Tutorial: Integration des einmaligen Anmeldens (Single Sign-On, SSO) von Microsoft Entra mit Check Point Infinity Portal
In diesem Tutorial erfahren Sie, wie Sie Check Point Infinity Portal in Microsoft Entra ID integrieren. Wenn Sie Check Point Infinity Portal mit Microsoft Entra ID integrieren, können Sie Folgendes tun:
- Steuern Sie in Microsoft Entra ID, wer Zugriff auf Check Point Infinity Portal hat.
- Ermöglichen Sie es Ihren Benutzern, sich mit ihren Microsoft Entra-Konten automatisch bei Check Point Infinity Portal anzumelden.
- Verwalten Sie Ihre Konten an einem zentralen Ort.
Voraussetzungen
Für die ersten Schritte benötigen Sie Folgendes:
- Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
- Ein Check Point Infinity Portal-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist
Beschreibung des Szenarios
In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.
Check Point Infinity Portal unterstützt SP-initiiertes einmaliges Anmelden.
Check Point Infinity Portal unterstützt die Just-In-Time-Benutzerbereitstellung.
Hinweis
Der Bezeichner dieser Anwendung ist ein fester Zeichenfolgenwert, daher kann in einem Mandanten nur eine Instanz konfiguriert werden.
Hinzufügen von Check Point Infinity Portal aus dem Katalog
Zum Konfigurieren der Integration von Check Point Infinity Portal in Microsoft Entra ID müssen Sie Check Point Infinity Portal aus dem Katalog der Liste der verwalteten SaaS-Apps hinzufügen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
- Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Check Point Infinity Portal in das Suchfeld ein.
- Wählen Sie im Ergebnisbereich Check Point Infinity Portal aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.
Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für Check Point Infinity Portal
Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit Check Point Infinity Portal mithilfe eines Testbenutzers mit dem Namen B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Check Point Infinity Portal eingerichtet werden.
Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit Check Point Infinity Portal die folgenden Schritte aus:
- Konfigurieren des einmaligen Anmeldens von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
- Erstellen Sie einen Microsoft Entra-Testbenutzer, um Microsoft Entra-SSO mit dem Testbenutzer B. Simon zu testen.
- Zuweisen der Microsoft Entra-Testbenutzerin, um B.Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
- Konfigurieren des einmaligen Anmeldens für Check Point Infinity Portal , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
- Erstellen eines Check Point Infinity Portal-Testbenutzers, um eine Entsprechung von B. Simon in Check Point Infinity Portal zu erhalten, die mit ihrer Darstellung in Microsoft Entra verknüpft ist.
- Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert
Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra
Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Identity>Applications>Enterprise applications>Check Point Infinity Portal>Single Sign-On.
Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.
Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.
Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:
a. Geben Sie im Textfeld Bezeichner einen der folgenden Werte ein:
Environment Bezeichner EU/USA cloudinfra.checkpoint.com
AP ap.portal.checkpoint.com
b. Geben Sie im Textfeld Antwort-URL eine der folgenden URLs ein:
Environment Antwort-URL EU/USA https://portal.checkpoint.com/
AP https://ap.portal.checkpoint.com/
c. Geben Sie im Textfeld Anmelde-URL eine der folgenden URLs ein:
Environment Anmelde-URL EU/USA https://portal.checkpoint.com/
AP https://ap.portal.checkpoint.com/
Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.
Kopieren Sie im Abschnitt Check Point Infinity Portal einrichten die entsprechenden URLs gemäß Ihren Anforderungen.
Es gibt zwei Möglichkeiten für das Autorisieren von Benutzern:
Benutzerrollen für die Check Point Infinity Portal-Anwendung im Azure-Portal konfigurieren
Konfigurieren von Benutzerrollen für die Check Point Infinity Portal-Anwendung in Check Point Infinity Portal
Benutzerrollen für die Check Point Infinity Portal-Anwendung im Azure-Portal konfigurieren
In diesem Abschnitt erstellen Sie die Rollen Admin und Read-Only.
Wählen Sie im Azure-Portal im linken Bereich App-Registrierung > Alle Anwendungen und dann die Anwendung Check Point Infinity Portal aus.
Wählen Sie im linken Bereich App-Rollen aus, klicken Sie auf App-Rolle erstellen, und führen Sie die folgenden Schritte aus:
a. Geben Sie im Feld Anzeigename den Namen Administrator ein.
b. Wählen Sie unter Zulässige Membertypen die Option Benutzer/Gruppen aus.
c. Geben Sie Administrator in das Feld Wert ein.
d. Geben Sie Check Point Infinity Portal-Administratorrolle in das Feld Beschreibung ein.
e. Stellen Sie sicher, dass die Option Enable this app role (Diese App-Rolle aktivieren) ausgewählt ist.
f. Klicken Sie auf Anwenden.
g. Klicken Sie erneut auf App-Rolle erstellen.
h. Geben Sie Schreibgeschützt in das Feld Anzeigename ein.
i. Wählen Sie unter Zulässige Membertypen die Option Benutzer/Gruppen aus.
j. Geben Sie im Feld Wert den Wert readonly ein.
k. Geben Sie Check Point Infinity Portal-Administratorrolle in das Feld Beschreibung ein.
l. Stellen Sie sicher, dass die Option Enable this app role (Diese App-Rolle aktivieren) ausgewählt ist.
m. Klicken Sie auf Anwenden.
