Citrix Content Collaboration Single Sign-On Konfigurationshandbuch für Citrix Endpoint Management

Sie können den Citrix Endpoint Management-Server und Citrix Gateway so konfigurieren, dass er als SAML-Identitätsanbieter (IdP) für Citrix Content Collaboration fungiert. In dieser Konfiguration wird ein Benutzer, der sich mit einem Webbrowser oder anderen Citrix Files-Clients bei Citrix Content Collaboration anmeldet, zur Benutzerauthentifizierung an die Citrix Endpoint Management Umgebung umgeleitet. Nach erfolgreicher Authentifizierung durch Citrix Endpoint Management erhält der Benutzer ein SAML-Token, das für die Anmeldung bei seinem Citrix Content Collaboration Konto gültig ist.

Voraussetzungen

Eine funktionierende Konfiguration von Citrix Gateway und Citrix Endpoint Management -Server, die bereits konfiguriert sind.

Konfigurieren von SAML Single Sign-On für Citrix Files MDX-Apps

Sie können Citrix Endpoint Management Server zusammen mit Secure Hub zum Single Sign-On (SSO) für Citrix Files MDX-Anwendungen verwenden. In diesem Szenario ruft Secure Hub ein SAML-Token für die Citrix Content Collaboration Anmeldung mit dem Citrix Endpoint Management -Server als IdP ab.

  1. Melden Sie sich mit der URL beim Citrix Endpoint Management Server an https://<Citrix Endpoint Management Server>:4443
  2. Gehen Sie zu Konfigurieren > ShareFile.
  3. Verwenden Sie das Content Collaboration User Management Tool für das Provisioning von Benutzern. Siehe Provision user accounts and distribution groups.

Die SAML-Konfiguration für Citrix Files MDX-Apps ist konfiguriert. Wenn Sie den Zugriff auf Citrix Content Collaboration nur mit den Citrix Files MDX-umschlossenen Anwendungen zulassen möchten, ist Ihre Konfiguration abgeschlossen. Wenn Sie jedoch den Zugriff für Citrix Files Clients ohne MDX konfigurieren möchten, verwenden Sie das Konfigurationshandbuch.

Das Konfigurieren von Citrix Content Collaboration MDX SSO ermöglicht auch die Benutzerprovisioning auf dem Citrix Endpoint Management -Server. Alle Benutzer, die Teil der ausgewählten Rollen sind und kein Konto in Citrix Content Collaboration haben, werden automatisch vom Citrix Endpoint Management -Server bereitgestellt, je nach dem ersten Zugriff auf Citrix Content Collaboration. Weitere Informationen dazu, wie Citrix Endpoint Management -Server Citrix Content Collaboration Benutzer bereitstellt, finden Sie im Knowledge Center-Artikel CTX200431.

Konfigurieren von Citrix Gateway

Die folgende Konfiguration ist auf Citrix Gateway erforderlich, um Citrix Endpoint Management als SAML-Identitätsanbieter zu unterstützen:

Deaktivieren der Homepageumleitung

Sie müssen das Standardverhalten für Anforderungen deaktivieren, die über den /cginfra-Pfad kommen, so dass die ursprüngliche angeforderte interne URL dem Benutzer anstelle der konfigurierten Homepage zugestellt wird.

  1. Bearbeiten Sie die Einstellungen für den virtuellen Citrix Gateway -Server, der für Citrix Endpoint Management -Sign-Ins verwendet wird. Wechseln Sie zu Weitere Einstellungen, und deaktivieren Sie das Kontrollkästchen Weiterleiten zur Startseite:

    Citrix Endpoint Management

  2. Fügen Sie für die ShareFile Einstellung den internen Servernamen und Port des Citrix Endpoint Management -Servers hinzu. Beispiel: xms.citrix.lab:8443.
  3. Geben Sie für die AppController-Einstellung die Adresse des Citrix Endpoint Management -Servers ein. Diese Konfiguration autorisiert Anfragen an die angegebene URL über den Pfad /cginfra.

Erstellen einer Citrix Content Collaboration Sitzungsrichtlinie und eines Anforderungsprofils

  1. Wählen Sie im Citrix Gateway -Konfigurationsprogramm im linken Navigationsbereich Citrix Gateway > Richtlinien > Sitzung aus.
  2. Um eine Sitzungsrichtlinie zu erstellen, klicken Sie auf der Registerkarte Richtlinien auf Hinzufügen… und geben Sie dann ShareFile_Policy als Namen ein.
  3. Um eine Aktion zu erstellen, klicken Sie auf Hinzufügen… Der Bildschirm Citrix Gateway -Sitzungsprofil erstellen wird geöffnet.
  4. Geben Sie unterNameShareFile_Profile als Sitzungsprofilnamen ein.
  5. Auf der Registerkarte Clienterlebnis:
    • Geben Sie unter Startseitekeineein.
    • Geben Sie für Sitzungstimeout1ein.
    • Aktivieren Sie Single Sign-On für Webanwendungen.
    • Legen Sie für clientlosen Zugriffauf Onfest.
    • Setzen Sie für Persistentes Cookie ohne Clientzugriffauf Zulassen.
    • Wählen Sie für BerechtigungsindexPRIMARYaus.

