SAML ID プロバイダの設定

R81.10.15から、Quantum Sparkゲートウェイ上のリモートアクセスVPNユーザを認証するSAMLアイデンティティプロバイダ(IdP)として、Microsoft Entra ID(旧Azure AD)を設定できるようになりました。

必要条件

プロダクト

必要条件

管理サーバ

R81.20

SmartConsole关闭 Check Point GUI应用程序用于管理Check Point环境 - 配置安全策略、配置设备、监控产品和事件、安装更新等。

R81.20

Quantum Sparkゲートウェイ

R81.10.15

Endpoint Security クライアント

  • Windows用エンドポイントセキュリティクライアント - バージョンE84.70ビルド986102705以上

  • エンドポイントセキュリティクライアント(macOS版) - バージョンE85.30以上

プロダクト

必要条件

管理サーバ

R81.10R81.10 Jumbo Hotfix Accumulatorテイク9以上

SmartConsole

R81.10 SmartConsole Releases- ビルド400以上

Quantum Sparkゲートウェイ

R81.10.15

Endpoint Security クライアント

  • Windows用エンドポイントセキュリティクライアント - バージョンE84.70ビルド986102705以上

  • エンドポイントセキュリティクライアント(macOS版) - バージョンE85.30以上

使用事例

リモートユーザは、Microsoft Entra ID 認証情報を使用して、Quantum Spark ゲートウェイの背後にあるリソースにアクセスします。

これは、Quantum Spark ゲートウェイのためだけに特定の認証情報を使用するよりも簡単です。

管理者は、Microsoft Entra ID ポータルでユーザグループを管理し、シングルサインオン (SSO) や2要素認証 (2FA) などの認証方法を強制することができます。

ワークフロー

  1. リモートユーザが、リモートアクセス VPN を使用して、Quantum Spark ゲートウェイの背後にある内部リソースにアクセスしようとしました。

  2. Quantum Spark ゲートウェイ の SAML ポータルは、認証のためにユーザを IdP(Microsoft Entra ID)にリダイレクトします。

  3. IdP は、IdP のポータルで設定したポリシーに従って、ユーザに認証情報を要求します。

    たとえば、ユーザがすでにサインインしていることを認識するようにシングルサインオン(SSO)を構成したり、2要素認証(2FA)を要求したりすることができます。

  4. IdP はユーザを認証し、ユーザの Web ブラウザに SAML アサーションを送信します。

  5. ユーザの Web ブラウザは、SAML アサーションを Quantum Spark ゲートウェイに送信します。

  6. Quantum Spark ゲートウェイは SAML アサーションを検証し、リモートユーザが内部リソースにアクセスできるようにします。

既知の制限

  • 1つのIdPコンフィギュレーションのみがサポートされます。

    例えば、組織に Microsoft Entra ID アカウントが 2 つある場合、SAMLIdentity Provider として使用できるのはそのうちの 1 つだけです。

  • この機能はIPsec VPNクライアントのみをサポートします。

  • すべてのリモートアクセス VPN ユーザとエンドポイントコンピュータは、認証のため に ID プロバイダで構成する必要があります。

    これは、管理対象エンドポイントコンピュータと非管理対象エンドポイントコンピュータに適用されます。

  • SAML ベースの認証フローでは、ID プロバイダは、1 回または複数の検証アクティビティ後に SAML チケットを発行すします。

  • SAML 認証は、同じログイン・オプションに複数の認証要素を設定することはできません。

    マシン証明書認証オプションがサポートされています。

    多要素認証を使用するには、外部 ID プロバイダが複数の検証ステップを持つように構成します。

    検証活動の複雑さと数は、ID プロバイダの構成に依存します。

  • Windows および macOS のエンドポイントコンピュータまたはアプライアンス(管理型および非管理型)では、Check PointRemote Access VPN クライアントをインストールする必要があります。

  • セキュリティルールベースでは、VPN 終端ポイントでリモート・アクセス SAML 認証から受信した ID のみを適用できます。

  • CLI から Identity Provider を使用するレルムへの接続はサポートされていません。

  • ATM用リモートアクセスVPNクライアントはサポートされていません。

  • IDプロバイダを使用した Secure Domain Logon(SDL)はサポートされていません。

  • IDタグは、リモートアクセスVPN接続ではサポートされていません。

設定

  1. SmartConsoleを使用して、Security Management Server关闭 运行Check Point软件的专用Check Point服务器,用于管理单个管理域内的Check Point环境中的对象和策略。同义词:单域安全管理服务器。/関連するドメイン管理サーバに接続します。

