Lista de clientes que suportam Opções de Múltiplo Login em gateways Mobile Access R80.10 ou superior:
Portal Mobile Access
Capsule VPN
Capsule Workspace - versão iOS 1002.2 ou superior
Capsule Workspace para Android - versão 7.1 ou superior
Remote Access VPN Blade do Endpoint Security Suite (Windows) - versão E80.65 ou superior
Endpoint Security VPN (Windows) - versão E80.65 ou superior
Check Point Mobile for Windows - versão E80.65 ou superior
SecuRemote (Windows) - versão E80.65 ou superior
Observações:
Todos os outros clientes suportam somente a opção de autenticação única.
Autenticação Dynamic ID também é suportada nos clientes Windows E80.65 e R80.10.
Para mais informações, consulte o SK11583.
Combinações de Esquemas de Autenticação Suportadas
As combinações a seguir de esquemas de autenticação são suportadas pelos diferentes clientes Mobile Access / Remote Access.
Combinações de esquemas de Autenticação que estão omitidas na tabela não são suportadas pelos clientes.
Observação: A versão R80.40 adiciona uma nova possibilidade de autenticação VPN ao Security Gateway. Autenticação com um certificado de máquina a partir do Endpoint Security Client E80.71 está disponível para os gateways. Verifique Remote Access VPN R80.40 Administration Guide.

A tabela completa, assim com informações de configuração, resolução de problemas e soluções relacionadas podem ser encontradas no SK86240.
Como Configurar
Habilitando o MFA:
As seguintes blades devem estar habilitadas:

Após ativar as funcionalidades devemos escolher o gateway para ativar o MFA:

Adicione as autenticações que você precisa para o Gateway:

Lembrando que o DynamicID não pode ser selecionado como primeira opção.
Selecione a segunda opção de autenticação:

As configurações do MFA estão prontas.
Parâmetros para configuração por SMS/Email:



Detalhes dos parâmetros:
Para o DynamicID ser enviado por SMS somente, use a seguinte sintaxe:
https://api.example.com/http/sendmsg?api_id=$APIID&user=$USERNAME&password=$PASSWORD&to=$PHONE&text=$MESSAGE
Para o DynamicID ser enviado por email somente, sem SMS, use as seguintes sintaxes:
Para o protocolo SMTP:
mail:TO=$EMAIL;SMTPSERVER=smtp.example.com;FROM=sslvpn@example.com;BODY=$RAWMESSAGE
Para o protocolo SMTPS na porta 465:
mail:TO=$EMAIL;SMTPSERVER=smtps://username:password@smtp.example.com;FROM=sslvpn@example.com;BODY=$RAWMESSAGE
Para o protocolo SMTP com START_TLS:
mail:TO=$EMAIL;SSL_REQUIRED;SMTPSERVER=smtp://username:password@smtp.example.com;FROM=sslvpn@example.com;BODY=$RAWMESSAGE
Para o protocolo SMTP na porta 587 com START_TLS:
mail:TO=$EMAIL;SSL_REQUIRED;SMTPSERVER=smtp://username:password@smtp.example.com:587;FROM=sslvpn@example.com;BODY=$RAWMESSAGE
Para permitir o DynamicID ser enviado por SMS ou Email, use a seguinte sintaxe:
sms:https://api.example.com/sendsms.php?username=$USERNAME&password=$PASSWORD&phone=$PHONE&smstext=$MESSAGE mail:TO=$EMAIL;SMTPSERVER=smtp.example.com;FROM=sslvpn@example.com;BODY=$RAWMESSAGE
Observação: Se os caracteres do SMTP do usuário ou senha possui caracteres especiais, use o seguinte padrão:

Entre os detalhes da conta do provedor de SMS:
Username
Password
API ID (opcional)
Para mais opções de configurações clique em Advanced.
Clique OK.
Configurando o telefone ou Email no LDAP
Se os usuários usam a autenticação por LDAP, configure a lista de telefones no LDAP definindo o número de telefone ou e-mail para cada usuário. Por padrão, usamos o campo Mobile no aba Telefones. Se um e-mail está configurado neste campo, será enviado um e-mail e não um SMS.
Caso de Uso
2FA com certificados em gateways R80.X
Você pode configurar duplo fator de autenticação com certificado para esta opção:
Criar uma nova opção de login com um certificado pessoal como primeiro fator e escolher uma segunda opção de autenticação com usuário e senha, DynamicID (SMS, E-mail);
Para criar uma nova opção de Múltiplo Fator de Autenticação com certificado:
Abra o objeto do Gateway.
Selecione VPN Client > Authentication.
Na aba Multiple Authentication Clients Settings, clique Add para criar uma nova opção.
Clique New.
Na janela Multiple Login Options, entre o Nome da nova opção de login e o Display Name.
Em Authentication Methods, clique Add para adicionar o primeiro fator.
Na janela de Authentication Factor, selecione Personal Certificate. Note que o certificado precisa ser o primeiro fator de autenticação.
Configure as opções de autenticação.
Clique OK.
Em Authentication Methods, clique Add para adicionar o segundo fator.
Na janela de Authentication Factor, selecione RADIUS, SecurID, DynamicID ou Username and Password.
Configure as opções de autenticação se necessário.
Clique OK.
Clique OK.
Instale a política.














Comments