Citrix Content Collaboration Single Sign-On Konfigurationshandbuch für ADFS 3

Voraussetzungen für die Installation

Um Citrix Content Collaboration für die Authentifizierung bei Active Directory Verbunddiensten einzurichten, benötigen Sie Folgendes:

  • Windows Server 2012 R2
  • Ein öffentlich signiertes SSL-Zertifikat von einer Zertifizierungsstelle. Selbstsignierte und nicht signierte Zertifikate werden nicht akzeptiert.
  • Ein FQDN für Ihren ADFS-Server
  • Zugriff auf ein Administratorkonto in Citrix Content Collaboration mit der Möglichkeit, Single Sign-On zu konfigurieren.

Hinweis:

Informationen zum Bereitstellen von Benutzern aus Ihrem Active Directory für Citrix Content Collaboration finden Sie im Installationshandbuch des Benutzerverwaltungstools.

ADFS 3.0 (rollenbasierte Installation)

  1. Sie können Microsoft Active Directory Verbunddienste 3.0 nicht separat herunterladen. Sie müssen einen Windows 2012 R2-Server für diese Version verwenden.

    adfs3 Bild 1

  2. Installieren Sie die rollenbasierte oder funktionsbasierte Installation. Klicken Sie auf Weiter.

    adfs3 Bild 2

  3. Wählen Sie den Server für die Installation aus, und klicken Sie auf Weiter. Wählen Sie dann Active Directory Verbunddiensteaus. Klicken Sie auf Weiter.

    adfs3 Bild 3

  4. Klicken Sie auf Weiter über die Serverrollen, AD FS und dann zum Bestätigungsbildschirm. Aktivieren Sie das Kontrollkästchen Neustart, sagen Sie Ja zum nächsten Bildschirm, und klicken Sie auf Installieren.

    adfs3 Bild 4

  5. Sobald ADFS installiert ist, müssen Sie eine Aktivität nach der Bereitstellung durchführen, wenn dies der erste AD FS-Server in Active Directory ist. Verwenden Sie Ihre eigenen Konfigurationsinformationen für diesen Schritt.

    adfs3 Bild 5

Einrichten von ADFS 3.0

  1. Starten Sie in der ADFS 3.0-Verwaltungskonsole den Konfigurationsassistenten.
  2. Wenn der Assistent gestartet wird, wählen Sie Neuen Verbunddienst erstellen aus, und klicken Sie auf Weiter.

    adfs3 Bild 6

    adfs3 Bild 7

  3. Da wir ein Platzhalterzertifikatverwenden, müssen wir einen Verbunddienstnamenermitteln. Wenn Sie kein SSL-Zertifikat mit Platzhaltern verwenden, müssen Sie diesen Schritt möglicherweise nicht ausführen. Klicken Sie dann auf Weiter, um fortzufahren.

    adfs3 Bild 8

  4. Klicken Sie zum Konfigurieren auf Weiter.

    adfs3 Bild 9

  5. Bestätigen Sie, dass alle Konfigurationen fehlerfrei abgeschlossen wurden, und klicken Sie auf Schließen und beenden Sie den Assistenten.

    adfs3 Bild 10

    adfs3 Bild 11

  6. Erweitern Sie den Knoten Dienst in der Management Console. Wählen Sie das Tokensignaturzertifikat aus, und klicken Sie in der rechten Spalte auf Zertifikat anzeigen.

    adfs3 Bild 12

  7. Wählen Sie im Fenster Zertifikat die Registerkarte Details aus, und klicken Sie dann auf In Datei kopieren.

    adfs3 Bild 13

  8. Klicken Sie zum Fortfahren auf Weiter.

    adfs3 Bild 14

  9. Wählen Sie Base-64-codierte X.509 (.CER) als Exportformat für das Zertifikat aus, und klicken Sie dann auf Weiter.

    adfs3 Bild 15

  10. Speichern Sie die Zertifikatdatei, und klicken Sie auf Weiter.

    adfs3 Bild 16

  11. Klicken Sie auf Fertig stellen, um die Datei zu speichern.

    adfs3 Bild 17

  12. Navigieren Sie zu dem Ordner, in den Sie das Zertifikat exportiert haben, und öffnen Sie es mit Editor.

    adfs3 Bild 18

  13. Markieren Sie den gesamten Text im Editor, und kopieren Sie ihn.

    adfs3 Bild 19

  14. Öffnen Sie Internet Explorer, und wechseln Sie zu Ihrem Citrix Content Collaboration Konto (https://<yoursubdomain>.sharefile.com). Melden Sie sich mit Ihrem Administratorkonto an. Navigieren Sie zu Admin-Einstellungen > Sicherheit > Login & Sicherheitsrichtlinie. Suchen Sie Single Sign-On/SAML 2.0-Konfiguration.
    • Wechseln Sie SAML-Einstellung aktivieren auf Ja.
    • ShareFile-Aussteller/Entity-ID: https://<subdomain>.sharefile.com/saml/info
    • Ihre IdP-Aussteller/Entity-ID: https://<adfs>.yourdomain.com
    • X.509-Zertifikat: Fügen Sie den Inhalt des exportierten Zertifikats aus dem vorherigen Abschnitt ein
    • Anmelde-URL: https://<adfs>.yourdomain.com/adfs/ls

