Citrix Content Collaboration Single Sign-On-Konfigurationshandbuch für Citrix Gateway

Sie können Citrix Gateway ADC mit der Citrix ADC AAA-Funktion so konfigurieren, dass sie als SAML-Identitätsanbieter fungiert.

In dieser Konfiguration wird ein Benutzer, der sich mit einem Webbrowser oder anderen Citrix Files-Clients bei Citrix Content Collaboration anmeldet, an einen virtuellen Server auf Citrix Gateway umgeleitet, wobei eine SAML-IP-Richtlinie für die Benutzerauthentifizierung aktiviert ist. Nach erfolgreicher Authentifizierung mit Citrix Gateway erhält der Benutzer ein SAML-Token, das gültig ist, sich bei seinem Citrix Content Collaboration Konto anzumelden.

Die Konfiguration ist erforderlich, damit das SP-Zertifikat erstellt werden kann, damit es auf Citrix Gateway importiert und an den virtuellen Citrix ADC AAA-Server gebunden werden kann. Für die Zwecke dieses Dokuments wird davon ausgegangen, dass Sie bereits die entsprechenden externen und internen DNS-Einträge erstellt haben, um Authentifizierungsanforderungen weiterzuleiten, die Citrix Gateway überwacht, und dass bereits ein SSL-Zertifikat für die SSL/HTTPS-Kommunikation auf Citrix Gateway erstellt und installiert wurde.

Konfigurieren der Citrix Content Collaboration

  1. Melden Sie sich bei https://subdomain.sharefile.com mit einem Benutzerkonto an, das über Administratorrechte verfügt.
  2. Wählen Sie Einstellungen > Admin-Einstellungen.
  3. Wählen Sie Sicherheit > Anmelde- und Sicherheitsrichtlinie, scrollen Sie nach unten und wählen Sie die Option Single Sign-On-Konfiguration.
  4. Aktivieren Sie unter Grundeinstellungendie Option SAML aktivieren.
  5. Geben Sie im Feld ShareFile Aussteller/Entity-ID Folgendes ein: https://subdomain.sharefile.com/saml/acs
  6. Geben Sie im Feld Anmelde-URL die URL ein, zu der Benutzer bei Verwendung von SAML umgeleitet werden. Beispiel:https://aaavip.mycompany.com/saml/login
  7. Geben Sie im Feld Abmelde-URL die Abmelde-URL ein, die die Benutzersitzung abläuft, wenn Sie die Abmeldeoption in der Web-Benutzeroberfläche auswählen. Beispiel:https://aaavip.mycompany.com/cgi/tmlogout
  8. Für das X.509-Zertifikatmüssen Sie das SSL-Zertifikat von Ihrem Citrix Gateway Gerät exportieren, das für den Citrix ADC AAA-Datenverkehr antwortet. Im obigen Beispiel wird darauf verwiesen, dass der folgende FQDN zugewiesen wird: aaavip.mycompany.com.

Führen Sie die folgenden Schritte aus, um dieses Zertifikat zu exportieren.

  1. Melden Sie sich mit dem Configuration Utility bei Ihrem Citrix Gateway -Gerät an.
  2. Wählen Sie Verkehrsverwaltung > SSLaus.
  3. Wählen Sie auf der rechten Seite unter Extrasdie Option Zertifikate verwalten/Schlüssel/CSRsaus.

    Gateway Bild 1

  4. Navigieren Sie im Fenster Zertifikate verwalten zu dem Zertifikat, das Sie für den virtuellen Citrix ADC AAA-Server verwenden. Wählen Sie das Zertifikat aus und klicken Sie auf die Schaltfläche Herunterladen. Speichern Sie das Zertifikat an einem Speicherort Ihrer Wahl.
  5. Klicken Sie vom heruntergeladenen Speicherort mit der rechten Maustaste auf das Zertifikat und öffnen Sie es mit einem Texteditor wie Editor.
  6. Kopieren Sie den gesamten Inhalt des Zertifikats in die Zwischenablage.
  7. Navigieren Sie mit dem Webbrowser zurück zu Ihrem Citrix Content Collaboration Konto.
  8. Wählen Sie für das X.509-ZertifikatÄndernaus. Fügen Sie den Inhalt des Zertifikats, das Sie in die Zwischenablage kopiert haben, in das Fenster ein.

