設定 SAML 身分識別供應商

從 R81.10.15 開始,可將 Microsoft Entra ID(舊 Azure AD)設為 SAML 身分供應商 (IdP),用於驗證 Quantum Spark 閘道器上遠端存取 VPN 的使用者。

需求

產品

需求

管理服務器

R81.20

SmartConsole關閉 Check Point GUI應用程式用於管理Check Point環境--設定安全性原則、設定裝置、監控產品和事件、安裝更新等。

R81.20

Quantum Spark 閘道器

R81.10.15

端點資安客戶端

  • Windows 版端點資安客戶端:E84.70 建置 986102705 以上版本

  • macOS 版端點資安客戶端:版本 E85.30 以上版本

產品

需求

管理服務器

R81.10 且R81.10 Jumbo Hotfix Accumulator,Take 9 以上

SmartConsole

R81.10 SmartConsole Releases:建置 400 以上

Quantum Spark 閘道器

R81.10.15

端點資安客戶端

  • Windows 版端點資安客戶端:E84.70 建置 986102705 以上版本

  • macOS 版端點資安客戶端:版本 E85.30 以上版本

使用場景

遠端使用者用 Microsoft Entra ID 驗證資訊存取 Quantum Spark 閘道器後的資源。

這比僅讓 Quantum Spark 閘道器使用特定驗證資訊簡單。

管理員可在 Microsoft Entra ID 入口網站中管理使用者群組關閉 指定有相關職責的使用者群組。,強制執行單一登入 (SSO) 和雙重認證 (2FA) 等驗證方法。

工作流程

  1. 遠端使用者嘗試使用遠端存取 VPN 存取位於 Quantum Spark 閘道器後的內部資源。

  2. Quantum Spark 閘道器的 SAML 入口網站將使用者重新導向至 IdP(Microsoft Entra ID)來驗證。

  3. IdP 會根據 IdP 入口網站中設定的原則向使用者索取驗證資訊。

    例如可設定單一登入 (SSO)來辨識使用者是否已登錄,或要求雙重認證 (2FA)。

  4. IdP 驗證身份,並向使用者的 Web 瀏覽器發送 SAML 判斷。

  5. 使用者的 Web 瀏覽器將 SAML 判斷傳送到 Quantum Spark 閘道器。

  6. Quantum Spark 閘道器驗證 SAML 判斷,允許遠端使用者存取內部資源。

已知限制

  • 僅支援一個 IdP 設定。

    例如,如果組織有兩個 Microsoft Entra ID 帳號,則只能用其中一個作為 SAML 身份驗證供應商

  • 本功能僅支援互聯網安全協定 VPN用戶端。

  • 所有遠端存取 VPN 使用者和端點電腦都須在身分識別提供者中設定來驗證身份。

    這適用於受控端點電腦和非受控端點電腦。

  • SAML 身份驗證流程中,身分提供者在一個以上的驗證活動後發行 SAML 票證。

  • SAML 驗證無法在同一個登入選項中設定多個驗證因素。

    支援機器憑證驗證選項。

    若要使用多重驗證,請設定外部身分提供者,以便執行多個驗證步驟。

    驗證活動的複雜度和數量取決於身分提供者的設定。

  • Windows 和 macOS 端點電腦或裝置(受控和非受控)都須安裝 Check PointRemote Access VPN 用戶端。

  • 在安全規則庫關閉 在指定安全原則中設定的所有規則。同義詞:規則庫。中,只能在 VPN 終端強制執行接收自遠端存取 SAML 驗證的身分。

  • 不支援從 CLI 連線到含身分提供者的網域。

  • 不支援 ATM 遠端存取 VPN 用戶端。

  • 不支援使用身分提供者的安全網域登入 (SDL)。

  • 遠端存取 VPN 連線不支援身分標籤。

配置

  1. 用 SmartConsole 連線到 Security Management Server關閉 執行Check Point軟體的專用Check Point伺服器,可在單一管理網域內的Check Point環境中管理物件和原則。同義詞:單域Security Management Server。/相關網域管理伺服器關閉 Check Point Security Management Server或多網域Security Management Server。

