Citrix Content Collaboration Single Sign-On-Konfigurationshandbuch für Dual-Identitätsanbieter

Dieses Dokument hilft bei der Konfiguration der Verwendung von Citrix Endpoint Management und Active Directory Federated Services (ADFS) als Identity Provider (IdP) für ein einzelnes Citrix Content Collaboration Konto. Die resultierende Konfiguration ermöglicht es, dass das Tokensignaturzertifikat auf dem ADFS-Server mit dem SAML-Zertifikat auf dem Citrix Endpoint Management -Server identisch ist. Dies stellt ein einzelnes Citrix Content Collaboration Konto zur Verfügung, um:

  • Verwenden Sie Citrix Endpoint Management als IdP für MDX-umhüllte Apps. Bereitstellung einer echten Single Sign-On (SSO) -Erfahrung von einem mobilen Gerät mithilfe von Citrix Files MDX-Anwendungen.
  • Verwenden Sie ADFS als SAML-IdP für SSO für Webapps.

Voraussetzungen

  • Citrix Endpoint Management 10.x-Server mit voll funktionsfähigem Single Sign-On für MDX, der für das Citrix Content Collaboration Konto konfiguriert ist.
  • ADFS wird innerhalb der Infrastruktur installiert und konfiguriert.
  • Zugriff auf ein Administratorkonto in Citrix Content Collaboration mit der Möglichkeit, Single Sign-On zu konfigurieren.

Vorbereiten des ADFS-Token Signaturzertifikats

Beim Konfigurieren von ADFS für SSO für Citrix Content Collaboration muss das ADFS-Tokensignaturzertifikat ohne den privaten Schlüssel in die Citrix Content Collaboration Systemsteuerung hochgeladen werden. ADFS generiert ein selbstsigniertes Zertifikat, das für die Tokensignierung und Tokenentschlüsselung mit einem Ablaufdatum von 1 Jahr verwendet werden soll. Das selbstsignierte Zertifikat enthält jedoch einen privaten Schlüssel.

Bei der einjährigen Marke wird das selbstsignierte Zertifikat 15 Tage vor Ablauf mit dem automatischen Zertifikatsrollover erneuert und wird zum primären Zertifikat. Dies führt dazu, dass alle vorhandenen SSO-Vertrauensbeziehungen fehlschlagen. Für diese Konfiguration wird die SAML-Zertifizierung von der Citrix Endpoint Management Konsole mit einem Ablaufdatum von 3 Jahren exportiert. Der Gültigkeitszeitraum des Zertifikats ist anpassbar und verringert die Notwendigkeit, das Tokensignaturzertifikat bei der 1-Jahres-Marke zu erneuern.

SAML-Zertifikat generieren

  1. Melden Sie sich bei der Citrix Gateway GUI an.
  2. Navigieren Sie zu Traffic Management > SSL.
  3. Wählen Sie im Abschnitt Erste Schritte die Option Root-CA-Zertifikat-Assistent aus.

    Dual-IdP 1

Sie werden nun aufgefordert, den privaten Schlüssel zu erstellen.

  1. Geben Sie im Feld Schlüsseldateiname einen Namen für Ihren Schlüssel ein.
  2. Schlüsselgröße, 2048.
  3. Öffentlicher Exponentenwert, 3.
  4. Klicken Sie auf Erstellen , um den Schlüssel zu erstellen.

    Dual-IdP 2

Der nächste Schritt besteht darin, die Zertifikatsignieranforderung (Certificate Signing Request, CSR) zu erstellen.

  1. Geben Sie im Feld Anforderungsdateiname einen Namen für die CSR ein.
  2. Der Schlüsseldateiname und das PEM-Format sind bereits ausgefüllt.
  3. Setzen Sie Digest-Methode auf SHA256 .
  4. Geben Sie unter „Distinguished Name Fields“ Informationen zu Ihrer Organisation an.
  5. In Attributfeldernist kein Challenge Password erforderlich. Der Firmenname kann jedoch hinzugefügt werden.
  6. Klicken Sie auf Erstellen , um die CSR-Anforderung abzuschließen.

    Dual-IdP 3 Dual-IdP 4

Der letzte Schritt besteht darin, das SAML-Zertifikat zu erstellen.

  1. Geben Sie im Feld Zertifikatdateiname den Namen Ihres Zertifikats ein.
  2. Das Zertifikatformat ist bereits mit PEM gefüllt.
  3. Der Name der Zertifikatanforderungsdatei spiegelt die CSR wider, die Sie im vorherigen Schritt erstellt haben.
  4. Das Schlüsselformat ist standardmäßig PEM .
  5. Geben Sie den Gültigkeitszeitraum (in Tagen) an, für den das Zertifikat gültig sein soll. In diesem Beispiel ist das erstellte Zertifikat ein 3-Jahres-Zertifikat, also geben Sie 1095ein.
  6. Der Schlüsseldateiname wird ab dem ersten Schritt ausgefüllt.
  7. Klicken Sie auf Erstellen , um das Zertifikat zu erstellen.

