В данной статье рассматривается интеграция Индид с Check Point на примере Check Point R81.20 с использованием модуля Indeed Identity Provider. Для настройки интеграции с Check Point, Indeed Identity Provider(IDP) должен быть опубликован в сети интернет.

Предварительные требования

• Установленный и настроенный Indeed AM 8.2
• Установленный и настроенный Indeed Identity Provider
• Установленный и настроенный Check Point

Получение метаданных IDP

Чтобы настроить аутентификацию по SAML в Check Point, нам нужны метаданные IDP
Для получения метаданных используем утилиту SAML4.2.0-MetadataUtils-win-x64\ExportMetadata.exe
Скачать утилиту по ссылке ownCloud (indeed-company.ru) и распаковать архив на сервере с установленным Indeed AM IDP
Т.к. в Check Point Entity ID принимает только в виде URL, а в IDP значение по умолчанию “urn:indeedid:saml_idp”, то в конфигурационном файле C:\inetpub\wwwroot\am\idp\app-settings.json необходимо заменить значение по умолчанию на значение Identity Provider Login URL

Внимание!!! Если у Вас уже настроены интеграции по SAML с другими бизнес приложениями со значение по умолчанию в IDP, замена данного параметра приведет к ошибкам в этих интеграциях. В таком случае необходимо развернуть отдельный IDP для интеграции с Check Point.

До изменений

После изменений

Запускаем ExportMetadata.exe через powershell на сервере IDP и при запросе “SAML configuration file to export [appsettings.json]:” нужно указать файл app-settings.json, если скопировать в папку с утилитой, или полный путь до файла

Получаем metadata.xml - файл с метаданными IDP

Настройка Check Point

Создаем Identity Provider. В меню справа New-More-User/Identity-Identity Provider

В появившемся окне задаем название, в Gateway policy and logs выбираем Gateway и в зависимости от вашего сценария Service: Remote Access VPN или Mobile Access. В Data required by the SAML Identity Provider автоматически создаются url которые необходимо будет указать при настройки IDP. В Data required from the SAML Identity Provider, нажимаем на Import From File и выбираем ранее созданный файл с метаданными  metadata.xml. После нажимаем OK

Настраиваем аутентификацию по протоколу SAML, в Check Point Gateway раскрываем VPN Clients переходим во вкладку Authentication в нем убираем галочку “Allow older clients to connect to this gateway” и в “Multiple Authentication Clients Settings” нажимаем Add-New

В появившемся окне прописываем Name(как будет отображаться в предыдущем окне), Display Name(как будет отображаться при подключениях) и в Authentication Methods нажимаем Add

В появившемся окне выбираем Identity Provider и созданное ранее подключение

Во вкладке User Directories, нужно выбрать Manual configuration в данном меню выбрать LDAP users и в Specific указать ваш домен. В Common lookup type выбрать Email Address (mail)

Для аутентификации по RADIUS для блейда Mobile Access необходимо воспроизвести аналогичные настройки в Check Point Gateway во вкладке Mobile Access - Authentication

В меню слева SmartConsole переходим в раздел SECURITY POLICIES и настраиваем необходимые политики. После в левом верхнем углу SmartConsole нажимаем на Install Policy и в появившемся окне Install, тем самым применяя все настройки и политики

Настройте необходимые параметры в базе данных управления. Закройте SmartConsole. Подключитесь с помощью инструмента GuiDBEdit к серверу управления (см. sk13009 ). В левой верхней панели выберите Network Objects-network_objects. В верхней правой панели выберите gateway

В нижней панели с помощью поиска CTRL+F находим realms_for_blades

Чуть ниже для vpn находим fetch_options. Нажимаем правой кнопкой мыши по fetch_options и выбираем Edit. Далее появятся дополнительные параметры. Необходимо изменить do_ldap_fetch на true и в верхнем левом углу нажать сохранить

Настройка Indeed Identity Provider

Настраиваем конфигурационный файл IDP C:\inetpub\wwwroot\am\idp\app-settings.json. В секции SAML добавляем настройки

Где Name это url Identifier(Entity ID), а AssertionConsumerServiceUrl это Reply URL из меню Data required by the SAML Identity Provider

В секции LoginFormats добавляем

Сохраняем конфигурационный файл и перезапускаем IDP

Проверим аутентификацию доменного пользователя

Для аутентификации по SAML, необходимо выбрать способ имя которого указывали в Display Name

Также по умолчанию используется браузер Internet Explorer. В данном браузере не корректно работает IDP. Поэтому необходимо сменить браузер на дефолтный в системе
В 32-битной версии Windows:
%ProgramFiles%\CheckPoint\Endpoint Connect\trac.defaults
В 64-битной версии Windows:
%ProgramFiles(x86)%\CheckPoint\Endpoint Connect\trac.defaults
Измените “idp_browser_mode” значение атрибута с “embedded” на “default_browser”.
Сохраните файл. И откройте командную строку от имени администратор. Выполните команды
net stop TracSrvWrapper
net start TracSrvWrapper
При запуске клиентского приложения, открывается браузер со страницей SAML портала, которая редиректит на страницу IDP

Настройка аутентификации в SmartConsole

Создаем Identity Provider. Задаем название, в Use identity Provider for выбираем Managing administrator access, в Data required by the SAML Identity Provider автоматически создаются url которые необходимо будет указать при настройки IDP. В Data required from the SAML Identity Provider, нажимаем на Import From File и выбираем ранее созданный файл с метаданными  metadata.xml. После нажимаем OK

Переходим в MANAGE&SETTINGS, раскрываем Permissions&Administrators и переходим во вкладку Administrators. Сверху нажимаем на звездочку и выбираем New Identity Provider Administrator Group

Задаем название, в GroupID/Name задаем значение передаваемое IDP в атрибуте groups, в Permission Profile задаем права группе

Во вкладке Advanced, в Identity Provider for Managing Administrator Access выбираем созданный ранее провайдер

После в левом верхнем углу SmartConsole нажимаем на Install Policy и в появившемся окне Install, тем самым применяя все настройки и политики

Настройка Indeed Identity Provider для входа в  SmartConsole

Настраиваем конфигурационный файл IDP C:\inetpub\wwwroot\am\idp\app-settings.json. В секции SAML добавляем настройки

В секции LoginFormats добавляем

Т.к. в версии 8.2 мы не можем передавать атрибут с группами из Active Directory(AD), поэтому мы изменим мапинг на сервере AM Core атрибута MiddleName на неиспользуемый в AD, в данном примере groupPriority

<adObjectMapRule attribute="MiddleName" adAttribute="groupPriority" /> и в этом атрибуте укажем “CheckPoint-SC-Admins”

В секции CustomAttributes добавляем передаваемые атрибуты

Проверим аутентификацию в SmartConsole

Запускаем SmartConsole, выбираем способ Identity Provider и нажимаем LOGIN WITH SSO

Открывается браузер в котором происходит редирект на страницу IDPОткрывается браузер в котором происходит редирект на страницу IDP

После успешной аутентификации, в браузере появится окно с предложением открыть приложение SmartConsole