  2. 在左側瀏覽面板中,按一下閘道器和伺服器

  3. 開啟相關Quantum Spark閘道器的物件。

  4. 一般屬性>網路安全性標籤中,選擇IPsecVPNSoftware Blade。

  5. 從左側樹狀選單中勾選互聯網安全協定 VPN。

  6. 「這個安全閘道器參與下面的 VPN 社群」部分中,按一下「新增」

    開啟將這個閘道器新增至社區視窗。

  7. 選擇遠端存取 VPN 社群關閉 VPN網域的命名集合,每個網域都受到VPN閘道的保護。

  8. 點擊確定.

  9. 展開左側樹狀選單的VPN 用戶端> 按一下遠端存取> 選擇支援訪客模式

  10. 從左側樹狀選單中,按一下VPN 用戶端> 按一下辦公室模式> 選擇允許辦公室模式> 選擇辦公室模式方法。

  11. 點擊確定.

    Quantum Spark 閘道器物件關閉。

  12. 開啟 Quantum Spark 閘道器物件。

  13. 在左側樹狀選單中,按一下VPN 用戶端> SAML 入口網站設定

    1. 確認主網址欄位包含 Quantum Spark 閘道器的完整合格網域名稱 (FQDN)。

    2. 務必使網域以組織註冊的 DNS 為結尾。

      範例:

      https://MyGateway1.mycompany.com/saml-vpn

    3. 「輔助功能」部分中,選擇相關設定。

  14. 點擊確定.

重要提示:對參與遠端存取 VPN 的每個 Quantum Spark 閘道器執行這個步驟

  1. 在 SmartConsole 中,從右側導航面板按一下新建>更多>使用者/身分>身分提供者

    開啟「新身分提供者」視窗。

  2. 新身份提供者視窗中,設定:

    1. 在最上面輸入名稱和附註。

    2. 閘道器欄位中,選擇 Quantum Spark 閘道進行 SAML 驗證。

    3. 服務欄位中,選擇遠端存取 VPN

    SmartConsole 會自動填入下面的欄位:

  3. 在身分識別提供者的網站上設定 SAML 應用程式。

    重要提示:在身分提供者的網站上設定 SAML 應用程式時,請勿關閉 SmartConsole 中的「新身分提供者」視窗。

    注意事項:根據身分提供者,可能需訂購進階服務才能使用遠端存取 VPN 設定 SAML 所需的功能。

    請依照身分提供者的指示進行操作。

    1. 從 SmartConsole新身分提供者視窗複製識別碼(實體 ID)回覆網址的值,輸入到身分提供者網站上的相關欄位。

    2. 務必設定身分提供者發送的驗證使用者名稱之電子郵件格式為「alias@domain 」。

      重要提示:使用者的主要電子信箱在本機 LDAP 目錄和身分識別提供者的使用者目錄中必須相同。電子信箱必須唯一。

    3. 可選:若要接收定義使用者的身分提供者的群組關閉 有共用屬性的物件集合,例如使用者帳戶。,請設定身分提供者,將群組名稱設為屬性「group attr 」。

    4. 在完成設定之前,請從身分提供者取得這項資訊:

      • 實體 ID:唯一標識應用程式的網址。

      • 登入網址:使用應用程式的網址。

      • 憑證:Quantum Spark 閘道器和身分提供者間的安全通訊。

      注意事項:有些身分提供者會在中繼資料 XML 檔案中提供這項資訊。

  4. 「新增身分提供者」視窗的「從 SAML 身分提供者接收的資料」部分中選擇:

    • 匯入中繼資料檔

      按一下「從檔案匯入」,從身分提供者中選擇中繼資料檔。

    • 手動插入

      1. 輸入從身分提供者複製的識別碼(實體 ID)登入網址

      2. 按一下從檔案匯入,從身分提供者中選擇憑證檔案。

        注意事項:SmartConsole 中的身分提供者物件不支援匯入 RAW 憑證。

  1. 在左邊的導覽面板中,按一下管理和設定

  2. 從左側樹狀選單中按一下Blades

  3. 行動存取部分中,按一下SmartDashboard 中的設定

    開啟舊版 SmartDashboard。

  4. 在左下方面板中,按一下「使用者」標籤。

  5. 「使用者」標籤中,右鍵按一下空白處,選擇「新增」 > 「外部使用者設定檔」 > 「符合所有使用者」

  6. 設定外部使用者設定檔屬性:

    1. 在「 常規屬性 」頁上:

      • 外部使用者設定檔名稱欄位的預設名稱務必為generic*

      • 到期日欄位中輸入日期。

    2. 「身份驗證」頁面上,從「身份驗證方案」下拉清單中選擇「未定義」

    3. 設妥位置時間加密頁面的設定。

    4. 點擊確定.

  7. 從最上面工具列中,按一下選單(左上角按鈕)>檔案>更新

  8. 關閉舊版 SmartDashboard。

  9. 在 SmartConsole 中,安裝存取控制原則。

  1. 在左側瀏覽面板中,按一下閘道器和伺服器

  2. 開啟相關的 Quantum Spark 閘道器物件。

  3. 從左側樹狀選單中,展開VPN 用戶端> 按一下身份驗證

  4. 取消勾選允許舊版客戶端連到這個閘道器

  5. 「多個驗證用戶端設定」部分中,新增一個物件(按一下新增> 按一下新增)或編輯現有物件(按一下編輯)。

    遠端存取用戶端依照本節順序顯示身份驗證方法。

    更多多重身份驗證客戶端相關資訊請參閱R81.10 Remote Access VPN Administration Guide>「遠端存取的使用者和用戶端身份驗證」部分。

  6. 「多個登入選項」視窗中:

    1. 按一下左側樹狀選單中的「登入選項」

      • 一般屬性部分中:

        • 名稱欄位中,輸入資料庫中物件名稱。

        • 顯示名稱欄位中,輸入在多重驗證用戶端設定表和安全閘道器入口網站中顯示的名稱。

      • 身份驗證方法部分中:

        1. 身分驗證因素部分中,選擇身分提供者

        2. 按一下「 + 」按鈕>選擇身分提供者物件。

        3. 點擊確定.

      注意事項:對於遠端存取多重項目點 (MEP),須在參與 MEP 的所有安全閘道器上設定相同的登入選項

      務必將所有身分提供者物件(每個安全閘道器一個)新增到專用的登入選項

    2. 按一下左側樹狀選單中的「使用者目錄」

      1. 選擇手動設定

      2. 選擇外部使用者設定檔

    3. 點擊確定.

  7. 在 Quantum Spark 閘道器物件中,按一下「確定」

  8. 發佈SmartConsole工作階段.

  9. 設妥管理資料庫中的設定:

    1. 可選:作為最佳實踐,請安裝存取控制原則。

      管理伺服器會建立修訂快照。

      如果手動資料庫設定失誤或想刪除遠端存取 VPN 的 SAML 支援,可用修訂快照還原。

      請參閱:

    2. 關閉所有SmartConsole 視窗。

      注意事項:為杜絕所有活動會話,請執行「cpstat mg 「Security Management Server 專家模式下的命令/在每則網域管理伺服器的內容中。

    3. 連到Database Tool (GuiDBEdit Tool)Security Management Server/適用的網域管理伺服器。

    4. 在左上方面板中,前往表格>網路物件> network_objects

    5. 在右上方面板中,選擇安全性閘道器物件。

    6. 按下CTRL + F鍵(或前往「搜尋」功能表 > 按一下「尋找」)> 貼上realms_for_blades > 選擇「僅符合整個字串」 > 按一下「尋找下一個」

    7. realms_for_blades下面,選擇屬性vpn,並僅檢查內部屬性。

    8. 目錄屬性 > fetch_options屬性下,尋找:

      • do_generic_fetch

      • do_internal_fetch

      • do_ldap_fetch

      • fetch_type

      如果這些屬性沒有出現,則右鍵按一下屬性fetch_options > 按一下編輯> 不變更任何內容 > 按一下確定不做任何變更)。

    9. 設妥設定:

      • 如果使用本機 Active Directory (LDAP):

        1. 在屬性fetch_options下方:如果目前do_generic_fetch屬性的值不是false ,則用滑鼠右鍵按一下do_generic_fetch屬性 > 按一下編輯> 選擇false> 按一下確定

        2. 目錄屬性下方:右鍵按一下UserLoginAttr屬性 > 按一下編輯> 選擇郵件> 按一下確定

      • 如果使用本機 Active Directory (LDAP):

        1. fetch_options屬性下:如果目前do_internal_fetch屬性的值不是false,則右鍵按一下do_internal_fetch屬性> 按一下編輯> 選擇false > 按一下確定

        2. fetch_options屬性下方:如果目前do_ldap_fetch屬性的值不是false ,則用滑鼠右鍵按一下do_ldap_fetch屬性 > 按一下編輯> 選擇false > 按一下確定

    10. 右鍵按一下fetch_type 屬性> 按一下編輯> 選擇fetch_options > 按一下確定

    11. 在所有適用的安全閘道器重複 (c)-(j) 的步驟。

    12. 儲存所有變更(按一下檔案選單 > 按一下全部儲存)。

    13. 關閉資料庫工具(GuiDBEdit 工具)。

  10. 用 SmartConsole 連線到 Security Management Server/相關網域管理伺服器。

  11. 將腳本下載到管理伺服器。

    1. 下載this script到電腦上。

    2. 務必在安全閘道器上安裝必要的 Jumbo Hotfix Accumulator。查看需求.

    3. 將腳本從電腦複製到管理伺服器。

      注意事項:如果以 SCP 將檔案複製到管理伺服器,則連線的使用者必須在/bin/bash Gaia 作業系統中有預設殼層。

    4. 連到管理伺服器上的命令列。

    5. 登錄到專家模式。

    6. 在多網域伺服器上,前往主要 MDS 內容:

      mdsenv

      注意事項:在多網域伺服器上,如果不想在所有現有網域中啟用 SAML,請記錄每個網域的 UID。

      執行:

      mgmt_cli show domains

    7. 前往上傳指令碼的目錄。

      為指令碼分配執行權限:

      chmod u+x allow_VPN_RA_for_R8040_and_above_gateways_V2.sh

      執行指令碼(第一個參數須為「1」):

      /allow_VPN_RA_for_R8040_and_above_gateways_V2.sh 1

      注意事項:如果管理應用程式開發介面設定使用非預設 TCP 連接埠443 (參閱「api status」指令),然後執行下列其中一項操作:

      • 在指令碼中新增連接埠號碼作為第二個參數:

        ./allow_VPN_RA_for_R8040_and_above_gateways.sh 1 <Apache Port Number>

      • 在每個mgmt_cli「」語法中新增「--port <Apache Port Number>」指令碼。

    8. 當指令碼提示輸入使用者名稱和密碼時,請輸入 SmartConsole 驗證資訊。

    9. 當指令碼提示輸入網域 UID 時:

      • 若要在多網域伺服器的某個網域上啟用 SAML,請輸入該網域的 UID(要檢視 UID,請執行「mgmt_cli show domains」)。

      • 其他情況或要在所有網域中啟用 SAML,請保留提示空白,然後按Enter

  12. 在 SmartConsole 中,在每個安全閘道器上安裝存取控制原則。

  1. 為 Windows 或 macOS 安裝遠端存取 VPN 用戶端。

    有關詳細資訊,請參見 sk172909

  2. 可選:設定身分提供者瀏覽器模式。

    預設 Windows 用戶端使用嵌入式瀏覽器,macOS 用戶端使用 Safari 瀏覽器,在身分提供者的入口網站中證明身分。

    設定 Windows 的遠端存取 VPN 用戶端,使用端點電腦的預設瀏覽器(例如Chrome):

