产品文档
Citrix Endpoint Management
查看 PDF

使用 SAML 实现 Citrix Files 的单点登录

December 21, 2024
投稿者: 
C

您可以将 Citrix Endpoint Management 和 ShareFile 配置为使用安全断言标记语言 (SAML) 来提供对 Citrix Files 移动应用程序的单点登录 (SSO) 访问。 此功能包括:

  • 已启用 MAM SDK 或使用 MDX Toolkit 打包的 Citrix Files 应用程序

  • 未封装的 Citrix Files 客户端,例如网站、Outlook 插件或同步客户端

  • 对于包装的 Citrix Files 应用程序: 登录 Citrix Files 的用户将被重定向到 Citrix Secure Hub 进行用户身份验证并获取 SAML 令牌。 身份验证成功后,Citrix Files 移动应用程序会将 SAML 令牌发送到 ShareFile。 首次登录后,用户可以通过 SSO 访问 Citrix Files 移动应用程序。 他们还可以将 ShareFile 中的文档附加到 Citrix Secure Mail 邮件中,而无需每次都登录。
  • 对于未包装的 Citrix Files 客户端: 使用 Web 浏览器或其他 Citrix Files 客户端登录 Citrix Files 的用户将被重定向到 Citrix Endpoint Management。 Citrix Endpoint Management 对用户进行身份验证,然后用户获取发送到 ShareFile 的 SAML 令牌。 首次登录后,用户可以通过 SSO 访问 Citrix Files 客户端,而无需每次都登录。

要将 Citrix Endpoint Management 用作 ShareFile 的 SAML 身份提供程序 (IdP),必须将 Citrix Endpoint Management 配置为与企业帐户一起使用,如本文所述。 或者,您可以将 Citrix Endpoint Management 配置为仅与存储区域连接器一起使用。 有关更多信息,请参阅 ShareFile 与 Citrix Endpoint Management 结合使用

有关详细的参考架构图,请参阅 架构

先决条件

完成以下先决条件后,才能使用 Citrix Endpoint Management 和 Citrix Files 应用程序配置 SSO:

  • MAM SDK 或 MDX Toolkit 的兼容版本(用于 Citrix Files 移动应用程序)。

    有关更多信息,请参阅 Citrix Endpoint Management 兼容性

  • Citrix Files 移动应用程序和 Citrix Secure Hub 的兼容版本。
  • ShareFile 管理员帐户。
  • 已验证 Citrix Endpoint Management 与 ShareFile 之间的连接。

配置 ShareFile 访问权限

在为 ShareFile 设置 SAML 之前,请提供以下 ShareFile 访问信息:

  1. 在 Citrix Endpoint Management Web 控制台中,单击 配置 > ShareFile。 出现 ShareFile 配置页面。

    ShareFile 配置设置

  2. 配置以下设置:

    • 域名: 输入您的 ShareFile 子域名。 例如: example.sharefile.com
    • 分配给交付组: 选择或搜索您希望能够使用 ShareFile 进行 SSO 的交付组。
    • ShareFile 管理员账户登录
    • 用户名: 输入 ShareFile 管理员用户名。 此用户必须具有管理员权限。
    • 密码: 输入 ShareFile 管理员密码。
    • 用户帐户配置: 保持此设置禁用。 使用 ShareFile 用户管理工具进行用户配置。 参见 配置用户帐户和分发组

  3. 单击 测试连接 以验证 ShareFile 管理员帐户的用户名和密码是否与指定的 ShareFile 帐户进行身份验证。

  4. 点击 保存

    • Citrix Endpoint Management 与 ShareFile 同步并更新 ShareFile 设置 ShareFile 发行者/实体 ID登录 URL

    • 配置 > ShareFile 页面显示 应用程序内部名称。 您需要该名称来完成后面 修改 Citrix Files.com SSO 设置中描述的步骤。

为包装的 Citrix Files MDX 应用程序设置 SAML

您无需使用 NetScaler Gateway 来对使用 MAM SDK 准备的 Citrix Files 应用程序进行单点登录配置。 要配置非包装的 Citrix Files 客户端(例如网站、Outlook 插件或同步客户端)的访问权限,请参阅 为其他 Citrix Files 客户端配置 NetScaler Gateway