    adfs3 Bild 20

  15. Ändern Sie unter Optionale Einstellungendie folgenden Werte.
    • Aktivieren Sie die Web-Authentifizierung: Ja (Check markiert)
    • SP-initiierter Auth Context: Benutzername und Kennwort — Minimum

    adfs3 Bild 21

  16. Minimieren Sie Internet Explorer und kehren Sie zur ADFS-Verwaltungskonsolezurück. Erweitern Sie den Knoten Vertrauensstellungen, und wählen Sie Vertrauensstellungen von Vertrauensstellungenaus. Klicken Sie dann auf Vertrauensstellung hinzufügen… von der rechten Seite der Konsole aus. Dadurch wird der Assistent zum Hinzufügen vertrauender Vertrauensstellung gestartet.

    adfs3 Bild 22

  17. Klicken Sie auf Start, um mit der Angabe einer Vertrauensstellung der vertrauenden Partei zubeginnen.

    adfs3 Bild 23

  18. Durch das Abrufen der Metadaten von der SAML-Website kann die Vertrauensstellung automatisch für Sie konfiguriert werden. Verwenden Sie https://<yoursubdomain>.sharefile.com/saml/metadata als Verbundmetadaten-Adresse (Hostname oder URL). Klicken Sie auf Weiter.

    adfs3 Bild 24

  19. Geben Sie einen Anzeigenamenan. Normalerweise behalten Sie dies als <yoursubdomain>.sharefile.com, damit Sie die verschiedenen Vertrauensstellungen voneinander identifizieren können.

    adfs3 Bild 25

    adfs3 Bild 26

  20. Erlauben Sie allen Benutzern den Zugriff auf diese vertrauende Partei. Klicken Sie auf Weiter.

    adfs3 Bild 27

  21. Überprüfen Sie, ob die Informationen korrekt sind, und klicken Sie auf Weiter.

    adfs3 Bild 28

  22. Stellen Sie sicher, dass das Kontrollkästchen “Anspruchsregeln bearbeiten” für diese Vertrauensstellung öffnen, wenn der Assistent geschlossen wird, aktiviert ist. Klicken Sie dann auf Schließen.

    adfs3 Bild 29

  23. Klicken Sie auf der Registerkarte Ausstellungstransformationsregeln auf Regel hinzufügen.

    adfs3 Bild 30

  24. Die erste Regel besteht darin, LDAP-Attribute als Ansprüche zu senden.

    adfs3 Bild 31

  25. Benutzer auf der Citrix Content Collaboration Plattform werden mit ihrer E-Mail-Adresse identifiziert. Wir senden den Antrag als UPN. Geben Sie einen beschreibenden Namen der Anspruchsregelan, z. B. E-Mail-Adresse. Wählen SieActive Directoryals Attributspeicher aus. Wählen Sie schließlichE-Mail-AdressealsLDAP-AttributundE-Mail-AdressealsAusgehender Anspruchstypaus. Klicken Sie aufFertig stellen.

    adfs3 Bild 32

  26. Erstellen Sie eine zweite Regel. Diese Regel wird zum Transformieren eines eingehenden Anspruchsverwendet. Klicken Sie auf Weiter.

    adfs3 Bild 33

  27. Der eingehende Anspruchstyp wandelt die eingehende E-Mail-Adresse in einen ausgehenden Name-ID-Anspruchstyp im E-Mail-Format um. Geben Sie der E-Mail-Adresse einen beschreibenden Namen, z. B. eine benannte ID. Der Eingehende Anspruchstyp lautet E-Mail-Adresse, die Name ID des ausgehendenAnspruchstyps. Das Format des ausgehenden Namens lautet E-Mail. Klicken Sie auf Fertig stellen.

    adfs3 Bild 34

  28. Überprüfen Sie, ob die Ansprüche korrekt sind, und klicken Sie dann auf OK.

    adfs3 Bild 35

  29. Wechseln Sie zu einem beliebigen Webbrowser und navigieren Sie zu https://<yoursubdomain>.sharefile.com/saml/login. Sie werden zu Ihren ADFS-Diensten weitergeleitet. Wenn Ihre Anmelde-E-Mail mit einem Benutzer in AD verknüpft ist, können Sie sich mit Ihren AD-Anmeldeinformationen authentifizieren.

    adfs3 Bild 36

Citrix Content Collaboration Single Sign-On Konfigurationshandbuch für ADFS 3