配置SAML身份提供者

从R81.10.15版本开始,您可以将Microsoft Entra ID(前身为Azure AD)配置为SAML身份提供者(IdP),以便在Quantum Spark网关上验证远程访问VPN关闭 远程访问客户端(例如Endpoint Security VPN)和安全网关之间的加密隧道。用户。

要求

产品

要求

管理服务器关闭 Check Point Security Management Server或多域Security Management Server。

R81.20

SmartConsole关闭 Check Point GUI应用程序用于管理Check Point环境 - 配置安全策略、配置设备、监控产品和事件、安装更新等。

R81.20

Quantum Spark网关

R81.10.15

端点安全客户端

  • 适用于Windows的端点安全客户端 - 版本E84.70 构建版本986102705或更高版本

  • 适用于macOS的端点安全客户端 - 版本E85.30或更高版本

产品

要求

管理服务器

R81.10与R81.10 Jumbo Hotfix Accumulator,选择9或更高版本

SmartConsole

R81.10 SmartConsole Releases- 构建版本400或更高版本

Quantum Spark网关

R81.10.15

端点安全客户端

  • 适用于Windows的端点安全客户端 - 版本E84.70 构建版本986102705或更高版本

  • 适用于macOS的端点安全客户端 - 版本E85.30或更高版本

使用案例

远程用户使用他们的Microsoft Entra ID凭证访问位于Quantum Spark网关后的资源。

这比为Quantum Spark网关单独设置专用凭据要更简单。

管理员可以在Microsoft Entra ID门户中管理用户组,并强制执行单点登录 (SSO) 和双重身份验证 (2FA) 等身份验证方法。

工作流程

  1. 远程用户尝试使用远程访问VPN连接至Quantum Spark网关,以访问其背后的内部资源。

  2. Quantum Spark网关的SAML门户将用户重定向到 IdP(Microsoft Entra ID)进行身份验证。

  3. IdP根据你在IdP门户中配置的策略向用户要求提供凭证。

    例如,你可以配置单点登录 (SSO) 来识别用户是否已登录,或者要求双重身份验证 (2FA)。

  4. IdP对用户进行身份验证,并向用户的Web浏览器发送SAML断言。

  5. 用户的Web浏览器将SAML断言发送到Quantum Spark网关。

  6. Quantum Spark网关验证SAML断言,并允许远程用户访问内部资源。

已知限制

  • 仅支持一个IdP配置。

    例如,如果你的组织有两个Microsoft Entra ID帐户,则你只能使用其中一个作为SAMLIdentity提供者

  • 此功能仅支持IPsec VPN客户端。

  • 所有远程访问VPN用户和端点电脑都必须在身份提供者中配置以进行身份验证。

    这适用于管理端点电脑和非管理端点电脑。

  • 在基于SAML的身份验证流程中,身份提供者在一个或多个验证活动后发出SAML票证。

  • SAML身份验证不能在同一个登录选项中配置多个身份验证因素。

    支持机器证书认证选项。

    要使用多重身份验证,请配置外部身份提供者以进行多个验证步骤。

    验证活动的复杂性和数量取决于身份提供者的配置。

  • Windows和macOS端点电脑或设备(托管和非托管)必须安装Check PointRemote Access VPN客户端。

  • 在安全规则库关闭 在给定的安全策略中配置的所有规则。同义词:规则库。中,你只能在VPN终端点强制执行从远程访问SAML身份验证接收的身份。

  • 不支持从CLI连接到具有身份提供者的领域。

  • 不支持ATM的远程访问VPN客户端。

  • 不支持使用身份提供者的安全域登录 (SDL)。

  • 远程访问VPN连接不支持身份标签。

无效配置

  1. 使用SmartConsole连接到安全管理服务器/相关域管理服务器。

  2. 在左侧导航面板中,单击网关和服务器

  3. 打开相关Quantum Spark网关的对象。

  4. 常规资产>网络安全选项卡中,选择IPsec VPN软件刀片。

  5. 从左侧树中单击IPsec VPN。

  6. 此安全网关参与以下VPN社区部分中,单击添加

    打开将此网关添加到社区窗口。

  7. 选择相关的远程访问VPN社区关闭 VPN域的命名集合,每个域都受VPN网关保护。

  8. 单击“确定”。

  9. 从左侧树中,展开VPN客户端> 单击远程访问> 选择支持访客模式

  10. 从左侧树中,单击VPN客户端> 单击办公模式> 选择允许办公模式> 选择相关的办公模式方法。

  11. 单击“确定”。

    Quantum Spark网关对象关闭。

  12. 打开Quantum Spark网关对象。

  13. 在左侧树中,单击VPN客户端> SAML门户设置

    1. 确保主URL字段包含Quantum Spark网关的完全限定域名 (FQDN)。

    2. 确保域名以你组织注册的DNS后缀结尾。

      示例:

      https://MyGateway1.mycompany.com/saml-vpn

    3. 辅助功能部分中,选择相关设置。

  14. 单击“确定”。

重要提示- 对参与远程访问VPN的每个Quantum Spark网关执行此步骤

  1. 在SmartConsole中,从右侧导航面板单击新建>更多>用户/身份>身份提供者

    打开新身份提供者窗口。

  2. 新建身份提供者窗口中,配置以下设置:

    1. 在顶部输入适用的名称和评论。

    2. 网关字段中,选择Quantum Spark网关进行SAML身份验证。

    3. 服务字段中,选择远程访问VPN

    SmartConsole自动填充以下字段:

  3. 在身份提供商的网站上配置SAML应用程序。

    重要提示- 在身份提供商的网站上配置SAML应用程序时,请勿关闭SmartConsole中的新身份提供商窗口。

    说明- 根据你的身份提供商,你可能需要购买高级订阅才能使用为远程访问VPN配置SAML所需的功能。

    按照身份提供者的指示进行操作。

    1. 从SmartConsole新建身份提供者窗口复制标识符(实体ID)回复URL字段的值,然后将其输入到身份提供者网站上的相关字段中。

    2. 确保配置身份提供者以电子邮件格式发送经过身份验证的用户名“alias@domain”。

      重要提示- 用户的首要电子邮件地址在本地LDAP目录和身份提供商的用户目录中必须相同。此电子邮件地址必须是唯一的。

    3. 可选:要接收定义用户的身份提供者的组,请配置身份提供者以将组名作为属性“group attr”。

    4. 在完成配置之前,请从身份提供者处获取此信息:

      • 实体ID - 唯一标识应用程序的URL。

      • 登录URL - 使用应用程序的URL。

      • 证书- 用于Quantum Spark网关和身份提供者之间的安全通信。

      说明- 一些身份提供者在元数据XML文件中提供此信息。

  4. 新建身份提供者窗口的从SAML身份提供者接收的数据部分中,选择以下选项之一:

    • 导入元数据文件

      单击从文件导入并从身份提供者中选择重要的元数据文件。

    • 手动插入

      1. 输入你从身份提供者复制的标识符(实体ID)登录URL

      2. 单击从文件导入并从身份提供者中选择证书文件。

        注意- SmartConsole中的身份提供者对象不支持导入RAW证书。

  1. 在左侧导航面板中,单击管理和设置

  2. 从左侧树中单击刀片

  3. 移动访问部分中,单击SmartDashboard中的配置

    打开旧版SmartDashboard。

  4. 在左下方窗格中,单击用户选项卡。

  5. 用户选项卡中,右键单击空白处并选择新建 > 外部用户配置文件 > 匹配所有用户

  6. 配置外部用户配置文件资产:

    1. 一般属性页上:

      • 外部用户配置文件名称字段中,确保默认名称为generic*

      • 到期日期字段中输入日期。

    2. 身份验证页面上,从身份验证方案下拉列表中选择未定义

    3. 位置时间加密页面上,配置相关设置。

    4. 单击“确定”。

  7. 从顶部工具栏中,单击菜单(左上角按钮)>文件>更新

  8. 关闭旧版SmartDashboard。

  9. 在SmartConsole中,安装访问控制策略。

  1. 在左侧导航面板中,单击网关和服务器

  2. 打开相关的Quantum Spark网关对象。

  3. 从左侧树中,展开VPN客户端> 单击身份验证

  4. 清除复选框允许较旧的客户端连接到此网关

  5. 多个身份验证客户端设置部分中,添加一个新对象(单击添加> 单击新建)或编辑现有对象(单击编辑)。

    远程访问客户端按照本节所示的顺序显示身份验证方法。

    有关多身份验证客户端的更多信息,请参阅R81.10 Remote Access VPN Administration Guide>“远程访问的用户和客户端身份验证”部分。

  6. 多个登录选项窗口中:

    1. 从左侧树中,单击登录选项

      • 常规资产部分中:

        • 名称字段中,输入数据库中对象的名称。

        • 显示名称字段中,输入在多重身份验证客户端设置表和安全网关门户中显示的名称。

      • 身份验证方法部分中:

        1. 身份验证因素部分中,选择身份提供者

        2. 单击“ + ”按钮>选择身份提供者对象。

        3. 单击“确定”。

      注意- 对于远程访问多入口点 (MEP),你必须在参与MEP的所有安全网关上配置相同的登录选项

      确保将所有身份提供者对象(每个安全网关一个)添加到专用的登录选项

    2. 在左侧树中,单击用户目录

      1. 选择手动配置

      2. 选择外部用户配置文件

    3. 单击“确定”。

  7. 在Quantum Spark网关对象中,单击确定

  8. 发布 SmartConsole 会话。

  9. 在管理数据库中配置所需的设置:

    1. 可选:作为最佳做法,安装访问控制策略。

      管理服务器创建修订快照。

      如果你在手动数据库配置中犯了错误或者想要删除远程访问VPN的SAML支持,可以恢复到此修订快照。

      参考:

    2. 关闭所有SmartConsole窗口。

      注意- 为确保没有活动会话,请运行“cpstat mg “安全管理服务器专家模式下的命令/在每个域管理服务器的上下文中。

    3. 连接Database Tool (GuiDBEdit Tool)到安全管理服务器/适用的域管理服务器。

    4. 在左上方窗格中,转到>网络对象> network_objects

    5. 在右上方窗格中,选择安全网关对象。

    6. CTRL + F 键(或转到“搜索”菜单 > 单击查找)> 粘贴realms_for_blades > 选择仅匹配整个字符串 > 单击查找下一个

    7. realms_for_blades下面,选择属性vpn并仅检查其内部属性。

    8. 目录属性 > fetch_options属性下,查找以下属性:

      • do_generic_fetch

      • do_internal_fetch

      • do_ldap_fetch

      • fetch_type

      如果这些属性没有出现,则右键单击属性fetch_options > 单击编辑> 不更改任何内容 > 单击确定不做任何更改)。

    9. 配置所需的设置:

      • 如果你使用本地Active Directory (LDAP):

        1. 在属性fetch_options下方 - 如果属性do_generic_fetch的当前值不是false ,则右键单击属性do_generic_fetch > 单击编辑> 选择值false > 单击确定

        2. 在属性目录下方 - 右键单击属性UserLoginAttr > 单击编辑> 选择值邮件> 单击确定

      • 如果你使用本地Active Directory (LDAP):

        1. 在属性fetch_options下方 - 如果属性do_internal_fetch的当前值不是false ,则右键单击属性do_internal_fetch > 单击编辑> 选择值false > 单击确定

        2. 在属性fetch_options下方 - 如果属性do_ldap_fetch的当前值不是false ,则右键单击属性do_ldap_fetch > 单击编辑> 选择值false > 单击确定

    10. 右键单击属性fetch_type > 单击编辑> 选择值fetch_options > 单击确定

    11. 对所有适用的安全网关再次执行步骤 (c)-(j)。

    12. 保存所有更改(单击文件菜单 > 单击全部保存)。

    13. 关闭数据库工具(GuiDBEdit工具)。

  10. 使用SmartConsole连接到安全管理服务器/相关域管理服务器。

  11. 将脚本下载到管理服务器。

    1. 下载this script到你的电脑。

    2. 确保安全网关安装了必要的Jumbo Hotfix Accumulator。参见要求

    3. 将脚本从你的电脑复制到管理服务器。

      注意- 如果通过SCP将文件复制到管理服务器,则连接的用户在Gaia OS中必须具有默认shell/bin/bash

    4. 连接到管理服务器上的命令行。

    5. 登录到专家模式。

    6. 在多域服务器上,转到主MDS上下文:

      mdsenv

      说明- 在多域服务器上,如果你不想在所有现有域中启用SAML,请记录每个域的UID。

      运行:

      mgmt_cli show domains

    7. 转到你上传脚本的目录。

      为脚本分配执行权限:

      chmod u+x allow_VPN_RA_for_R8040_and_above_gateways_V2.sh

      运行脚本(第一个参数必须是“1 "):

      /allow_VPN_RA_for_R8040_and_above_gateways_V2.sh 1

      说明- 如果管理API使用非默认TCP端口进行配置443 (参见“api status”命令),然后执行以下操作之一

      • 在脚本中添加端口号作为第二个参数:

        ./allow_VPN_RA_for_R8040_and_above_gateways.sh 1 <Apache Port Number>

      • 在该脚本中每个“mgmt_cli”命令的句法中添加“--port <Apache Port Number>”。

    8. 当脚本提示你输入用户名和密码时,请输入你的SmartConsole凭证。

    9. 当脚本提示你输入域UID时:

      • 要在多域服务器的某个域上启用SAML,请输入该域的UID(要查看UID,请运行“mgmt_cli show domains”)。

      • 在其他情况下,或者要在所有域中启用SAML,请将提示留空并按Enter

  12. 在SmartConsole中,在每个安全网关上安装访问控制策略。

  1. 为Windows或macOS安装远程访问VPN客户端。

    更多信息,参见sk172909

  2. 可选:配置身份提供者浏览器模式。

    默认情况下,Windows客户端使用其嵌入式浏览器,macOS客户端使用Safari浏览器在身份提供者的门户中证明其身份。

    配置Windows的远程访问VPN客户端以使用端点电脑的默认浏览器(例如:Chrome):

    注意- 从Windows版本E87.30的远程访问VPN客户端开始支持此配置。

    1. 以管理员身份登录Windows端点电脑。

    2. 在纯文本编辑器中编辑trac.defaults文件。

      • 在64位Windows上,文件位置为:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • 在32位Windows上,文件位置为:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

    3. 将“ idp_browser_mode ”属性的值从“ embedded ”更改为“ default_browser ”。

    4. 保存文件中的更改并关闭文本编辑器。

    5. 停止远程访问VPN客户端并重新启动。

      以管理员身份打开Windows命令提示符并运行以下命令:

      1. net stop TracSrvWrapper

      2. net start TracSrvWrapper

    配置macOS的远程访问VPN客户端以使用端点电脑的默认浏览器(例如:Chrome):

    注意 - 从macOS版本E87.30的远程访问VPN客户端开始支持此配置。

    1. 以管理员身份登录macOS端点电脑。

    2. 打开纯文本编辑器。

    3. 在纯文本编辑器中编辑trac.defaults文件:

      /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/Trac.defaults

    4. 将“ idp_browser_mode ”属性的值从“ embedded ”更改为“ default_browser ”。

    5. 保存文件中的更改并关闭文本编辑器。

    6. 停止远程访问VPN客户端并重新启动。

      打开终端并运行以下命令:

      1. sudo launchctl stop com.checkpoint.epc.service

      2. sudo launchctl start com.checkpoint.epc.service

    配置Windows的远程访问VPN客户端以使用Internet Explorer浏览器:

    1. 以管理员身份登录Windows端点电脑。

    2. 在纯文本编辑器中编辑trac.defaults文件。

      • 在64位Windows上,文件位置为:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • 在32位Windows上,文件位置为:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

    3. 将“ idp_browser_mode ”属性的值从“ embedded ”更改为“ IE ”。

    4. 保存文件中的更改并关闭文本编辑器。

    5. 停止远程访问VPN客户端并重新启动。

      以管理员身份打开Windows命令提示符并运行以下命令:

      1. net stop TracSrvWrapper

      2. net start TracSrvWrapper

    在远程访问VPN网关上的配置文件中配置Windows端点电脑的浏览器模式:

    从Windows版远程访问VPN客户端E88.41开始,你可以在远程访问VPN网关关闭 管理VPN域成员之间的流量加密和解密的网关,通常位于VPN隧道的一端(远程访问VPN)或两端(站点到站点VPN)。上的配置文件中配置端点电脑的浏览器模式。

    trac_client_1.ttm文件中的“idp_browser_mode”参数控制浏览器模式。更多信息,参见sk75221

授权适用于以下类型的群体:

  • 身份提供者组 - 身份提供者发送的组。

  • 内部组 - 从SmartConsole中配置的用户目录接收的组(内部用户组或LDAP组)。

要配置身份提供者组:

  1. 在身份提供者的界面中,配置SAML属性:

    1. 定义一个名为group_attr的可选属性。

    2. 根据身份提供者的要求配置属性。

  2. 在SmartConsole中,创建具有以下名称的内部用户组对象(区分大小写,不支持空格):

    EXT_ID_角色名称>

    例如,对于身份提供者接口中名为my_group的角色,在SmartConsole中创建一个名为EXT_ID_my_group的内部用户组对象。

    说明 - 在Microsoft Azure中,身份标签不支持远程访问连接。

身份提供者组和内部组(例如:LDAP)用于授权。

授权类型:远程访问VPN社区和访问角色

要应用远程访问VPN的授权,请将适用的组添加到远程访问VPN。

要应用访问角色的授权,请将适用的组添加到访问控制策略中的访问角色。