    Gateway Bild 2

  9. Wählen Sie Speichern.

  10. Aktivieren Sie unter Optionale Einstellungendie Option SSO-Anmeldung erforderlich auf yes, wenn Sie möchten, dass alle Mitarbeiterbenutzer ihre AD-Anmeldeinformationen verwenden müssen, um sich anzumelden.
  11. Wählen Sie die Liste neben SP-initiiertes SSO-Zertifikataus. Wählen Sie in der Liste HTTP-Post (2048-Bit-Zertifikat)aus.
  12. Aktivieren Sie Ja, um die Regenerierung des SSO-Zertifikats zu erzwingen.
  13. Aktivieren Sie Ja, um Webauthentifizierung zu aktivieren.
  14. Wählen Sie unter SP-initiierter Authentifizierungskontextdie Option Nicht angegeben.

    Gateway Bild 3

  15. Wählen Sie unten auf dem Bildschirm die Schaltfläche Speichern aus.

Konfigurieren von Citrix Gateway

Die folgende Konfiguration ist für die Unterstützung als SAML-Identitätsanbieter erforderlich:

  • LDAP-Authentifizierungsrichtlinie und Server für die Domänenauthentifizierung
  • SSL-Zertifikat mit externem bzw. internem DNS entsprechend dem vom Zertifikat vorgestellten FQDN konfiguriert (Wildcard-Zertifikate werden unterstützt)
  • ShareFile SP-Zertifikat
  • SAML-IdP-Richtlinie und -Profil
  • Virtueller Citrix ADC AAA-Server

Für die Zwecke dieses Materials decken wir die LDAP-Konfiguration, den Import des ShareFile SP-Zertifikats auf Citrix Gateway, die SAML-IDP-Einstellungen und die Citrix ADC AAA Virtual Server-Konfiguration ab. Die SSL-Zertifikat- und DNS-Konfigurationen müssen vor dem Setup vorhanden sein.

So konfigurieren Sie die Domänenauthentifizierung

Damit Domänenbenutzer sich mit ihrer Unternehmens-E-Mail-Adresse anmelden können, müssen Sie einen LDAP-Authentifizierungsserver und eine Richtlinie auf Citrix Gateway konfigurieren und ihn an Ihre Citrix ADC AAA-VIP binden. Die Verwendung einer vorhandenen LDAP-Konfiguration wird ebenfalls unterstützt.

  1. Wählen Sie im Konfigurationsdienstprogramm im linken Navigationsbereich Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Grundrichtlinien > Richtlinie > LDAP aus.
  2. Um eine LDAP-Richtlinie zu erstellen, klicken Sie auf der Registerkarte Richtlinien auf Hinzufügen… und geben Sie dann ShareFile_LDAP_SSO_Policy als Namen ein. Wählen Sie unter Aktionstypdie Option LDAPaus.
  3. Klicken Sie im Feld Aktion auf +, um einen Server hinzuzufügen. Das Fenster Authentifizierungs-LDAP-Server erstellen wird angezeigt.
    • Geben Sie im Feld NameShareFile_LDAP_SSO_Serverein.
    • Wählen Sie das Aufzählungszeichen für Server-IPaus. Geben Sie die IP-Adresse eines Ihrer AD-Domänencontroller ein. Sie können auch auf eine virtuelle Server-IP verweisen, um Redundanz zu erhalten, wenn Sie Lastenausgleich DCs durchführen.
    • Geben Sie den Port an, den der NSIP für die Kommunikation mit dem Domänencontroller verwendet. Verwenden Sie 389 für LDAP oder 636 für Secure LDAP.
    • Geben Sie unter Verbindungseinstellungenden Basis-DN ein, unter dem sich die Benutzerkonten in AD befinden, für die Sie die Authentifizierung zulassen möchten. Ex. OU=ShareFile,DC=domain,DC=com.
    • Fügen Sie im Feld Administratorbind DN ein Domänenkonto hinzu (unter Verwendung einer E-Mail-Adresse zur Vereinfachung der Konfiguration), das über die Rechte zum Durchsuchen der AD-Struktur verfügt. Ein Dienstkonto ist so ratsam, dass es keine Probleme mit Anmeldungen gibt, wenn das konfigurierte Konto einen Kennwortabfall hat.
    • Aktivieren Sie das Kontrollkästchen für DN Password binden, und geben Sie das Kennwort zweimal ein.
    • Geben Sie unter Andere Einstellungen die Option sAMAccountName als Serveranmeldungsnamen-Attribut ein.
    • Geben Sie im Feld Gruppenattribut die Option memberof ein.
    • Geben Sie im Feld Unterattribut die Option CN ein.
    • Klicken Sie auf Mehr.
    • Scrollen Sie nach unten , und geben Sie in den Attributfeldern Attribut 1 die Option mail ein.

