Citrix Content Collaboration Single Sign-On Konfigurationshandbuch für Citrix Endpoint Management

Sie können den Citrix Endpoint Management-Server und NetScaler Gateway so konfigurieren, dass er als SAML-Identitätsanbieter (IdP) für Citrix Content Collaboration fungiert. In dieser Konfiguration wird ein Benutzer, der sich mit einem Webbrowser oder anderen Citrix Files-Clients bei Citrix Content Collaboration anmeldet, zur Benutzerauthentifizierung an die Citrix Endpoint Management Umgebung umgeleitet. Nach erfolgreicher Authentifizierung durch Citrix Endpoint Management erhält der Benutzer ein SAML-Token, das für die Anmeldung bei seinem Citrix Content Collaboration-Konto gültig ist.

Voraussetzungen

Eine funktionierende Konfiguration von NetScaler Gateway und Citrix Endpoint Management Server, die bereits konfiguriert sind.

SAML-Single-Sign-On für Citrix Files MDX-Apps konfigurieren

Sie können den Citrix Endpoint Management-Server zusammen mit Secure Hub für Single Sign-On (SSO) bei mit MDX umschlossene Citrix Files-Anwendungen verwenden. In diesem Szenario erhält Secure Hub ein SAML-Token für die Anmeldung bei Citrix Content Collaboration, wobei der Citrix Endpoint Management-Server als IdP verwendet wird.

  1. Melden Sie sich mit der URL https://<Citrix Endpoint Management Server>:4443 beim Citrix Endpoint Management Server an
  2. Gehen Sie zu Konfigurieren > ShareFile.
  3. Verwenden Sie das Content Collaboration User Management Tool für das Provisioning von Benutzern. Siehe Provision user accounts and distribution groups.

Die SAML-Konfiguration für Citrix Files MDX-Apps ist konfiguriert. Wenn Sie den Zugriff auf Citrix Content Collaboration nur mithilfe der mit MDX-umschlossenen Citrix Files-Anwendungen zulassen möchten, ist Ihre Konfiguration abgeschlossen. Wenn Sie jedoch den Zugriff für Citrix Files-Clients konfigurieren möchten, die nicht mit MDX umschlossen sind, verwenden Sie weiterhin das Konfigurationshandbuch.

Die Konfiguration von Citrix Content Collaboration MDX SSO ermöglicht auch die Benutzerbereitstellung auf dem Citrix Endpoint Management-Server. Alle Benutzer, die Teil der ausgewählten Rollen sind und kein Konto bei Citrix Content Collaboration haben, werden automatisch vom Citrix Endpoint Management-Server bereitgestellt, je nachdem, wie sie zuerst auf Citrix Content Collaboration zugreifen. Weitere Informationen darüber, wie der Citrix Endpoint Management-Server das Provisioning von Citrix Content Collaboration-Benutzern ausführt, finden Sie Knowledge Center-Artikel CTX200431.

Konfigurieren von NetScaler Gateway

Die folgende Konfiguration ist auf NetScaler Gateway erforderlich, um die Verwendung von Citrix Endpoint Management als SAML-Identitätsanbieter zu unterstützen:

Deaktivieren der Homepageumleitung

Sie müssen das Standardverhalten für Anfragen deaktivieren, die über den Pfad /cginfra kommen, sodass dem Benutzer die ursprünglich angeforderte interne URL anstelle der konfigurierten Homepage bereitgestellt wird.

  1. Bearbeiten Sie die Einstellungen für den virtuellen NetScaler Gateway-Server, der für Citrix Endpoint Management-Anmeldungen verwendet wird. Wechseln Sie zu Weitere Einstellungen, und deaktivieren Sie das Kontrollkästchen Weiterleiten zur Startseite:

    Citrix Endpoint Management

  2. Fügen Sie für die ShareFile Einstellung den internen Servernamen und Port des Citrix Endpoint Management -Servers hinzu. Beispiel: xms.citrix.lab:8443.
  3. Geben Sie für die AppController-Einstellung die Adresse Ihres Citrix Endpoint Management-Servers ein. Diese Konfiguration autorisiert Anfragen an die angegebene URL über den Pfad /cginfra.

Erstellen Sie eine Citrix Content Collaboration-Sitzungsrichtlinie und fordern Sie ein Profil an

  1. Wählen Sie im NetScaler Gateway-Konfigurationsprogramm im linken Navigationsbereich NetScaler Gateway > Richtlinien > Sitzung aus.
  2. Um eine Sitzungsrichtlinie zu erstellen, klicken Sie auf der Registerkarte Richtlinien auf Hinzufügen… und geben Sie dann ShareFile_Policy als Namen ein.
  3. Um eine Aktion zu erstellen, klicken Sie auf Hinzufügen… Das Fenster NetScaler Gateway-Sitzungsprofil erstellen wird geöffnet.
  4. Geben Sie im Feld NameShareFile_Profile als Namen des Sitzungsprofils ein.
  5. Gehen Sie auf der Registerkarte Client Experience wie folgt vor:
    • Geben Sie für Home Page keine ein.
    • Geben Sie für Session Timeout den Wert 1 ein.
    • Aktivieren Sie Single Sign-On für Webanwendungen.
    • Stellen Sie für Clientless Access die Option On ein.
    • Stellen Sie für das persistente Cookie für Clientless Accessdie Option Zulassen ein.
    • Wählen Sie für Credential Index die Option PRIMARY aus.