    注意事項:從 Windows 版本 E87.30 的遠端存取 VPN 用戶端開始支援這項設定。

    1. 以管理員身分登入 Windows 端點電腦。

    2. 編輯trac.defaults,在純文字編輯器中開啟檔案。

      • 在 64 位元 Windows 上,檔案位於:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • 在 32 位元 Windows 上,檔案位於:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

    3. 將「idp_browser_mode」屬性的值從「embedded」變更為「default_browser」。

    4. 儲存檔案變更,關閉文字編輯器。

    5. 停止遠端存取 VPN 用戶端,重新啟動。

      以管理員身份開啟 Windows 指令碼提示字元,並執行下面的指令碼:

      1. net stop TracSrvWrapper

      2. net start TracSrvWrapper

    設定 macOS 的遠端存取 VPN 用戶端,用端點電腦的預設瀏覽器(例如Chrome):

    注意事項:從 macOS 版本 E87.30 的遠端存取 VPN 用戶端開始支援這項設定。

    1. 以管理員身分登入 macOS 端點電腦。

    2. 開啟純文字編輯器。

    3. 編輯trac.defaults,在純文字編輯器中編輯檔案:

      /Library/Application Support/Checkpoint/Endpoint Security/Endpoint Connect/Trac.defaults

    4. 將「idp_browser_mode」屬性的值從「embedded」變更為「default_browser」。

    5. 儲存檔案變更,關閉文字編輯器。

    6. 停止遠端存取 VPN 用戶端,重新啟動。

      打開終端機,執行下面的指令碼:

      1. sudo launchctl stop com.checkpoint.epc.service

      2. sudo launchctl start com.checkpoint.epc.service

    設定 Windows 的遠端存取 VPN 用戶端,使用 Internet Explorer 瀏覽器:

    1. 以管理員身分登入 Windows 端點電腦。

    2. 編輯trac.defaults,在純文字編輯器中開啟檔案。

      • 在 64 位元 Windows 上,檔案位於:

        %ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults

      • 在 32 位元 Windows 上,檔案位於:

        %ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults

    3. 將「idp_browser_mode」屬性的值從「embedded」變更為「IE」。

    4. 儲存檔案變更,關閉文字編輯器。

    5. 停止遠端存取 VPN 用戶端,重新啟動。

      以管理員身份開啟 Windows 指令碼提示字元,執行指令碼:

      1. net stop TracSrvWrapper

      2. net start TracSrvWrapper

    在遠端存取 VPN 閘道器上的設定檔中設定 Windows 端點電腦的瀏覽器模式:

    從 Windows 版遠端存取 VPN 用戶端 E88.41 開始,可在遠端存取 VPN 閘道關閉 管理VPN網域成員之間流量的加密和解密的閘道,通常位於VPN通道的一端(遠端存取VPN)或兩端(站到站VPN)。器上的設定檔中設定端點電腦的瀏覽器模式。

    trac_client_1.ttm 檔案中的「idp_browser_mode」參數控制瀏覽器模式。有關詳細資訊,請參見 sk75221

授權給這些種類的群組:

  • 身分提供者群組:身分提供者發送的群組。

  • 內部群組:從 SmartConsole 中設定的使用者目錄接收的群組(內部使用者群組或 LDAP 群組)。

若要設定身分提供者群組:

  1. 在身分識別提供者的介面中,設定 SAML 屬性:

    1. 定義名為group_attr的額外屬性。

    2. 根據身分提供者的需求設定屬性。

  2. 在 SmartConsole 中,建立有以下名稱的內部使用者群組物件(區分大小寫,不支援空格):

    EXT_ID_<Name_of_Role>

    例如,在身分提供者介面中名為my_group的角色,在 SmartConsole 中建立一個名為EXT_ID_my_group 的內部使用者群組物件。

    注意事項:在 Microsoft Azure 中,身分標籤不支援遠端存取連線。

授權用的身分提供者群組和內部群組(例如LDAP)。

授權類型:遠端存取 VPN 社群和存取角色

若要套用遠端存取 VPN 的授權,請將相關群組新增至遠端存取 VPN 應用程式。

若要套用存取角色授權,請將該群組新增至存取控制原則中的存取角色。