Citrix Content Collaboration Single Sign-On Konfigurationshandbuch für ADFS 4

Voraussetzungen

  • Domäne beigetreten Windows Server 2016-Host
  • Öffentlich zugänglicher FQDN, der mit öffentlicher IP verknüpft ist (Beispiel: <adfs>.yourdomain.com)
  • Gültiges SSL-Zertifikat, das dem FQDN des Standortes zugeordnet ist (Wildcards werden unterstützt)
  • Port 443 öffnet eingehende und ausgehende öffentliche IP, die mit AD FS-FQDN verknüpft ist

ADFS-Rolle hinzufügen

  • Starten Sie den Server-Manager.
  • Klicken Sie oben rechts auf Verwalten.
  • Klicken Sie auf Rollen und Features hinzufügen.

adfs4 Bild 1

  • Wählen Sie Active Directory Verbunddiensteaus.
  • Klicken Sie auf Weiter.

adfs4 Bild 2

  • Klicken Sie auf Weiter.

adfs4 Bild 3

  • Klicken Sie auf Weiter.

adfs4 Bild 4

  • Wählen Sie Zielserver bei Bedarf automatisch neu startenaus.
  • Klicken Sie auf Installieren, antworten Sie auf die Aufforderung zum Neustart.

adfs4 Bild 5

  • Dieser Bildschirm wird nun nach erfolgreicher Installation der Rolle angezeigt. Klicken Sie auf Schließen.

Konfigurieren von ADFS

  • Öffnen Sie den Server-Manager.
  • Klicken Sie auf das Flaggensymbol mit dem gelben Vorsichtssymbol.

adfs4 Bild 6

  • Klicken Sie auf Verbunddienst auf diesem Server konfigurieren.

adfs4 Bild 7

  • Aktivieren Sie das Optionsfeld Ersten Verbundserver in einer Verbundserverfarm erstellen.
  • Klicken Sie auf Weiter.

adfs4 Bild 8

  • Definieren Sie ein Domänenadministratorkonto, um ADFS zu konfigurieren.
  • Klicken Sie auf Weiter.

adfs4 Bild 9

  • Wählen Sie das öffentliche SSL-Zertifikat aus. Dieses Zertifikat muss vor der ADFS-Konfiguration auf dem Host importiert werden.
  • Geben Sie einen Verbunddienstnamen ein. Dieser Name muss mit dem vollqualifizierten Domänennamen übereinstimmen, den Sie für ADFS erstellt haben. Beispiel: adfs2016.yourdomain.com
  • Geben Sie einen Service-Anzeigenamenein. Dieser Name ist der Text, der auf einer formularbasierten Anmeldeseite angezeigt wird.
  • Klicken Sie auf Weiter.

adfs4 Bild 10

  • Geben Sie das von ADFS verwendete Dienstkonto an.
  • Klicken Sie auf Weiter.

adfs4 Bild 11

  • Wählen Sie den Datenbanktyp aus.
  • Klicken Sie auf Weiter.

adfs4 Bild 12

  • Überprüfen Sie die Änderungen, bevor sie vorgenommen werden.
  • Klicken Sie auf Weiter.

adfs4 Bild 13

  • Klicken Sie auf Konfigurieren, wenn alle Voraussetzungsprüfungen erfolgreich abgeschlossen wurden.

adfs4 Bild 14

  • Nach erfolgreicher Konfiguration von ADFS wird nun dieser Bildschirm angezeigt.
  • Klicken Sie auf Schließen.

IdP-initiierte Anmeldung aktivieren

Auf der IDP-initiierten Anmeldeseite wird bestätigt, dass ADFS Ihre Domänenanmeldeinformationen akzeptiert, bevor Dienstanbietervertrauensstellungen eingerichtet werden. Standardmäßig ist diese Seite in Windows Server 2016-Umgebungen deaktiviert. Verwenden Sie PowerShell, um die IDP-initiierte Anmeldung zu aktivieren.

adfs4 Bild 15

  • Starten Sie PowerShell als Administrator.
  • Führen Sie den Befehl set-adfsproperties –EnableIDPInitiatedSignonPage $True aus.
  • Sie können jetzt zu navigieren https://<adfs.domain.com>/adfs/ls/idpinitiatedsignon.aspx und sich anzumelden.

adfs4 Bild 16

Tokensignaturzertifikat exportieren

adfs4 Bild 17

  • Starten Sie die ADFS-Verwaltungskonsole über den Server-Manager.

adfs4 Bild 18

  • Erweitern Sie Service.
  • Wählen Sie Zertifikateaus.
  • Klicken Sie mit der rechten Maustaste auf das primäre Tokensignaturzertifikat. Wählen Sie Zertifikat anzeigen…

adfs4 Bild 19

  • Wählen Sie die Registerkarte Details.
  • Klicken Sie auf In Datei kopieren….

adfs4 Bild 20

  • Klicken Sie auf Weiter.

adfs4 Bild 21

  • Wählen Sie das Optionsfeld Base-64-codierte X.509 (.CER) aus.
  • Klicken Sie auf Weiter.
  • Klicken Sie auf Durchsuchen.

adfs4 Bild 22

  • Wählen Sie einen Speicherort für den Export Ihres Tokensignaturzertifikats aus.
  • Benennen Sie Ihr Tokensignaturzertifikat.
  • Klicken Sie auf Save.