要为包装的 Citrix Files MDX 应用程序配置 SAML,请执行以下操作:

  1. 下载适用于 Citrix Endpoint Management 客户端的 ShareFile。 参见 ShareFile 工具/应用程序下载

  2. 使用 MAM SDK 准备 Citrix Files 移动应用程序。 有关详细信息,请参阅 MAM SDK 概述

  3. 在 Citrix Endpoint Management 控制台中,上传准备好的 Citrix Files 移动应用程序。 有关上传 MDX 应用程序的信息,请参阅 将 MDX 应用程序添加到 Citrix Endpoint Management

  4. 验证 SAML 设置:使用您之前配置的管理员用户名和密码登录 ShareFile。

  5. 验证 ShareFile 和 Citrix Endpoint Management 是否配置为同一时区。 确保 Citrix Endpoint Management 显示配置的时区的正确时间。 如果不是,SSO 可能会失败。

验证 Citrix Files 移动应用程序

  1. 在用户设备上,安装并配置 Citrix Secure Hub。

  2. 从应用商店下载并安装 Citrix Files 移动应用程序。

  3. 启动 Citrix Files 移动应用程序。 Citrix Files 启动时不提示输入用户名或密码。

使用 Citrix Secure Mail 进行验证

  1. 在用户设备上,如果尚未完成,请安装并配置 Citrix Secure Hub。

  2. 从应用商店下载、安装和设置 Citrix Secure Mail。

  3. 打开一个新的电子邮件表格,然后点击 从 ShareFile 附加。 显示可附加到电子邮件的文件而无需输入用户名或密码。

为其他 Citrix Files 客户端配置 NetScaler Gateway

要配置非包装的 Citrix Files 客户端(例如网站、Outlook 插件或同步客户端)的访问权限:配置 NetScaler Gateway 以支持使用 Citrix Endpoint Management 作为 SAML 身份提供程序,如下所示。

  • 禁用主页重定向。
  • 创建 Citrix Files 会话策略和配置文件。
  • 在 NetScaler Gateway 虚拟服务器上配置策略。

禁用主页重定向

禁用通过 /cginfra 路径发出的请求的默认行为。 该操作使用户能够看到原始请求的内部 URL,而不是配置的主页。

  1. 编辑用于 Citrix Endpoint Management 登录的 NetScaler Gateway 虚拟服务器的设置。 在 NetScaler Gateway 中,转到 其他设置 然后清除标有 重定向到主页的复选框。

    NetScaler Gateway 屏幕

  2. ShareFile (现在称为 ShareFile)下,键入您的 Citrix Endpoint Management 内部服务器名称和端口号。

  3. Citrix Endpoint Management下,输入您的 Citrix Endpoint Management URL。

    此配置授权对您通过 /cginfra 路径输入的 URL 的请求。

创建 Citrix Files 会话策略和请求配置文件

配置以下设置以创建 Citrix Files 会话策略和请求配置文件:

  1. 在 NetScaler Gateway 配置实用程序的左侧导航窗格中,单击 NetScaler Gateway > Policies > Session

  2. 创建会话策略。 在 策略 选项卡上,单击 添加

  3. 名称 字段中,输入 ShareFile_Policy

  4. 通过单击 + 按钮创建一个动作。 出现 创建 NetScaler 网关会话配置文件 页面。

    NetScaler Gateway 会话配置文件屏幕

    配置以下设置:

    • 名称: 类型 ShareFile_Profile
    • 单击 客户端体验 选项卡,然后配置以下设置:
      • 主页: 类型
      • 会话超时(分钟): 类型 1
      • 单点登录到 Web 应用程序: 选择此设置。
      • 凭证索引: 点击 主要
    • 单击 已发布的应用程序 选项卡。

    NetScaler Gateway 会话配置文件屏幕

    配置以下设置:

    • ICA 代理: 单击</strong>上的 **。</p></li>
    • Web 界面地址: 输入您的 Citrix Endpoint Management 服务器 URL。

    • 单点登录域: 输入您的 Active Directory 域名。

       When configuring the NetScaler Gateway Session Profile, the domain suffix for **Single Sign-on Domain** must match the Citrix Endpoint Management domain alias defined in LDAP.