    Dual-IdP 5

  8. Nach dem Erstellen des Zertifikats können Sie den Assistenten beenden, da Sie das Zertifikat nicht auf Citrix Gateway installieren müssen.
  9. Klicken Sie auf Abbrechen , und klicken Sie auf JA , um zu bestätigen, dass Sie zum Hauptbildschirm der SSL-GUI zurückkehren möchten.

SAML-Zertifikat exportieren

Sie müssen nun das neu erstellte Zertifikat und den Schlüssel von Citrix Gateway für die Verwendung auf dem Citrix Endpoint Management -Server und auf ADFS exportieren. Für Citrix Endpoint Management benötigen Sie die Datei saml_dualidp.cer und saml_dualidp.key , die in den vorherigen Schritten erstellt wurden, da Zertifikat und Schlüssel bereits ordnungsgemäß für Citrix Endpoint Management formatiert sind. Führen Sie die Schritte aus, um die Dateien an einem Speicherort zu speichern, den wir dann verwenden können, um sie auf Ihren Citrix Endpoint Management -Server hochzuladen, wenn das integrierte SAML-Zertifikat ersetzt wird.

  1. Klicken Sie in Citrix Gateway unter Traffic Management > SSLunter Toolsauf Zertifikate/Schlüssel/CSRs verwalten.
  2. Klicken Sie auf der Seite Zertifikate verwalten auf Änderungsdatum , wodurch die neuesten Dateien an den Anfang gebracht werden. Sie sehen nun die 3 neu erstellten Dateien aus den vorherigen Schritten. Wenn Sie sie nicht sehen, können Sie mehr als 25 Artikel pro Seite anzeigen.

    Dual-IdP 6

  3. Wählen Sie die Datei saml_dualidp.cer aus und wählen Sie Herunterladen . Speichern Sie an einem Ort Ihrer Wahl.
  4. Folgen Sie dem vorherigen Schritt für die Datei saml_dualidp.key .
  5. Klicken Sie auf Zurück , um zur vorherigen Seite zurückzukehren.

Exportieren Sie anschließend das Zertifikat und den Schlüssel in einem vom ADFS-Server verständlichen Dateiformat.

  1. Wählen Sie im selben Abschnitt Tools wie zuvor die Option PKCS #12 exportieren aus.
  2. Geben Sie im Feld Datei auswählensaml_dualidp.pfx ein.
  3. Wählen Sie im Feld Zertifikatdateiname die Option Datei auswählen, Änderungsdatum , und wählen Sie die Datei saml_dualidp.cer aus. Klicken Sie auf Öffnen.
  4. Wählen Sie im Feld Schlüsseldateiname die Option Datei auswählen, Datum geändert , und wählen Sie die Datei saml_dualidp.key aus. Klicken Sie auf Öffnen.
  5. Geben Sie ein Exportkennwortan.
  6. Geben Sie die PEM-Passphrase an.
  7. Klicken Sie auf OK , um den Export abzuschließen.

Jetzt müssen Sie die PFX-Datei von Citrix Gateway an einen Netzwerkspeicherort kopieren.

  1. Wählen Sie erneut im Menü Extras die Option Zertifikate verwalten/Schlüssel/ CSRs .
  2. Wählen Sie die neu erstellte Datei saml_dualidp.pfx aus und wählen Sie Herunterladen .
  3. Speichern Sie die Datei an einem lokal zugänglichen Ort.
  4. Schließen Sie die Fenster in Citrix Gateway.

Der SAML-Zertifikaterstellungsprozess ist abgeschlossen.

Neu erstelltes Tokensignaturzertifikat in ADFS hochladen

Der erste Schritt besteht darin, Zertifikatrollover auf dem ADFS-Server zu deaktivieren.

  1. Erstellen Sie eine Remoteverbindung zu Ihrem ADFS-Server.
  2. Standardmäßig ermöglicht ADFS AutoCertificateRollover, das selbstsignierte Zertifikat mit der 1-Jahres-Marke zu erneuern. Diese Funktion muss deaktiviert sein, um das neu erstellte Tokensignaturzertifikat hochzuladen.
  3. Führen Sie PowerShell als Administrator auf dem ADFS-Server aus.
  4. Typ:Get-ADFSProperties.
  5. So deaktivieren Sie AutoCertificateRollover:Set-ADFSProperties -AutoCertificateRollover $false

Sie müssen dann die zuvor exportierte Datei saml_dualidp.pfx auf den ADFS-Server importieren, damit wir sie als Tokensignaturzertifikat verwenden können.