Konfigurieren von Benutzerrollen für die Check Point Infinity Portal-Anwendung in Check Point Infinity Portal
Diese Konfiguration wird nur auf die Gruppen angewendet, die der Check Point Infinity Portal-Anwendung in Microsoft Entra ID zugewiesen sind.
In diesem Abschnitt erstellen Sie mindestens eine Benutzergruppe, der die Rollen „Global“ und „Dienst“ für die relevanten Microsoft Entra-Gruppen zugewiesen sind.
- Kopieren Sie die ID der zugewiesenen Gruppe zur Verwendung mit der Check Point Infinity Portal-Benutzergruppe.
- Informationen zur Konfiguration von Benutzergruppen finden Sie im Administratorhandbuch zu Infinity Portal.
Erstellen einer Microsoft Entra-Testbenutzerin
In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
- Browsen Sie zu Identität>Benutzer>Alle Benutzer.
- Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
- Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
- Geben Sie im Feld Anzeigename den Namen
B.Simon
ein. - Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel:
B.Simon@contoso.com
. - Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
- Klicken Sie auf Überprüfen + erstellen.
- Geben Sie im Feld Anzeigename den Namen
- Klicken Sie auf Erstellen.
Zuweisen der Microsoft Entra-Testbenutzerin
In diesem Abschnitt aktivieren Sie B.Simon die Verwendung von Einmaliges Anmeldens, indem Sie ihm Zugang zum Check Point Infinity Portal gewähren.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Identity>Applications>Enterprise applications>Check Point Infinity Portal.
- Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
- Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
- Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
- Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
- Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.
Konfigurieren des einmaligen Anmeldens für Check Point Infinity Portal
Melden Sie sich bei der Check Point Infinity Portal-Unternehmenswebsite als Administrator an.
Navigieren Sie zu Global Settings>Account Settings (Globale Einstellungen > Kontoeinstellungen), und klicken Sie unter „SSO Authentication“ (SSO-Authentifizierung) auf Define (Definieren).
Wählen Sie auf der Seite SSO Authentication (SSO-Authentifizierung) unter IDENTITY PROVIDER (IDENTITÄTSANBIETER) die Option SAML 2.0 aus, und klicken Sie auf NEXT (WEITER).
Führen Sie im Abschnitt VERIFY DOMAIN (DOMÄNE ÜBERPRÜFEN) die folgenden Schritte aus:
a. Kopieren Sie die DNS-Eintragswerte, und fügen Sie sie den DNS-Werten auf dem DNS-Server Ihres Unternehmens hinzu.
b. Geben Sie im Feld Domäne den Domänennamen Ihres Unternehmens ein, und klicken Sie auf die Schaltfläche Verify (Überprüfen).
c. Warten Sie, bis Check Point die Aktualisierung des DNS-Eintrags genehmigt hat. Dies kann bis zu 30 Minuten dauern.
d. Klicken Sie auf NEXT (WEITER), sobald der Domänenname überprüft wurde.
Führen Sie im Abschnitt ALLOW CONNECTIVITY (KONNEKTIVITÄT ZULASSEN) die folgenden Schritte aus:
a. Kopieren Sie den Wert für Entitäts-ID, und fügen Sie diesen in das Textfeld Microsoft Entra-Bezeichner im Abschnitt Grundlegende SAML-Konfiguration ein.
b. Kopieren Sie den Wert Antwort-URL und fügen Sie diesen Wert in das Textfeld Antwort-URL im Abschnitt Basic SAML-Konfiguration ein.
c. Kopieren Sie den Wert Sign-on URL und fügen Sie diesen Wert in das Textfeld Sign-on URL im Abschnitt Basic SAML-Konfiguration ein.
d. Klicken Sie auf NEXT (Weiter).
Klicken Sie im Abschnitt KONFIGURIEREN und auf Datei auswählen laden Sie die heruntergeladene XML-Federation-Metadaten hoch, und klicken Sie auf WEITER.
Überprüfen Sie im Abschnitt CONFIRM IDENTITY PROVIDER (IDENTITÄTSANBIETER BESTÄTIGEN) die Konfigurationen, und klicken Sie dann auf SUBMIT (SENDEN).
Erstellen eines Check Point Infinity Portal-Testbenutzers
In diesem Abschnitt wird in Check Point Infinity Portal ein Benutzer namens Britta Simon erstellt. Check Point Infinity Portal unterstützt die Just-In-Time-Benutzerbereitstellung (standardmäßig aktiviert). Für Sie steht in diesem Abschnitt kein Aktionselement zur Verfügung. Ist ein Benutzer noch nicht in Check Point Infinity Portal vorhanden, wird nach der Authentifizierung ein neuer Benutzer erstellt.
Testen des einmaligen Anmeldens
In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.
Klicken Sie auf Anwendung testen, werden Sie zur Check Point Infinity Portal Sign-on URL weitergeleitet, wo Sie den Anmeldevorgang starten können.
Navigieren Sie direkt zur Anmelde-URL für Check Point Infinity Portal, und initiieren Sie dort den Anmeldeflow.
Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie unter „Meine Apps“ auf die Kachel „Check Point Infinity Portal“ klicken, werden Sie zur Anmelde-URL für Check Point Infinity Portal weitergeleitet. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.
Nächste Schritte
Nach dem Konfigurieren von Check Point Infinity Portal können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.