  2. 左側のナビゲーションパネルからGateways & Serversをクリックします。

  3. 該当する Quantum Spark ゲートウェイのオブジェクトを開きます。

  4. 一般プロパティ>ネットワークセキュリティタブで、IPsec VPNソフトウェアブレードを選択します。

  5. 左のツリーから、IPsec VPNをクリックします。

  6. このセキュリティゲートウェイは以下のVPNコミュニティに参加していますセクションで、追加をクリックします。

    このゲートウェイをコミュニティに追加ウィンドウが開きます。

  7. 該当するリモートアクセスVPNコミュニティを選択します。

  8. [OK]をクリックします。。

  9. 左のツリーから、VPNクライアントを展開し、リモートアクセスをクリックし、ビジターモードのサポートを選択します。

  10. 左側のツリーから、VPNクライアントをクリック > オフィスモードをクリック > オフィスモードの許可を選択 > 該当するオフィスモード方式を選択します。

  11. [OK]をクリックします。。

    Quantum Spark ゲートウェイオブジェクトが閉じます。

  12. Quantum Spark ゲートウェイ オブジェクトを開きます。

  13. 左側のツリーから、VPN クライアント>SAML ポータル設定の順にクリックします:

    1. Main URLフィールドにQuantum Sparkゲートウェイの完全修飾ドメイン名(FQDN)が含まれていることを確認します。

    2. ドメイン名の末尾が、組織に登録されているDNSサフィックスであることを確認してください。

      例:

      https://MyGateway1.mycompany.com/saml-vpn

    3. アクセシビリティセクションで、関連する設定を選択します。

  14. [OK]をクリックします。。

重要- リモートアクセスVPNに参加するQuantum Sparkゲートウェイごとにこの手順を実行してください。

  1. SmartConsoleで、右側のナビゲーションパネルから新規>その他>ユーザ/アイデンティティ>IDプロバイダをクリックします。

    新規IDプロバイダウィンドウが開きます。

  2. 新規IDプロバイダ」ウィンドウで、以下の設定を行います:

    1. 一番上に該当する名前とコメントを入力します。

    2. ゲートウェイフィールドで、SAML 認証を行う Quantum Spark ゲートウェイを選択します。

    3. サービスフィールドで、リモートアクセスVPNを選択します。

    SmartConsoleは、これらのフィールドに自動的に入力します:

    • 識別子(エンティティID)- サービスプロバイダ(この構成ではセキュリティゲートウェイ)を一意に識別するURL。

    • 返信 URL- SAML アサーションを送信する URL。

  3. ID プロバイダの Web サイトで SAML アプリケーションを構成します。

    重要- ID プロバイダの Web サイトで SAML アプリケーションを構成している間は、SmartConsole の新規IDプロバイダウィンドウを閉じないでください。

    - IDプロバイダによっては、リモートアクセスVPN用のSAMLを構成するために必要な機能を使用するために、プレミアムサブスクリプションを購入する必要がある場合があります。

    ID プロバイダの指示に従う。

    1. SmartConsole の新規IDプロバイダウィンドウから(エンティティID)」フィールドと返信URLフィールドの値をコピーし、IDプロバイダのウェブサイトの該当するフィールドに入力します。

    2. 認証されたユーザ名を電子メール形式 "alias@domain" で送信するよう、IDプロバイダを設定してください。

      重要- ユーザのプライマリメールアドレスは、オンプレミスの LDAP ディレクトリと ID プロバイダのユー ザディレクトリで同じでなければなりません。このEメールアドレスは一意でなければなりません。

    3. オプション:ユーザが定義されている ID プロバイダのグループを受信するには、グループ名を "group attr" 属性の値として送信するように ID プロバイダを設定します。

    4. 構成を完了する前に、ID プロバイダからこの情報を取得する:

      • エンティティID- アプリケーションを一意に識別するURL。

      • ログインURL- アプリケーションを使用するためのURL。

      • 証明書- Quantum Spark ゲートウェイとIDプロバイダ 間のセキュアな通信のため。

      - 一部の ID プロバイダは、この情報をメタデータ XML ファイルで提供します。

  4. 新規 ID プロバイダウィンドウのSAML ID プロバイダから受信したデータセクションで、以下のオプションのいずれかを選択する:

    • メタデータファイルのインポート

      ファイルから重要な情報をインポートをクリックし、 ID プロバイダからメタデータファイルを選択する。

    • 手動挿入

      1. 識別子 (エンティティID)と、ID プロバイダからコピーしたログインURLを入力します。

      2. ファイルからインポートをクリックし、ID プロバイダから証明書ファイルを選択します。

        - SmartConsole の ID プロバイダオブジェクトは、RAW 証明書のインポートをサポートしていません。

  1. 在左邊的導覽面板中,按一下管理和設定

  2. 左のツリーからブレードをクリックします。

  3. モバイルアクセスセクションで、SmartDashboardで設定をクリックします。

    レガシーSmartDashboardが開きます。

  4. 左下のペインで、ユーザタブをクリックします。

  5. ユーザタブで、空白のスペースを右クリックし、新規>[外部ユーザプロファイル>すべてのユーザに一致を選択します。

  6. 外部ユーザプロファイルのプロパティを設定します:

    1. の[一般プロパティ]ページが開きます。

      • 外部ユーザプロファイル名フィールドで、デフォルト名がgeneric* であることを確認する。

      • 有効期限フィールドに日付を入力します。

    2. 認証ページの認証スキームドロップダウンリストで、未定義を選択します。

    3. ロケーション時間暗号化のページで、関連する設定を行います。

    4. [OK]をクリックします。。

  7. 上部のツールバーから、メニュー(左上のボタン)>ファイルアップデートをクリックします。

  8. レガシーSmartDashboardを閉じます。

  9. SmartConsoleで、Access Control Policyをインストールします。

  1. 左側のナビゲーションパネルからGateways & Serversをクリックします。

  2. 関連する Quantum Spark ゲートウェイ オブジェクトを開きます。

  3. 左のツリーから、VPNクライアントを展開し、認証をクリックします。

  4. 古いクライアントがこのゲートウェイに接続できるようにするチェックボックスをオフにします。

  5. 複数の認証クライアントの設定」セクションで、新しいオブジェクトを追加(追加をクリック > 新規をクリック)するか、既存のオブジェクトを編集(編集をクリック)します。

    リモートアクセスクライアントは、このセクションに示す順序で認証方法を表示します。

    複数の認証クライアントについての詳細は、以下を参照してください。R81.10 Remote Access VPN Administration Guide>「 リモートアクセスのためのユーザ認証とクライアント認証」の項。

  6. 複数のログインオプションのウィンドウで:

    1. 左のツリーから、ログインオプションをクリックします。

      • 一般的なプロパティセクション

        • 名前フィールドに、データベース内のオブジェクトの名前を入力します。

        • 表示名フィールドに、複数認証クライアント設定テーブルとセキュリティゲートウェイのポータルに表示される名前を入力します。

      • 認証方法セクション:

        1. 認証要素」セクションで、ID プロバイダを選択します。

        2. +ボタンをクリックし、ID プロバイダ オブジェクトを選択します。

        3. [OK]をクリックします。。

      - リモートアクセスのマルチエントリポイント(MEP)では、MEPに参加するすべてのセキュリティゲートウェイで同じログインオプションを構成する必要があります。

      すべての ID プロバイダオブジェクト(セキュリティゲートウェイごとに 1 つ)を専用のログインオプション に追加してください。

    2. 左のツリーから、ユーザディレクトリをクリックします。

      1. 手動設定を選択します。

      2. 外部ユーザプロファイルを選択します。

    3. [OK]をクリックします。。

  7. Quantum Spark ゲートウェイ オブジェクトで、OK をクリックします。

  8. 发布 SmartConsole 会话。

  9. 管理データベースで必要な設定を行う:

    1. オプション:ベストプラクティスとして、アクセス制御ポリシーをインストールします。

      管理サーバはリビジョンスナップショットを作成します。

      手動でのデータベース構成でミスを犯した場合、またはリモートアクセスVPNのSAMLサポートを削除したい場合は、このリビジョンスナップショットに戻すことができます。

      参照:

    2. すべてのSmartConsoleウィンドウを閉じます。

      - アクティブなセッションがないことを確認するには、cpstat mg各ドメイン管理サーバのコンテキストで、Security Management Serverのエキスパートモードで「 」コマンドを実行します。

    3. 接続Database Tool (GuiDBEdit Tool)Security Management Server/該当するドメイン管理サーバに接続します。

    4. 左上のペインで、Table>Network Objects>network_objectsと進みます。

    5. 右上のペインで、Security ゲートウェイオブジェクトを選択します。

    6. CTRL + F (または検索メニューから検索をクリック) >realms_for_bladesをペースト >文字列全体のみ一致を選択 >次へ検索をクリック。

    7. realms_for_bladesの下で、属性vpnを選択し、その内側の属性だけを調べます。

    8. ディレクトリ属性 >fetch_options属性の下にある、以下の属性を探します:

