Tutorial: integração do SSO do Microsoft Enta com a VPN de Acesso Remoto Seguro da Check Point
Neste tutorial, você aprenderá a integrar o Check Point Remote Secure Access VPN ao Microsoft Entra ID. Ao integrar o Check Point Remote Secure Access VPN ao Microsoft Entra ID, será possível:
- Controlar no Microsoft Entra ID quem tem acesso ao Check Point Remote Secure Access VPN.
- Permitir que os usuários entrem automaticamente no Check Point Remote Secure Access VPN com as respectivas contas do Microsoft Entra.
- Gerencie suas contas em um local central.
Pré-requisitos
Para começar, você precisará dos seguintes itens:
- Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
- Assinatura do Check Point Remote Secure Access VPN habilitada para SSO (logon único).
Descrição do cenário
Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.
- O Check Point Remote Secure Access VPN dá suporte ao SSO iniciado por SP.
Como adicionar o Check Point Remote Secure Access VPN por meio da galeria
Para configurar a integração do Check Point Remote Secure Access VPN ao Microsoft Entra ID, é necessário adicionar o Check Point Remote Secure Access VPN por meio da galeria à lista de aplicativos SaaS gerenciados.
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
- Na seção Adicionar por meio da galeria, digite Check Point Remote Secure Access VPN na caixa de pesquisa.
- Selecione Check Point Remote Secure Access VPN no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.
Configurar e testar o SSO do Microsoft Entra para o Check Point Remote Secure Access VPN
Configure e teste o SSO do Microsoft Entra com o Check Point Remote Secure Access VPN por meio de um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do Check Point Remote Secure Access VPN.
Para configurar e testar o SSO do Microsoft Entra com o Check Point Remote Secure Access VPN, execute as seguintes etapas:
Configurar o SSO do Microsoft Entra – Para permitir que os usuários usem esse recurso.
- Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Silva.
- Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o logon único do Microsoft Entra.
Configurar o SSO do Check Point Remote Secure Access VPN : para permitir que os usuários usem esse recurso.
- Criar um usuário de teste do Check Point Remote Secure Access VPN – para ter um equivalente de B.Fernandes no Check Point Remote Secure Access VPN que esteja vinculado à representação de usuário do Microsoft Entra.
Testar o SSO – para verificar se a configuração funciona.
Configurar o SSO do Microsoft Entra
Siga estas etapas para habilitar o SSO do Microsoft Entra.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Aplicativos empresariais>Check Point Remote Secure Access VPN>Logon único.
Na página Selecionar um método de logon único, escolha SAML.
Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.
Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:
Na caixa de texto Identificador (ID da Entidade) , digite uma URL usando o seguinte padrão:
https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/ID/<IDENTIFIER_UID>
No URL de resposta caixa de texto, digite uma URL usando o seguinte padrão:
https://<GATEWAY_IP>/saml-vpn/spPortal/ACS/Login/<IDENTIFIER_UID>
Na caixa de texto URL de Logon, digite uma URL usando o seguinte padrão:
https://<GATEWAY_IP>/saml-vpn/
Observação
Esses valores não são reais. Atualize esses valores com o Identificador, a URL de Resposta e a URL de Logon reais. Entre em contato com a equipe de suporte ao cliente do Check Point Remote Secure Access VPN para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML.
Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, localize XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo no computador.
Na seção Configurar o Check Point Remote Secure Access VPN, copie as URLs apropriadas de acordo com suas necessidades.
Criar um usuário de teste do Microsoft Entra
Nesta seção, você criará um usuário de teste chamado B.Fernandes.
- Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
- Navegue até Identidade>Usuários>Todos os usuários.
- Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
- Nas propriedades do Usuário, siga estas etapas:
- No campo Nome de exibição, insira
B.Simon
. - No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo,
B.Simon@contoso.com
. - Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
- Selecione Examinar + criar.
- No campo Nome de exibição, insira
- Selecione Criar.
Atribuir o usuário de teste do Microsoft Entra
Nesta seção, você habilitará B.Fernandes a usar o logon único permitindo acesso ao Check Point Remote Secure Access VPN.
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais>Check Point Remote Secure Access VPN.
- Na página de visão geral do aplicativo, selecione Usuários e grupos.
- Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
- Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
- Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
- Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.
