Citrix Content Collaboration Single Sign-On-Konfigurationshandbuch für NetScaler Gateway

Sie können Citrix Gateway ADC mithilfe der Citrix ADC AAA-Funktion konfigurieren, um als SAML-Identitätsanbieter zu fungieren.

In dieser Konfiguration wird ein Benutzer, der sich mit einem Webbrowser oder einem anderen Citrix Files-Client bei Citrix Content Collaboration anmeldet, zu einem virtuellen Server auf Citrix Gateway umgeleitet, auf dem eine SAML-IP-Richtlinie für die Benutzerauthentifizierung aktiviert ist. Nach erfolgreicher Authentifizierung mit Citrix Gateway erhält der Benutzer ein SAML-Token, mit dem er sich bei seinem Citrix Content Collaboration-Konto anmelden kann.

Die Konfiguration ist erforderlich, damit das SP-Zertifikat erstellt werden kann, damit es auf Citrix Gateway importiert und an Ihren virtuellen Citrix ADC AAA-Server gebunden werden kann. Für die Zwecke dieses Dokuments wird davon ausgegangen, dass Sie bereits die entsprechenden externen und internen DNS-Einträge erstellt haben, um Authentifizierungsanfragen weiterzuleiten, die Citrix Gateway abhört, und dass auf Citrix Gateway bereits ein SSL-Zertifikat für die SSL/HTTPS-Kommunikation erstellt und installiert wurde.

Citrix Content Collaboration konfigurieren

  1. Melden Sie sich bei https://subdomain.sharefile.com mit einem Benutzerkonto an, das über Administratorrechte verfügt.
  2. Wählen Sie Einstellungen > Admin-Einstellungen.
  3. Wählen Sie Sicherheit > Anmeldung und Sicherheitsrichtlinie, scrollen Sie nach unten und wählen Sie die Option Single Sign-On-Konfiguration.
  4. Aktivieren Sie unter Grundeinstellungen die Option SAML aktivieren.
  5. Geben Sie in das Feld ShareFile-Austeller/Entitäts-ID Folgendes ein: https://subdomain.sharefile.com/saml/acs
  6. Geben Sie im Feld Anmelde-URL die URL ein, zu der Benutzer bei der Verwendung von SAML umgeleitet werden. Beispiel:https://aaavip.mycompany.com/saml/login
  7. Geben Sie im Feld Abmelde-URL die Abmelde-URL ein, mit der die Benutzersitzung abläuft, wenn Sie die Abmeldeoption in der Web-Benutzeroberfläche auswählen. Beispiel:https://aaavip.mycompany.com/cgi/tmlogout
  8. Für das X.509-Zertifikat müssen Sie das SSL-Zertifikat von Ihrem Citrix Gateway-Gerät exportieren, das für Ihren Citrix ADC AAA-Verkehr zuständig ist. Im obigen Beispiel wird darauf verwiesen, dass diesem der folgende FQDN zugewiesen wurde: aaavip.mycompany.com.

Gehen Sie wie folgt vor, um dieses Zertifikat zu exportieren.

  1. Melden Sie sich mit dem Configuration Utility bei Ihrem Citrix Gateway-Gerät an.
  2. Wählen Sie Traffic Management > SSL aus.
  3. Wählen Sie rechts unter Tools die Option Zertifikate verwalten/Schlüssel/ CSRs aus.

    Gateway-Bild 1

  4. Navigieren Sie im Fenster Zertifikate verwalten zu dem Zertifikat, das Sie für Ihren virtuellen Citrix ADC AAA-Server verwenden. Wählen Sie das Zertifikat aus und klicken Sie auf die Schaltfläche Herunterladen. Speichern Sie das Zertifikat an einem Ort Ihrer Wahl.
  5. Klicken Sie im Downloadspeicherort mit der rechten Maustaste auf das Zertifikat und öffnen Sie es mit einem Texteditor wie Notepad.
  6. Kopieren Sie den gesamten Inhalt des Zertifikats in Ihre Zwischenablage.
  7. Navigieren Sie im Webbrowser zurück zu Ihrem Citrix Content Collaboration-Konto.
  8. Wählen Sie für das X.509-Zertifikat die Option Ändern aus. Fügen Sie den Inhalt des Zertifikats, das Sie in Ihre Zwischenablage kopiert haben, in das Fenster ein.