      • do_generic_fetch

      • do_internal_fetch

      • do_ldap_fetch

      • fetch_type

      これらの属性が表示されない場合は、属性fetch_optionsを右クリック >編集をクリック > 何も変更せず >OKをクリック(何も変更しない)。

    9. 必要な設定を行います。

      • オンプレミスのActive Directory(LDAP)を使用している場合:

        1. 属性fetch_optionsの下 - 属性do_generic_fetchの現在の値がfalseでない場合、属性do_generic_fetchを右クリック >編集をクリック > 値falseを選択 >OKをクリック。

        2. 属性ディレクトリの下 - 属性UserLoginAttrを右クリック >編集をクリック > 値mailを選択 >OKをクリック。

      • オンプレミスのActive Directory(LDAP)を使用しない場合:

        1. 属性fetch_optionsの下 - 属性do_internal_fetchの現在の値がfalseでない場合、属性do_internal_fetchを右クリック >編集をクリック > 値falseを選択 >OKをクリック。

        2. 属性fetch_optionsの下 - 属性do_ldap_fetchの現在の値がfalseでない場合、属性do_ldap_fetchを右クリック >編集をクリック > 値falseを選択 >OKをクリック。

    10. 属性fetch_typeを右クリック >編集をクリック > 値fetch_optionsを選択 >OKをクリック。

    11. 該当するすべてのセキュリティゲートウェイについて、手順(c)~(j)を再度行います。

    12. すべての変更を保存する(ファイルメニュー > すべて保存をクリックします)。

    13. データベースツール(GuiDBEditツール)を閉じます。

  10. SmartConsoleを使用して、Security Management Server/関連するドメイン管理サーバに接続します。

  11. 管理サーバにスクリプトをダウンロードします。

    1. this script をコンピュータにダウンロードします。

    2. セキュリティゲートウェイに必要なJumbo Hotfix Accumulatorがインストールされていることを確認してください。参照: 必要条件

    3. スクリプトをコンピュータから管理サーバにコピーします。

      - SCP 経由でファイルを管理サーバにコピーする場合、接続するユーザは Gaia OS のデフォルトシェル/bin/bash を持っている必要があります。

    4. 管理サーバのコマンドラインに接続します。

    5. エキスパートモードにログインします。

    6. マルチドメインサーバ上で、メインのデータシートコンテキストに移動します:

      mdsenv

      注-マルチドメインサーバで、既存のすべてのドメインでSAMLを有効にしたくない場合は、各ドメインの UID を文書化する。

      次を実行します:

      mgmt_cli show domains

    7. スクリプトをアップロードしたディレクトリに移動する。

      スクリプトに実行権限を割り当てる:

      chmod u+x allow_VPN_RA_for_R8040_and_above_gateways_V2.sh

      スクリプトを実行する(最初の引数は "1" でなければなりません):

      /allow_VPN_RA_for_R8040_and_above_gateways_V2.sh 1

      - 管理APIが、デフォルトのポート443 ("api status" コマンドの出力を参照)ではないTCPポートを使用して構成されている場合は、以下のいずれかを実行します:

      • スクリプトの第2引数にポート番号を追加する:

        ./allow_VPN_RA_for_R8040_and_above_gateways.sh 1 <Apache Port Number>

      • このスクリプトの各 "--port <Apache Port Number>" コマンドの構文に "mgmt_cli" を追加します。

    8. スクリプトでユーザ名とパスワードの入力を求められたら、SmartConsoleの認証情報を入力します。

    9. スクリプトでドメインUIDの入力を求められた場合:

      • マルチドメインサーバのドメインの 1 つで SAML を有効にするには、ドメインの UID を入力します(UID を確認するには、"mgmt_cli show domains" を実行する)。

      • その他の場合、またはすべてのドメインで SAML を有効にするには、プロンプトを空のままにして、Enter を押します。

  12. SmartConsoleで、各セキュリティゲートウェイにAccess Control Policyをインストールします。

  1. Windows用またはmacOS用のリモートアクセスVPNクライアントをインストールします。

    詳細は、sk172909を参照してください。

  2. オプション:ID プロバイダのブラウザモードを構成します。

    デフォルトでは、Windows クライアントは組み込みブラウザを使用し、macOS クライアントは Safari ブラウザを使用して ID プロバイダのポータルで ID を証明します。

    エンドポイントコンピュータのデフォルトブラウザ(例:Chrome)を使用するように、Windows用リモートアクセスVPNクライアントを設定します:

    - この設定は、Windows用リモートアクセスVPNクライアントバージョンE87.30からサポートされています。

    1. 管理者としてWindowsエンドポイントコンピュータにログインします。

    2. プレーンテキストエディタでtrac.defaults ファイルを編集します。

      • 64ビットのWindowsでは、ファイルの場所は次のとおりです:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • 32ビットのWindowsでは、ファイルの場所は次のとおりです:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