Configurar o SSO do Check Point Remote Secure Access VPN
Configurar um objeto de Perfil de Usuário Externo
Observação
Esta seção só será necessária se você não quiser usar um Active Directory local (LDAP).
Configure um perfil de usuário genérico no SmartDashboard herdado:
No SmartConsole, acesse Gerenciar e Configurações > Folhas.
Na seção Acesso Móvel, clique em Configurar no SmartDashboard. O SmartDashboard herdado será aberto.
No painel Objetos de Rede, clique em Usuários.
Clique com o botão direito do mouse em um espaço vazio e selecione Novo > Perfil de Usuário Externo > Corresponder todos os usuários.
Configure as propriedades de Perfil de Usuário Externo:
Na página Propriedades Gerais:
- No campo do nome do Perfil de Usuário Externo, mantenha o nome padrão
generic
* - No campo Data de Validade, defina a data aplicável
- No campo do nome do Perfil de Usuário Externo, mantenha o nome padrão
Na página Autenticação:
- Na lista suspensa Esquema de Autenticação, selecione
undefined
- Na lista suspensa Esquema de Autenticação, selecione
Nas páginas Localização, Hora e Criptografia:
- Defina outras configurações aplicáveis
Clique em OK.
Na barra de ferramentas superior, clique em Atualizar (ou pressione CTRL + S).
Feche o SmartDashboard.
No SmartConsole, instale a Política de Controle de Acesso.
Configurar o VPN de acesso remoto
Abra o objeto do Gateway de Segurança aplicável.
Na página Propriedades Gerais, habilite a folha de software VPN IPSec.
Na árvore à esquerda, clique na página VPN IPSec.
Na seção Este Gateway de Segurança participa das seguintes comunidades de VPN, clique em Adicionar e selecione Comunidade de Acesso Remoto.
Na árvore à esquerda, clique em Clientes VPN > Acesso Remoto.
Habilite o Suporte ao Modo Visitante.
Na árvore à esquerda, clique em Clientes VPN > Modo Escritório.
Selecione Permitir Modo Escritório e escolha o Método do Modo Escritório aplicável.
Na árvore à esquerda, clique em Clientes VPN > Configurações do Portal do SAML.
Verifique se a URL principal contém o nome de domínio totalmente qualificado do gateway. Esse nome de domínio deve terminar com um sufixo DNS registrado pela sua organização. Por exemplo:
https://gateway1.company.com/saml-vpn
Verifique se o certificado é confiável pelo navegador dos usuários finais.
Clique em OK.
Configurar um objeto de Provedor de Identidade
Execute as etapas a seguir para cada gateway de segurança que participa da VPN de Acesso Remoto.
No SmartConsole, na visualização Gateways & Servers , clique em New > More > User/Identity > Identity Provider.
Execute as etapas a seguir na janela Novo Provedor de Identidade.
a. No campo Gateway, selecione o Gateway de Segurança, que precisa executar a autenticação SAML.
b. No campo Serviço, selecione VPN de Acesso Remoto na lista suspensa.
c. Copie o valor do Identificador (ID da Entidade) e cole-o na caixa de texto Identificador na seção Configuração Básica do SAML.
d. Copie o valor da URL de Resposta e cole-o na caixa de texto URL de Resposta na seção Configuração Básica do SAML.
e. Selecione Importar Arquivo de Metadados para carregar o XML de Metadados de Federação baixado.
Observação
Como alternativa, você também pode selecionar Inserir Manualmente para colar manualmente os valores da ID da Entidade e da URL de Logon nos campos correspondentes e carregar o Arquivo de Certificado.
f. Clique em OK.
Configurar o provedor de identidade como um método de autenticação
Abra o objeto do Gateway de Segurança aplicável.
Na página Clientes VPN > Autenticação:
a. Desmarque a caixa de seleção Permitir que os clientes mais antigos se conectem a esse gateway.
b. Adicione um novo objeto ou edite um realm existente.
Insira um nome e um nome de exibição e adicione/edite um método de autenticação: caso a Opção de Logon seja usada em GWs que participam do MEP, a fim de permitir uma experiência suave do usuário, o Nome deve começar com o prefixo
SAMLVPN_
.Selecione a opção Provedor de Identidade, clique no botão
+
verde e escolha o objeto de Provedor de Identidade aplicável.Na janela Várias Opções de Logon: no painel esquerdo, clique em Diretórios de Usuário e selecione Configuração manual. Há duas opções:
- Se você não quiser usar um Active Directory local (LDAP), selecione somente Perfis de Usuário Externo e clique em OK.