    Gateway-Bild 2

  9. Wählen Sie Speichern.

  10. Ändern Sie unter Optionale Einstellungendie Option SSO-Anmeldung erforderlich auf Ja, wenn Sie möchten, dass alle Mitarbeiterbenutzer ihre AD-Anmeldeinformationen verwenden müssen, um sich anzumelden.
  11. Wählen Sie die Liste neben dem SP-initiierten SSO-Zertifikat aus. Wählen Sie aus der Liste HTTP Post (2048-Bit-Zertifikat) aus.
  12. Markieren Sie Ja, um die Neugenerierung des SP-initiierten SSO-Zertifikats zu erzwingen.
  13. Markieren Sie Ja, um die Webauthentifizierung zu aktivieren.
  14. Wählen Sie unter SP-initiierter Authentifizierungskontext die Option Unspecified aus.

    Gateway-Bild 3

  15. Wählen Sie unten auf dem Bildschirm die Schaltfläche Speichern.

Konfigurieren von NetScaler Gateway

Die folgende Konfiguration ist für die Unterstützung als SAML-Identitätsanbieter erforderlich:

  • LDAP-Authentifizierungsrichtlinie und Server für die Domänenauthentifizierung
  • SSL-Zertifikat mit externem und internem DNS, das entsprechend dem vom Zertifikat angegebenen FQDN konfiguriert ist (Wildcard-Zertifikate werden unterstützt)
  • ShareFile SP-Zertifikat
  • SAML IdP-Richtlinie und Profil
  • Virtueller Citrix ADC AAA-Server

Für die Zwecke dieses Materials behandeln wir die LDAP-Konfiguration, den Import von ShareFile SP-Zertifikaten auf Citrix Gateway, die SAML-IDP-Einstellungen und die Konfiguration des virtuellen Citrix ADC AAA-Servers. Das SSL-Zertifikat und die DNS-Konfigurationen müssen vor der Einrichtung vorhanden sein.

So konfigurieren Sie die Domänenauthentifizierung

Damit Domänenbenutzer sich mit ihrer Unternehmens-E-Mail-Adresse anmelden können, müssen Sie einen LDAP-Authentifizierungsserver und eine LDAP-Richtlinie auf Citrix Gateway konfigurieren und sie an Ihr Citrix ADC AAA VIP binden. Die Verwendung einer vorhandenen LDAP-Konfiguration wird ebenfalls unterstützt.

  1. Wählen Sie im Konfigurationsdienstprogramm im linken Navigationsbereich Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Grundrichtlinien > Richtlinie > LDAP aus.
  2. Um eine LDAP-Richtlinie zu erstellen, klicken Sie auf der Registerkarte Richtlinien auf Hinzufügen… und geben Sie dann ShareFile_LDAP_SSO_Policy als Namen ein. Wählen Sie unter Aktionstypdie Option LDAPaus.
  3. Klicken Sie im Feld Aktion auf +, um einen Server hinzuzufügen. Das Fenster Authentifizierungs-LDAP-Server erstellen wird angezeigt.
    • Geben Sie in das Feld NameShareFile_LDAP_SSO_Serverein.
    • Wählen Sie das Aufzählungszeichen für Server-IP aus. Geben Sie die IP-Adresse eines Ihrer AD-Domänencontroller ein. Sie können aus Redundanzgründen auch auf eine virtuelle Server-IP verweisen, wenn Sie DCs für den Lastenausgleich verwenden.
    • Geben Sie den Port an, den der NSIP für die Kommunikation mit dem Domänencontroller verwendet. Verwenden Sie 389 für LDAP oder 636 für Secure LDAP.
    • Geben Sie unter Verbindungseinstellungenden Basis-DN ein, in dem sich die Benutzerkonten in AD befinden, für die Sie die Authentifizierung zulassen möchten. Ex. OU=ShareFile,DC=domain,DC=com.
    • Fügen Sie im Feld Administrator Bind DN ein Domänenkonto hinzu (verwenden Sie zur einfacheren Konfiguration eine E-Mail-Adresse), das über Rechte zum Durchsuchen der AD-Struktur verfügt. Ein Dienstkonto ist ratsam, damit keine Probleme mit der Anmeldung auftreten, wenn das konfigurierte Konto ein abgelaufenes Kennwort hat.
    • Markieren Sie das Kästchen für Bind DN Password und geben Sie das Kennwort zweimal ein.
    • Geben Sie unter Andere Einstellungen sAMAccountName als Attribut für den Serveranmeldenamen ein.
    • Geben Sie im Feld Gruppenattribut memberof ein.
    • Geben Sie im Feld Unterattribut CN ein.
    • Klicken Sie auf Mehr.
    • Scrollen Sie nach unten und geben Sie in den Attributfeldern, Attribut 1, E-Mail ein.

    Gateway-Bild 4

    • Klicken Sie auf die Schaltfläche Erstellen, um die LDAP-Servereinstellungen abzuschließen.
    • Wählen Sie für die LDAP-Richtlinienkonfiguration den neu erstellten LDAP-Server aus dem Servermenü aus und geben Sie im Feld Ausdruck den Wert true ein.

