap_fetch como true e do_generic_fetch como false. Em seguida, clique em OK.

    7. Repita as etapas 4 a 6 para todos os Gateways de Segurança aplicáveis.

    8. Salve todas as alterações selecionando Arquivo>Salvar Tudo.

  7. Feche a ferramenta GuiDBEdit.

  8. Cada gateway de segurança e cada folha de software têm configurações separadas. Examine as configurações de cada gateway de segurança e de cada folha de software que usa a autenticação (VPN, acesso móvel e reconhecimento de identidade).

    • Selecione a opção Usuários LDAP somente para as folhas de software que usam o LDAP.

    • Escolha a opção Perfis de usuário externo somente para as folhas de software que não usam o LDAP.

  9. Instale a Política de Controle de Acesso em cada gateway de segurança.

Instalação e configuração do cliente de RA de VPN

  1. Instale o cliente VPN.

  2. Defina o modo de navegador do Provedor de Identidade (opcional).

    Por padrão, o cliente do Windows usa o navegador inserido, e o cliente do macOS usa o Safari para autenticação no portal do provedor de identidade. Para os clientes do Windows, altere esse comportamento e usar o Internet Explorer:

    1. No computador cliente, abra um editor de texto sem formatação como Administrador.

    2. Abra o arquivo trac.defaults em um editor de texto.

      • No Windows de 32 bits:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • No Windows de 64 bits:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

    3. Altere o valor do atributo idp_browser_mode de embedded para IE.

    4. Salve o arquivo.

    5. Reinicie o serviço de cliente VPN do Check Point Endpoint Security.

    Abra o prompt de comando do Windows como administrador e execute estes comandos:

    # net stop TracSrvWrapper

    # net start TracSrvWrapper

  3. Inicie a autenticação com o navegador em execução em segundo plano:

    1. No computador cliente, abra um editor de texto sem formatação como Administrador.

    2. Abra o arquivo trac.defaults em um editor de texto.

      • No Windows de 32 bits:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

      • No Windows de 64 bits:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • No macOS:

        /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults

    3. Altere o valor de idp_show_browser_primary_auth_flow para false.

    4. Salve o arquivo.

    5. Reinicie o serviço de cliente VPN do Check Point Endpoint Security.

      • Em clientes do Windows, abra o prompt de comando do Windows como administrador e execute estes comandos:

        # net stop TracSrvWrapper

        # net start TracSrvWrapper

      • Em clientes do macOS, execute:

        sudo launchctl stop com.checkpoint.epc.service

        sudo launchctl start com.checkpoint.epc.service

Criar um usuário de teste do Check Point Remote Secure Access VPN

Nesta seção, você criará um usuário chamado Brenda Fernandes no Check Point Remote Secure Access VPN. Trabalhe com a equipe de suporte do Check Point Remote Access VPN para adicionar os usuários à plataforma do Check Point Remote Secure Access VPN. Os usuários devem ser criados e ativados antes de usar o logon único.

Testar o SSO

  1. Abra o cliente VPN e clique em Conectar-se a… .

    captura de tela da opção Conectar-se a.

  2. Selecione Site no menu suspenso e clique em Conectar.

    captura de tela da seleção do site.

  3. No pop-up de logon do Microsoft Entra, entre usando as credenciais do Microsoft Entra que você criou na seção Criar um usuário de teste Microsoft Entra.

Próximas etapas

Depois de configurar o Check Point Remote Secure Access VPN, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.