- Caso deseje usar um Active Directory local (LDAP), selecione somente usuários LDAP e, em Tipo de Pesquisa LDAP, selecione email. Em seguida, clique em OK.
Defina as configurações necessárias no banco de dados de gerenciamento:
Feche o SmartConsole.
Conecte-se com a Ferramenta GuiDBEdit ao Servidor de Gerenciamento (confira sk13009).
No painel superior esquerdo, acesse Editar > Objetos de Rede.
No painel superior direito, selecione o objeto Gateway de Segurança.
No painel inferior, vá para realms_for_blades>vpn.
Se você não quiser usar um Active Directory local (LDAP), defina do_ldap_fetch como false e do_generic_fetch como true. Em seguida, clique em OK. Caso deseje usar um Active Directory local (LDAP), defina do_ldap_fetch como true e do_generic_fetch como false. Em seguida, clique em OK.
Repita as etapas 4 a 6 para todos os Gateways de Segurança aplicáveis.
Salve todas as alterações selecionando Arquivo>Salvar Tudo.
Feche a ferramenta GuiDBEdit.
Cada gateway de segurança e cada folha de software têm configurações separadas. Examine as configurações de cada gateway de segurança e de cada folha de software que usa a autenticação (VPN, acesso móvel e reconhecimento de identidade).
Selecione a opção Usuários LDAP somente para as folhas de software que usam o LDAP.
Escolha a opção Perfis de usuário externo somente para as folhas de software que não usam o LDAP.
Instale a Política de Controle de Acesso em cada gateway de segurança.
Instalação e configuração do cliente de RA de VPN
Instale o cliente VPN.
Defina o modo de navegador do Provedor de Identidade (opcional).
Por padrão, o cliente do Windows usa o navegador inserido, e o cliente do macOS usa o Safari para autenticação no portal do provedor de identidade. Para os clientes do Windows, altere esse comportamento e usar o Internet Explorer:
No computador cliente, abra um editor de texto sem formatação como Administrador.
Abra o arquivo
trac.defaults
em um editor de texto.No Windows de 32 bits:
%ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
No Windows de 64 bits:
%ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
Altere o valor do atributo
idp_browser_mode
deembedded
paraIE
.Salve o arquivo.
Reinicie o serviço de cliente VPN do Check Point Endpoint Security.
Abra o prompt de comando do Windows como administrador e execute estes comandos:
# net stop TracSrvWrapper
# net start TracSrvWrapper
Inicie a autenticação com o navegador em execução em segundo plano:
No computador cliente, abra um editor de texto sem formatação como Administrador.
Abra o arquivo
trac.defaults
em um editor de texto.No Windows de 32 bits:
%ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
No Windows de 64 bits:
%ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
No macOS:
/Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/trac.defaults
Altere o valor de
idp_show_browser_primary_auth_flow
parafalse
.Salve o arquivo.
Reinicie o serviço de cliente VPN do Check Point Endpoint Security.
Em clientes do Windows, abra o prompt de comando do Windows como administrador e execute estes comandos:
# net stop TracSrvWrapper
# net start TracSrvWrapper
Em clientes do macOS, execute:
sudo launchctl stop com.checkpoint.epc.service
sudo launchctl start com.checkpoint.epc.service
Criar um usuário de teste do Check Point Remote Secure Access VPN
Nesta seção, você criará um usuário chamado Brenda Fernandes no Check Point Remote Secure Access VPN. Trabalhe com a equipe de suporte do Check Point Remote Access VPN para adicionar os usuários à plataforma do Check Point Remote Secure Access VPN. Os usuários devem ser criados e ativados antes de usar o logon único.
Testar o SSO
Abra o cliente VPN e clique em Conectar-se a… .
Selecione Site no menu suspenso e clique em Conectar.
No pop-up de logon do Microsoft Entra, entre usando as credenciais do Microsoft Entra que você criou na seção Criar um usuário de teste Microsoft Entra.
Próximas etapas
Depois de configurar o Check Point Remote Secure Access VPN, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.