    Gateway-Bild 5

Klicken Sie auf Erstellen, um die LDAP-Richtlinie und die Serverkonfiguration abzuschließen.

SP-Zertifikat in Citrix Gateway importieren

  1. Melden Sie sich bei https://subdomain.sharefile.com mit einem Benutzerkonto an, das über Administratorrechte verfügt.
  2. Wählen Sie links oder in der Mitte der Seite den Link Einstellungen > Admin-Einstellungen. Wählen Sie Sicherheit > Anmelde- und Sicherheitsrichtlinie und scrollen Sie dann nach unten zu Single Sign-On-Konfiguration.
  3. Klicken Sie unter Optionale Einstellungen neben SP-initiiertem SSO-Zertifikat, HTTP-Post (2048-Bit-Zertifikat) auf Anzeigen.
  4. Kopieren Sie den gesamten Zertifikats-Hash in Ihre Zwischenablage und fügen Sie ihn in einen Texteditor wie Notepad ein.
  5. Beachten Sie die Formatierung und entfernen Sie alle zusätzlichen Leerzeichen oder Zeilenumbrüche am Ende der Datei. Speichern Sie dann die Textdatei unter dem Namen ShareFile_SAML.cer.
  6. Navigieren Sie zum Citrix Gateway-Konfigurationsprogramm.
  7. Wählen Sie Traffic Management > SSL > Zertifikate > CA-Zertifikate aus.
  8. Klicken Sie auf Installieren.
  9. Geben Sie im Fenster Zertifikat installieren einen Namen für das Zertifikatsschlüsselpaar ein.
  10. Wählen Sie im Abschnitt Name der Zertifikatsdatei das Menü neben Durchsuchen und dann Lokal aus. Navigieren Sie zu dem Speicherort, an dem Sie die Datei ShareFile_SAML.cer gespeichert haben.
  11. Wählen Sie die Datei aus und wählen Sie Installieren.

So konfigurieren Sie die SAML-IdP-Richtlinie und das SAML-Profil

Damit Ihre Benutzer das SAML-Token erhalten, um sich bei Citrix Content Collaboration anzumelden, müssen Sie eine SAML-IdP-Richtlinie und ein SAML-Profil konfigurieren, die an den virtuellen Citrix ADC AAA-Server gebunden sind, für den die Benutzer ihre Anmeldeinformationen angeben.

Die folgenden Schritte beschreiben diesen Prozess:

  1. Öffnen Sie das Citrix Gateway-Konfigurationsprogramm und navigieren Sie zu Security > AAA — Application Traffic > Policies > Authentication > Advanced Policies > SAML IDP.
  2. Wählen Sie auf der Registerkarte Richtlinien die Schaltfläche Hinzufügen aus.
  3. Geben Sie im Fenster SAML-IDP-Richtlinie für die Authentifizierung erstellen einen Namen für Ihre Richtlinie ein, z. B. ShareFile_SSO_Policy.
  4. Wählen Sie rechts neben dem Aktionsfeld das Pluszeichen aus, um eine neue Aktion/ein neues Profil hinzuzufügen.
  5. Geben Sie einen Namen wie ShareFile_SSO_Profile ein und entfernen Sie das Kontrollkästchen für Metadaten importieren. Wenn Sie eine ältere Version von NetScaler ausführen, ist dieses Kontrollkästchen möglicherweise nicht vorhanden.
  6. Geben Sie im Feld Assertion Consumer Service URL die URL Ihres Citrix Content Collaboration-Kontos gefolgt von /saml/acs ein: Ex. https://subdomain.sharefile.com/saml/acs
  7. Suchen Sie im Feld IDP-Zertifikatsname nach dem auf Citrix Gateway installierten Zertifikat, das zur Sicherung Ihres virtuellen Citrix ADC AAA-Authentifizierungsservers verwendet wird.
  8. Wählen Sie im Feld SP-Zertifikatsname das Menü aus und suchen Sie nach dem SP-Zertifikat, das Sie zuvor importiert und als CA-Zertifikat hinzugefügt haben.
  9. Geben Sie für Sign Assertion die OptionASSERTIONein.
  10. Löschen Sie Kennwort senden.
  11. Geben Sie im Feld Ausstellername die URL für Ihren Citrix ADC AAA-Verkehr ein. Beispiel: https://aaavip.mycompany.com.
  12. Lassen Sie die Service Provider-ID leer.
  13. Deaktivieren Sie Unsignierte Anforderungen ablehnen.
  14. Signaturalgorithmus, RSA-SHA256
  15. Digest-Methode, SHA256.
  16. Wählen Sie für SAML-Bindung POSTaus.
  17. Klicken Sie auf Mehr.
  18. Geben Sie im Feld Zielgruppe die URL für Ihr Citrix Content Collaboration-Konto ein.
  19. Geben Sie für Skew Time den Wert 5 ein. Dies ermöglicht einen Zeitunterschied von 5 Minuten zwischen dem Client, Citrix Gateway und Citrix Content Collaboration.
  20. Wählen Sie für Name-ID-Format die Option Transient aus.
  21. Geben Sie in das Feld Name-ID-Ausdruck Folgendes ein: aaa.user.attribute(1). Wenn Sie NetScaler 11.x verwenden, geben Sie http.req.user.attribute(1) ein.