adfs4 Bild 23

  • Klicken Sie auf Weiter.

adfs4 Bild 24

  • Klicken Sie auf Fertig stellen.

adfs4 Bild 25

  • Klicken Sie mit der rechten Maustaste auf das exportierte Tokensignaturzertifikat.
  • Klicken Sie auf Öffnen mit….
  • Wählen Sie Editor.

adfs4 Bild 26

  • Kopieren Sie den Inhalt Ihres Tokensignaturzertifikats

Konfigurieren des Citrix Content Collaboration Kontos

  • Melden Sie sich mit Ihrem Webbrowser bei Ihrem Citrix Content Collaboration Konto an.
  • Klicken Sie im linken Seitenbereich auf Einstellungen.
  • Klicken Sie auf Admin-Einstellungen.

adfs4 Bild 27

  • Erweitern Sie Sicherheit.
  • Klicken Sie auf Anmelde- und Sicherheitsrichtlinie. Scrollen Sie bis zum Ende der Seite.

adfs4 Bild 28

adfs4 Bild 29

  • ShareFile Aussteller/Entity-ID: https://<subdomain>.sharefile.com/saml/info
  • Ihr IdP-Aussteller/Entity-ID: https://<adfs>.yourdomain.com
  • X.509-Zertifikat: Inhalt des exportierten Zertifikats aus dem vorherigen Abschnitt einfügen
  • Anmelde-URL: https://<adfs>.yourdomain.com/adfs/ls
  • Webauthentifizierung aktivieren: Ja (Häkchen markiert)
  • SP-initiierter Authentifizierungskontext: Benutzername und Kennwort — Minimum
  • Speichern Sie Ihre Änderungen.

Aufbau der Vertrauensstellung von Dienstanbietern

adfs4 Bild 30

  • Starten Sie die ADFS-Verwaltung über den Server-Manager.

adfs4 Bild 31

  • Wählen Sie Vertrauensstellungen der Vertrauensparteien aus.
  • Klicken Sie auf Vertrauensstellung der vertrauenden Partei hinzufügen.

adfs4 Bild 32

  • Aktivieren Sie das Optionsfeld Ansprüche bewusst.
  • Klicken Sie auf Starten.

adfs4 Bild 33

  • Geben Sie die Metadaten-URL Ihres Citrix Content Collaboration Kontos ein. Beispiel:https://<subdomain>.sharefile.com/saml/metadata
  • Sie können auch zu dieser URL navigieren, den Inhalt kopieren und als XML-Datei speichern, wenn Sie die SAML-Metadaten lieber mit einer Datei importieren möchten. Sie können diese Informationen auch manuell eingeben, indem Sie das dritte Optionsfeld auswählen.
  • Klicken Sie auf Weiter.

adfs4 Bild 34

  • Klicken Sie auf Weiter.

adfs4 Bild 35

  • Klicken Sie auf Weiter.

adfs4 Bild 36

  • Klicken Sie auf Schließen.

adfs4 Bild 37

  • Klicken Sie auf Regel hinzufügen….

adfs4 Bild 38

  • Wählen Sie im Menü LDAP-Attribute als Ansprüche senden aus.
  • Klicken Sie auf Weiter.

adfs4 Bild 39

  • Nennen Sie Ihre Regel.
  • Wählen Sie im Menü Attributspeicher die Option Active Directory aus.
  • Wählen Sie im ersten LDAP-Attributmenü die Option E-Mail-Adressen aus.
  • Wählen Sie im ersten Menü Art des ausgehenden Anspruchs die Option E-Mail-Adresse.
  • Klicken Sie auf Fertig stellen.

adfs4 Bild 40

  • Klicken Sie auf Regel hinzufügen….

adfs4 Bild 41

  • Wählen Sie einen eingehenden Anspruch umwandelnaus.
  • Klicken Sie auf Weiter.

adfs4 Bild 42

  • Nennen Sie Ihre Regel.
  • Wählen Sie E-Mail-Adresse für Eingehende Anspruchsart:.
  • Wählen Sie Name ID für ausgehende Anspruchsart:.
  • Wählen Sie E-Mail für das ID-Format des ausgehenden Namens:aus.

adfs4 Bild 43

  • Klicken Sie auf Apply.
  • Klicken Sie auf OK.

Testen Sie Ihre Konfiguration

Navigieren Sie zur SAML-Anmelde-URL Ihres Citrix Content Collaboration Kontos. Sie werden nun zu Ihrem ADFS-Host umgeleitet und nach Anmeldeinformationen gefragt. Melden Sie sich mit den Anmeldeinformationen an, die mit der Domäne verknüpft sind, für die Ihr ADFS-Host Verbunddienste bereitstellt. Die E-Mail-Adresse Ihres AD-Benutzers muss mit der E-Mail-Adresse eines Benutzers in Citrix Content Collaboration übereinstimmen. Wenn die Anmeldeinformationen korrekt sind und Ihre E-Mail-Adresse mit einem Citrix Content Collaboration Benutzer übereinstimmt, sind Sie bei dem Citrix Content Collaboration Konto angemeldet, das mit Ihrer E-Mail verknüpft ist.

Citrix Content Collaboration Single Sign-On Konfigurationshandbuch für ADFS 4