      </ul>

  5. 单击 创建 来定义会话配置文件。

  6. 单击 表达式编辑器

    NetScaler Gateway 会话配置文件屏幕

    配置以下设置:

    • 值: 类型 NSC_FSRD
    • 标头名称: 类型 COOKIE

  7. 单击 创建 然后单击 关闭

    NetScaler Gateway 会话配置文件屏幕

在 NetScaler Gateway 虚拟服务器上配置策略

在 NetScaler Gateway 虚拟服务器上配置这些设置。

  1. 在 NetScaler Gateway 配置实用程序的左侧导航窗格中,单击 NetScaler Gateway > 虚拟服务器

  2. 详细信息 窗格中,单击您的 NetScaler Gateway 虚拟服务器。

  3. 单击 编辑

  4. 单击 配置的策略 > 会话策略 然后单击 添加绑定

  5. 选择 ShareFile_Policy

  6. 编辑所选策略的自动生成的 优先级 数字,以便它相对于列出的任何其他策略具有最高优先级(最小数字)。 例如:

    VPN 虚拟服务器会话策略绑定屏幕

  7. 单击 完成 然后保存正在运行的 NetScaler Gateway 配置。

修改 Citrix Files.com SSO 设置

对 MDX 和非 MDX Citrix Files 应用程序进行以下更改。

重要的:

内部应用程序名称后附加了一个新编号:

  • 每次编辑或重新创建 Citrix Files 应用程序时
  • 每次在 Citrix Endpoint Management 中更改 ShareFile 设置时

因此,您还必须更新 Citrix Files 网站中的登录 URL 以显示更新后的应用程序名称。

  1. 以 ShareFile 管理员身份登录您的 ShareFile 帐户(https://&lt;subdomain&gt;.sharefile.com)。

  2. 在 ShareFile 网络界面中,单击 管理员 ,然后选择 配置单点登录

  3. 编辑 登录 URL 如下:

    这是编辑前的示例 登录 URLhttps://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    示例登录 URL

    • 在 Citrix Endpoint Management 服务器 FQDN 前面插入 NetScaler Gateway 虚拟服务器外部 FQDN 加上 /cginfra/https/ ,然后在 Citrix Endpoint Management FQDN 后添加 8443

      以下是已编辑 URL 的示例: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    • 将参数 &app=ShareFile_SAML_SP 更改为内部 Citrix Files 应用程序名称。 默认情况下,内部名称为 ShareFile_SAML 。 但是,每次更改配置时,内部名称后都会附加一个数字(ShareFile_SAML_2ShareFile_SAML_3,等等)。 您可以在 配置 > ShareFile 页面上查找 应用程序内部名称

      以下是已编辑 URL 的示例: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • 在 URL 末尾添加 &nssso=true

      以下是最终 URL 的示例: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

  4. 可选设置下,选中 启用 Web 身份验证 复选框。

    可选设置屏幕

验证配置

执行以下操作来验证配置。

  1. 将您的浏览器指向 https://&lt;subdomain&gt;sharefile.com/saml/login

    您将被重定向到 NetScaler Gateway 登录表单。 如果您未被重定向,请验证前面的配置设置。

  2. 输入您配置的 NetScaler Gateway 和 Citrix Endpoint Management 环境的用户名和密码。

    您的 Citrix Files 文件夹位于 &lt;subdomain&gt;.sharefile.com 出现。 如果您没有看到 Citrix Files 文件夹,请确保您输入了正确的登录凭据。

使用 SAML 实现 Citrix Files 的单点登录
December 21, 2024
投稿者: 
C
December 21, 2024
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.