    Citrix Endpoint Management 2

  6. Legen Sie auf der Registerkarte Sicherheit die Standardautorisierungsaktion auf Zulassenfest.

    Citrix Endpoint Management 3

  7. Auf der Registerkarte Veröffentlichte Anwendungen :
    • Wählen Sie für ICA-Proxy ON aus.
    • Geben Sie im Feld Webinterface-Adressedie URL Ihres Citrix Endpoint Management-Servers wie abgebildet ein.
    • Geben Sie unter Single Sign-On-DomäneIhren Active Directory Domänennamen ein.

    Citrix Endpoint Management 4

    Beim Konfigurieren des NetScaler Gateway -Sitzungsprofils muss das in das Feld Single Sign-On-Domäne eingegebene Domänensuffix mit dem in LDAP definierten Citrix Endpoint Management Domänenalias übereinstimmen.

  8. Klicken Sie auf Erstellen, um die Definition des Sitzungsprofils abzuschließen.
  9. Wechseln Sie für den Ausdruck ShareFile_Policy zu Classic Policy und klicken Sie auf Expression Editor.
  10. Geben Sie den Ausdruck mit dem Wert NSC_FSRD und dem Headernamen COOKIE an.

    Citrix Endpoint Management 5

  11. Klicken Sie auf Fertig, klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.

    Citrix Endpoint Management 6

Konfigurieren von Richtlinien auf dem virtuellen NetScaler Gateway-Server

  1. Wählen Sie im NetScaler Gateway-Konfigurationsprogramm im linken Navigationsbereich NetScaler Gateway > Virtuelle Server aus.
  2. Klicken Sie im Detailbereich auf Ihren virtuellen NetScaler Gateway-Server und dann auf Bearbeiten.
  3. Gehen Sie zu Konfigurierte Richtlinien > Sitzungsrichtlinien und klicken Sie auf Bindung hinzufügen.
  4. Wählen Sie die ShareFile_Policy aus.
  5. Bearbeiten Sie die automatisch generierte Prioritätsnummer für die eingefügte Richtlinie so, dass sie im Vergleich zu allen anderen aufgeführten Richtlinien die niedrigste (höchste Priorität) aufweist.

    Citrix Endpoint Management 7

  6. Klicken Sie auf Done und speichern Sie die ausgeführte NetScaler Gateway-Konfiguration.

Single Sign-On-Einstellungen ändern

  1. Melden Sie sich als Citrix Content Collaboration-Administrator bei Ihrem Konto an.
  2. Navigieren Sie in der Weboberfläche zu Admin-Einstellungen > Sicherheit > Anmelde- und Sicherheitsrichtlinie und scrollen Sie nach unten zu den Single Sign-On-Einstellungen.
  3. Bearbeiten Sie die Anmelde-URL.

    Citrix Endpoint Management 9

    • Fügen Sie den externen FQDN des virtuellen NetScaler Gateway -Servers plus /cginfra/http/ vor den FQDN des Citrix Endpoint Management -Servers und: 8443 nach dem FQDN ein.
    • Ändern Sie den Parameter &app=ShareFile_SAML_SP, um den internen Namen der Anwendung zu verwenden. Der interne Name ist standardmäßig ShareFile_SAML, aber mit jeder Änderung Ihrer Konfiguration ändert sich der interne Name, sodass eine Zahl angehängt wird (ShareFile_SAML2, ShareFile_SAML3 usw.).
    • Fügen Sie &nssso=true am Ende der URL hinzu. Beispiel: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

Jedes Mal, wenn Sie die App bearbeiten oder neu erstellen, wird der interne Anwendungsname aktualisiert, wobei an den Namen eine Nummer angehängt wird. Sie müssen auch die Anmelde-URL aktualisieren, damit sie dem aktualisierten Anwendungsnamen entspricht. Das folgende Beispiel zeigt, wie sich die Anmelde-URL ändern muss, wenn sich der interne Anwendungsname von “ShareFile_SAML” in “ShareFile_SAML2” ändert.

  1. Klicken Sie unter Optionale Einstellungenauf das Kontrollkästchen Webauthentifizierung aktivieren .

    Citrix Endpoint Management 10

  2. Klicken Sie auf Speichern.

Überprüfen der Konfiguration

  1. Gehen Sie zu https://subdomain.sharefile.com/saml/login. Sie werden zum NetScaler Gateway-Anmeldeformular weitergeleitet.

  2. Melden Sie sich mit Benutzeranmeldeinformationen an, die für die von Ihnen konfigurierte NetScaler Gateway- und Citrix Endpoint Management-Serverumgebung gültig sind. Ihre Citrix Files-Ordner unter subdomain.sharefile.com werden angezeigt.

Citrix Content Collaboration Single Sign-On Konfigurationshandbuch für Citrix Endpoint Management