    Gateway Bild 4

    • Klicken Sie auf die Schaltfläche Erstellen, um die LDAP-Servereinstellungen abzuschließen.
    • Wählen Sie für die LDAP-Richtlinienkonfiguration den neu erstellten LDAP-Server aus dem Servermenü aus, und geben Sie im Feld Ausdruck den Wert true ein.

    Gateway Bild 5

Klicken Sie auf Erstellen, um die LDAP-Richtlinie und die Serverkonfiguration abzuschließen.

So importieren Sie das SP-Zertifikat auf Citrix Gateway

  1. Melden Sie sich bei https://subdomain.sharefile.com mit einem Benutzerkonto an, das über Administratorrechte verfügt.
  2. Wählen Sie den Link Einstellungen > Admin-Einstellungen neben der links/mittigen Seite. Wählen Sie Sicherheit > Anmelde- und Sicherheitsrichtlinie, und scrollen Sie dann nach unten zu Single Sign-On-Konfiguration.
  3. Klicken Sie unter Optionale Einstellungenneben SP-initiiertes SSO-Zertifikatauf HTTP-Post (2048-Bit-Zertifikat) auf Anzeigen.
  4. Kopieren Sie den gesamten Zertifikatshash in die Zwischenablage und fügen Sie ihn in einen Textleser wie Editor ein.
  5. Beachten Sie die Formatierung und entfernen Sie alle zusätzlichen Leerzeichen oder Wagenrückgaben am Ende der Datei. Speichern Sie dann die Textdatei als ShareFile_SAML.cer.
  6. Navigieren Sie zum Citrix Gateway Konfigurationsprogramm.
  7. Wählen Sie Datenverkehrsverwaltung > SSL > Zertifikate > Zertifizierungsstellenzertifikate.
  8. Klicken Sie auf Installieren.
  9. Geben Sie im Fenster Zertifikat installieren einen Zertifikatschlüsselpaarnamenein.
  10. Wählen Sie im Abschnitt Zertifikatdateiname das Menü neben Durchsuchen aus, und wählen Sie Lokalaus. Navigieren Sie zu dem Speicherort, an dem Sie die Datei ShareFile_SAML.cer gespeichert haben.
  11. Sobald die Datei ausgewählt ist, wählen Sie Installieren.

So konfigurieren Sie die SAML-IdP-Richtlinie und das SAML-Profil

Damit Ihre Benutzer das SAML-Token erhalten, um sich bei Citrix Content Collaboration anzumelden, müssen Sie eine SAML-IdP-Richtlinie und ein SAML-Profil konfigurieren, die an den virtuellen Citrix ADC AAA-Server gebunden ist, für den die Benutzer ihre Anmeldeinformationen bereitstellen.

In den folgenden Schritten wird dieser Vorgang beschrieben:

  1. Öffnen Sie das Citrix Gateway Konfigurationsprogramm und navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > SAML-IDP.
  2. Wählen Sie auf der Registerkarte Richtlinien die Schaltfläche Hinzufügen aus.
  3. Geben Sie im Fenster Authentifizierungs-SAML-IDP-Richtlinie erstellen einen Namen für Ihre Richtlinie ein, z. B. ShareFile_SSO_Policy.
  4. Wählen Sie rechts neben dem Feld Aktion das Pluszeichen aus, um eine neue Aktion/Profil hinzuzufügen.
  5. Geben Sie einen Namen wie ShareFile_SSO_Profile ein, und entfernen Sie das Kontrollkästchen Metadaten importieren. Wenn Sie eine ältere Version von NetScaler ausführen, ist dieses Kontrollkästchen möglicherweise nicht vorhanden.
  6. Geben Sie im Feld Assertion Consumer Service URL die URL Ihres Citrix Content Collaboration Kontos gefolgt von /saml/acs ein: Ex. https://subdomain.sharefile.com/saml/acs
  7. Navigieren Sie im Feld IDP-Zertifikatname zu dem Zertifikat, das auf Citrix Gateway installiert ist, das zum Sichern des virtuellen Citrix ADC AAA-Authentifizierungsservers verwendet wird.
  8. Wählen Sie im Feld Name des SP-Zertifikats das Menü aus, und navigieren Sie zu dem zuvor importierten und als Zertifizierungsstellenzertifikat hinzugefügten SP-Zertifikat.
  9. Lassen Sie ASSERTION für SignAssertion.
  10. Deaktivieren Sie Kennwort senden.
  11. Geben Sie im Feld Name des Ausstellers die URL für den Citrix ADC AAA-Datenverkehr ein. Beispiel — https://aaavip.mycompany.com.
  12. Lassen Sie die Dienstanbieter-ID leer.
  13. Deaktivieren Sie Nicht signierte Anforderungen ablehnen.
  14. Signaturalgorithmus, RSA-SHA256
  15. Digest-Methode, SHA256.
  16. Wählen Sie für SAML-BindungPOSTaus.
  17. Klicken Sie auf Mehr.
  18. Geben Sie im Feld Zielgruppe die URL für Ihr Citrix Content Collaboration Konto an.
  19. Geben Sie für Skew Timeden Wert 5ein. Dies ermöglicht einen Zeitunterschied von 5 Minuten zwischen Client, Citrix Gateway und Citrix Content Collaboration.
  20. Wählen Sie für Namens-ID-Formatdie Option Transientaus.
  21. Geben Sie im Feld Name-ID-Ausdruck Folgendes ein: aaa.user.attribute(1) Wenn Sie NetScaler 11.x verwenden, geben Sie ein http.req.user.attribute(1).