    3. idp_browser_mode属性の値をembeddedからdefault_browserに変更します。

    4. ファイルに変更を保存し、テキストエディタを閉じます。

    5. リモートアクセスVPNクライアントを停止し、再度起動します。

      Windowsのコマンドプロンプトを管理者として開き、以下のコマンドを実行します:

      1. net stop TracSrvWrapper

      2. net start TracSrvWrapper

    エンドポイントコンピュータのデフォルトブラウザ(例:Chrome)を使用するように、macOS用リモートアクセスVPNクライアントを設定します:

    - この設定は、リモートアクセスVPNクライアントfor macOSバージョンE87.30からサポートされています。

    1. 管理者としてmacOSエンドポイントコンピュータにログインします。

    2. プレーンテキストエディタを開きます。

    3. プレーンテキストエディタでtrac.defaultsファイルを編集します:

      /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/Trac.defaults

    4. idp_browser_mode属性の値をembeddedからdefault_browserに変更します。

    5. ファイルに変更を保存し、テキストエディタを閉じます。

    6. リモートアクセスVPNクライアントを停止し、再度起動します。

      ターミナルを開き、以下のコマンドを実行します:

      1. sudo launchctl stop com.checkpoint.epc.service

      2. sudo launchctl start com.checkpoint.epc.service

    Internet Explorerブラウザを使用するためのWindows用リモートアクセスVPNクライアントの設定

    1. 管理者としてWindowsエンドポイントコンピュータにログインします。

    2. プレーンテキストエディタでtrac.defaults ファイルを編集します。

      • 64ビットのWindowsでは、ファイルの場所は次のとおりです:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • 32ビットのWindowsでは、ファイルの場所は次のとおりです:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

    3. idp_browser_mode属性の値をembeddedからIEに変更します。

    4. ファイルに変更を保存し、テキストエディタを閉じます。

    5. リモートアクセスVPNクライアントを停止し、再度起動します。

      Windowsのコマンドプロンプトを管理者として開き、以下のコマンドを実行します:

      1. net stop TracSrvWrapper

      2. net start TracSrvWrapper

    リモートアクセスVPNゲートウェイの設定ファイルで、Windowsエンドポイントコンピュータのブラウザモードを設定します:

    リモートアクセスVPNクライアント for WindowsバージョンE88.41以降では、リモートアクセスVPNゲートウェイ上の設定ファイルでエンドポイントコンピュータのブラウザモードを設定できます。

    idp_browser_mode ファイルの "trac_client_1.ttm" パラメーターは、ブラウザのモードをコントロールします。詳細は、sk75221を参照してください。

認証とは、このようなグループのことです:

  • IDプロバイダグループ - ID プロバイダが送信するグループ。

  • 内部グループ - SmartConsoleで設定されたユーザディレクトリから受信したグループ(内部ユーザグループまたはLDAPグループ)。

ID プロバイダグループを設定する:

  1. ID プロバイダのインタフェースで、SAML 属性を構成する:

    1. group_attrというオプションの属性を定義します。

    2. ID プロバイダの要件に従って属性を構成します。

  2. SmartConsoleで、この名前で内部ユーザグループオブジェクトを作成します(大文字と小文字を区別し、スペースはサポートしません):

    EXT_ID_<Name_of_Role>

    例えば、ID プロバイダのインタフェースのロールにmy_group という名前を付け、SmartConsole にEXT_ID_my_groupという名前で内部ユーザグループオブジェクトを作成します。

    - Microsoft Azure では、Identity タグはリモートアクセス接続ではサポートされていません。

ID プロバイダのグループと内部グループ(例:LDAP)が認証に使用されます。

権限の種類リモートアクセスVPNコミュニティとアクセスロール

  • リモートアクセスVPNコミュニティ - リモートアクセスVPNへのアクセスをユーザに許可します。

    詳細は次を参照: R81.10 Remote Access VPN Administration Guide>「 リモートアクセスのためのユーザ認証とクライアント認証」の項。

  • アクセス・ロール(Identity Awareness Software Blade が必要) - ポリシールールおよびユー ザ ID に従って、ユーザにアクセス権を付与する。

    詳細は次を参照: R81.10 Identity Awareness Administration Guide> セクション「アクセスロールの作成」。

リモートアクセスVPNによる認証を適用するには、該当するグループをリモートアクセスVPNに追加します。

アクセスロールによる認可を適用するには、アクセスコントロールポリシーのアクセスロールに該当するグループを追加します。