    Gateway-Bild 6

  22. Klicken Sie auf Erstellen, um die SAML-IdP-Profilkonfiguration abzuschließen und zum Fenster zur Erstellung der SAML-IdP-Richtlinie zurückzukehren.
  23. Fügen Sie im Feld Ausdruck den folgenden Ausdruck hinzu: HTTP.REQ.URL.CONTAINS(“saml”)
  24. Klicken Sie auf Erstellen, um die SAML-IdP-Konfiguration abzuschließen.

    Gateway-Bild 7

So konfigurieren Sie Ihren virtuellen Citrix ADC AAA-Server

Wenn ein Mitarbeiter versucht, sich anzumelden, damit er seine Unternehmensanmeldeinformationen verwenden kann, wird er zu einem Citrix Gateway Citrix ADC AAA Virtual Server umgeleitet. Dieser virtuelle Server überwacht Port 443, für den zusätzlich zur externen und internen DNS-Auflösung für die auf Citrix Gateway gehostete IP-Adresse ein SSL-Zertifikat erforderlich ist. Die folgenden Schritte setzen voraus, dass diese bereits vorhanden sind. Gehen Sie davon aus, dass die DNS-Namensauflösung bereits vorhanden ist und dass das SSL-Zertifikat bereits auf Ihrem Citrix Gateway-Gerät installiert ist.

  1. Navigieren Sie im Configuration Utility zu Security > AAA — Application Traffic > Virtual Servers und wählen Sie die Schaltfläche Hinzufügen .
  2. Geben Sie im Fenster Virtueller Authentifizierungsserver einen Namen und eine IP-Adresse ein.
  3. Scrollen Sie nach unten und vergewissern Sie sich, dass die Kontrollkästchen Authentifizierung und Status aktiviert sind

    Gateway-Bild 8

  4. Klicken Sie auf Weiter.
  5. Klicken Sie im Abschnitt Zertifikate auf Kein Serverzertifikat.
  6. Klicken Sie im Fenster Server Cert Key auf Bind.
  7. Wählen Sie unter SSL-ZertifikateIhr Citrix ADC AAA-SSL-Zertifikat aus und wählen Sie Einfügen. Hinweis: Dies ist NICHT das ShareFile SP-Zertifikat
  8. Klicken Sie auf Bindenund dann auf Weiter.
  9. Klicken Sie in der Option Erweiterte Authentifizierungsrichtlinien auf Keine Authentifizierungsrichtlinie.
  10. Wählen Sie auf der Seite Richtlinienbindung die Option Richtlinie und anschließend **ShareFile_LDAP_SSO_Policy** aus, die zuvor erstellt wurde.
  11. Klicken Sie auf Auswählenund dann auf Binden (wobei Sie die Standardeinstellungen beibehalten), um zum Bildschirm für den virtuellen Authentifizierungsserver zurückzukehren.
  12. Klicken Sie unter Erweiterte Authentifizierungsrichtlinienauf Keine SAML-IDP-Richtlinie.
  13. Wählen Sie unter RichtlinienIhre SHAREFILE_SSO_POLICY aus. Klicken Sie auf Select.
  14. Klicken Sie auf der Seite „ Richtlinienbindung “ (Standardeinstellungen beibehalten) auf Bindenund dann auf Schließen.
  15. Klicken Sie auf Weiter und Fertig.

Überprüfen der Konfiguration

  1. Gehen Sie zu https://subdomain.sharefile.com/saml/login. Sie werden jetzt zum Citrix Gateway-Anmeldeformular weitergeleitet.
  2. Melden Sie sich mit Ihren Benutzeranmeldeinformationen an, die für die von Ihnen konfigurierte Umgebung gültig sind. Ihre Ordner werden subdomain.sharefile.com jetzt angezeigt.
Citrix Content Collaboration Single Sign-On-Konfigurationshandbuch für NetScaler Gateway