    Gateway Bild 6

  22. Klicken Sie auf Erstellen, um die Konfiguration des SAML-IdP-Profils abzuschließen und zum Fenster zur Erstellung der SAML-IdP-Richtlinie zurückzukehren.
  23. Fügen Sie im Feld Ausdruck den folgenden Ausdruck hinzu: HTTP.REQ.URL.CONTAINS(“saml”)
  24. Klicken Sie auf Erstellen, um die SAML-IdP-Konfiguration abzuschließen.

    Gateway Bild 7

So konfigurieren Sie den virtuellen Citrix ADC AAA-Server

Wenn ein Mitarbeiter versucht, sich anzumelden, damit er seine Firmenanmeldeinformationen verwenden kann, wird er an einen Citrix Gateway Citrix ADC AAA Virtual Server umgeleitet. Dieser virtuelle Server überwacht Port 443, für den ein SSL-Zertifikat erforderlich ist, zusätzlich zur externen und internen DNS-Auflösung auf die IP-Adresse, die auf Citrix Gateway gehostet wird. In den folgenden Schritten müssen diese vorliegen, vorausgesetzt, dass die DNS-Namensauflösung bereits vorhanden ist und das SSL-Zertifikat bereits auf dem Citrix Gateway Gerät installiert ist.

  1. Navigieren Sie im Konfigurationsprogramm zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server, und wählen Sie die Schaltfläche Hinzufügen.
  2. Geben Sie im Fenster Virtueller Authentifizierungsserver einen Namen und eine IP-Adresse ein.
  3. Scrollen Sie nach unten, und stellen Sie sicher, dass die Kontrollkästchen Authentifizierung und Status aktiviert sind

    Gateway Bild 8

  4. Klicken Sie auf Weiter.
  5. Klicken Sie im Abschnitt Zertifikate auf Kein Serverzertifikat.
  6. Klicken Sie im Fenster Serverzertifikatschlüssel auf Binden.
  7. Wählen Sie unter SSL-ZertifikateIhr Citrix ADC AAA SSL-Zertifikat und dann Einfügenaus. Hinweis: Dies ist NICHT das ShareFile SP-Zertifikat
  8. Klicken Sie auf Bindenund dann auf Weiter.
  9. Klicken Sie in der Option Erweiterte Authentifizierungsrichtlinien auf Keine Authentifizierungsrichtlinie.
  10. Wählen Sie auf der Seite Richtlinienbindung die Option Richtlinie, und wählen Sie ShareFile_LDAP_SSO_Policy, die zuvor erstellt wurde.
  11. Klicken Sie auf Auswählenund dann auf Binden (wobei die Standardwerte belassen werden), um zum Bildschirm Virtueller Authentifizierungsserver zurückzukehren.
  12. Klicken Sie unter Erweiterte Authentifizierungsrichtlinienauf Keine SAML-IDP-Richtlinie.
  13. Wählen Sie unter RichtlinienIhre SHAREFILE_SSO_POLICY aus. Klicken Sie auf Select.
  14. Klicken Sie auf der Seite Richtlinienbindung (Standardwerte beibehalten) auf Bindenund dann auf Schließen.
  15. Klicken Sie auf Weiter und Fertig .

Überprüfen der Konfiguration

  1. Navigieren Sie zu https://subdomain.sharefile.com/saml/login. Sie werden jetzt zum Citrix Gateway -Anmeldeformular weitergeleitet.
  2. Melden Sie sich mit Ihren Benutzeranmeldeinformationen an, die für die von Ihnen konfigurierte Umgebung gültig sind. Ihre Ordner werden subdomain.sharefile.com jetzt angezeigt.
Citrix Content Collaboration Single Sign-On-Konfigurationshandbuch für Citrix Gateway