    Citrix Endpoint Management 2

  6. Legen Sie auf der Registerkarte Sicherheit die Standardautorisierungsaktion auf Zulassenfest.

    Citrix Endpoint Management 3

  7. Auf der Registerkarte Veröffentlichte Anwendungen :
    • Wählen Sie für ICA-ProxyONaus.
    • Geben Sie unter Webinterface-Adressedie URL des Citrix Endpoint Management -Servers ein, wie hier gezeigt.
    • Geben Sie unter Single Sign-On-DomäneIhren Active Directory Domänennamen ein.

    Citrix Endpoint Management 4

    Beim Konfigurieren des Citrix Gateway -Sitzungsprofils muss das in das Feld Single Sign-On-Domäne eingegebene Domänensuffix mit dem in LDAP definierten Citrix Endpoint Management Domänenalias übereinstimmen.

  8. Klicken Sie auf Erstellen, um die Definition des Sitzungsprofils abzuschließen.
  9. Wechseln Sie für den Ausdruck ShareFile_Policy zu Klassische Richtlinie, und klicken Sie auf Ausdruckseditor.
  10. Geben Sie den Ausdruck mit dem WertNSC_FSRD und dem Headernamen COOKIE an.

    Citrix Endpoint Management 5

  11. Klicken Sie auf Fertig, klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.

    Citrix Endpoint Management 6

Konfigurieren von Richtlinien auf dem virtuellen Citrix Gateway-Server

  1. Wählen Sie im Citrix Gateway Konfigurationsprogramm im linken Navigationsbereich Citrix Gateway > Virtuelle Server aus.
  2. Klicken Sie im Detailbereich auf den virtuellen Citrix Gateway -Server, und klicken Sie dann auf Bearbeiten.
  3. Wechseln Sie zu Konfigurierte Richtlinien > Sitzungsrichtlinien, und klicken Sie auf Bindung hinzufügen.
  4. Wählen Sie ShareFile_Policyaus.
  5. Bearbeiten Sie die automatisch generierte Prioritätsnummer für die eingefügte Richtlinie so, dass sie im Vergleich zu allen anderen aufgeführten Richtlinien die niedrigste (höchste Priorität) aufweist.

    Citrix Endpoint Management 7

  6. Klicken Sie auf Done und speichern Sie die ausgeführte Citrix Gateway-Konfiguration.

Ändern der Einstellungen für einmaliges Anmelden

  1. Melden Sie sich bei Ihrem Konto als Citrix Content Collaboration Administrator an.
  2. Navigieren Sie in der Weboberfläche zu Admin-Einstellungen > Sicherheit > Anmelde- und Sicherheitsrichtlinie, und scrollen Sie nach unten zu den Single Sign-On-Einstellungen.
  3. Bearbeiten Sie die Anmelde-URL.

    Citrix Endpoint Management 9

    • Fügen Sie den externen FQDN des virtuellen Citrix Gateway -Servers plus /cginfra/http/ vor den FQDN des Citrix Endpoint Management -Servers und: 8443 nach dem FQDN ein.
    • Ändern Sie den Parameter &app=ShareFile_SAML_SP, um den internen Namen der Anwendung zu verwenden. Der interne Name ist standardmäßig ShareFile_SAML, aber bei jeder Änderung Ihrer Konfiguration ändert sich der interne Name, um eine Zahl anzuhängen (ShareFile_SAML2, ShareFile_SAML3 usw.).
    • Fügen Sie &nssso=true am Ende der URL hinzu. Beispiel: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

Jedes Mal, wenn Sie die App bearbeiten oder neu erstellen, wird der interne Anwendungsname mit einer Nummer aktualisiert, die an den Namen angehängt wird. Außerdem müssen Sie die Anmelde-URL aktualisieren, um den aktualisierten Anwendungsnamen wiederzugeben. Das folgende Beispiel zeigt, wie die Anmelde-URL geändert werden muss, wenn der interne Anwendungsname von “ShareFile_SAML” in “ShareFile_SAML2” wechselt.

  1. Klicken Sie unter Optionale Einstellungenauf das Kontrollkästchen Webauthentifizierung aktivieren .

    Citrix Endpoint Management 10

  2. Klicken Sie auf Save.

Validieren Sie Ihre Konfiguration

  1. Navigieren Sie zu https://subdomain.sharefile.com/saml/login. Sie werden zum Citrix Gateway -Anmeldeformular weitergeleitet.
  2. Melden Sie sich mit Benutzeranmeldeinformationen an, die für die konfigurierte Citrix Gateway - und Citrix Endpoint Management -Serverumgebung gültig sind. Ihre Citrix Files-Ordner unter subdomain.sharefile.com werden angezeigt.
Citrix Content Collaboration Single Sign-On Konfigurationshandbuch für Citrix Endpoint Management