  1. Klicken Sie auf dem ADFS-Server mit der rechten Maustaste,S-Tart > Klicken Sie auf Ausführen > Geben Sie mmcein, und wählen Sie Enter aus, um ein Snap-In zu öffnen.
  2. Klicken Sie auf Datei > Snap-In hinzufügen/entfernen.
  3. Wählen Sie im Abschnitt Verfügbare Snap-Ins die Option Zertifikateaus, und klicken Sie dann auf Hinzufügen.
  4. Wählen Sie Computerkontoaus, klicken Sie auf Weiter.
  5. Wählen Sie Lokaler Computer aus, und klicken Sie dann auf OK .
  6. Erweitern Sie unter Konsolenstamm Zertifikate > Persönlich > Zertifikate.
  7. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate, und wählen Sie Alle Aufgaben > Importieren.
  8. Klicken Sie im Begrüßungsbildschirm auf Weiter.
  9. Navigieren Sie zu der Datei saml_dualidp.pfx , die Sie zuvor gespeichert haben, und klicken Sie auf Öffnen .
  10. Wählen Sie Weiter, geben Sie das Kennwort für den privaten Schlüssel ein, und wählen Sie erneut Weiter.
  11. Wählen Sie Alle Zertifikate im folgenden Speicher speichern, Persönlich, und klicken Sie auf Weiter .
  12. Klicken Sie auf Fertig stellen , um den Import abzuschließen und das MMC-Snap-In zu schließen.

Jetzt müssen Sie das Tokensignaturzertifikat in ADFS ändern.

  1. Wählen Sie auf dem ADFS-Server im Server-Manager-Dashboard die Option Extras > ADFS-Verwaltungaus.
  2. Erweitern Sie auf der linken Seite der ADFS-Verwaltungskonsole Service > Zertifikate.
  3. Wählen Sie im Menü Aktionen die Option Tokensignaturzertifikat hinzufügen aus, und wählen Sie das neu importierte Tokensignaturzertifikat aus.
  4. Das neu hinzugefügte Tokensignaturzertifikat wird als sekundäres Zertifikat hinzugefügt. Sie müssen es zum primären machen.
  5. Erweitern Sie Dienst , und wählen Sie Zertifikate aus.
  6. Klicken Sie auf das sekundäre Tokensignaturzertifikat.
  7. Wählen Sie im Aktionsbereich auf der rechten Seite die Option Als Primär festlegen aus. Klicken Sie an der Bestätigungsaufforderung auf Ja .

Citrix Endpoint Management Konfiguration

Um dasselbe Zertifikat in Citrix Endpoint Management zu verwenden, müssen Sie nur zwei Aktionen ausführen.

Backup von Citrix Endpoint Management SAML-Zertifikat

  1. Melden Sie sich beim Citrix Endpoint Management -Server an, klicken Sie rechts oben auf das Zahnradsymbol, und wählen Sie dann unter EinstellungenZertifikateaus.
  2. Markieren Sie das SAML-Zertifikat, und klicken Sie dann auf Exportieren.
  3. Wählen Sie aus, ob der private Schlüssel auch exportiert werden soll, und klicken Sie auf OK.
  4. Speichern Sie das Zertifikat an einem sicheren Ort.

Neues SAML-Zertifikat installieren

  1. Melden Sie sich beim Citrix Endpoint Management -Server an, klicken Sie auf das Zahnradsymbol, und klicken Sie dann unter Einstellungen auf Zertifikate .
  2. Klicken Sie auf Importieren, und wählen Sie die folgenden Optionen aus:
    • Import: Zertifikat
    • Verwendung als: SAML
    • Zertifikatimport: Durchsuchen Sie Ihre Arbeitsstation oder Ihr Netzwerk nach der zuvor exportierten Datei saml_dualidp.cer .
    • Datei mit privatem Schlüssel: Durchsuchen Sie Ihre Arbeitsstation nach der zuvor exportierten Datei saml_dualidp.key .
    • Passwort: Geben Sie das Kennwort für den privaten Schlüssel ein.
    • Beschreibung: Geben Sie genug Detail für andere, um seine Funktion zu kennen.
  3. Klicken Sie zum Abschließen auf Importieren .

    Dual-IdP 7

  4. Klicken Sie auf dem Citrix Endpoint Management -Server auf Konfigurierenund anschließend auf ShareFile.
  5. Wenn Sie eine vorherige Konfiguration haben, klicken Sie unten rechts auf dem Bildschirm auf Speichern . In diesem Schritt wird das Citrix Content Collaboration Konto mit dem X.509-Zertifikat aktualisiert, das in den vorherigen Schritten erstellt wurde. Außerdem werden die aktuellen SSO-Konfigurationseinstellungen außer Kraft gesetzt, die in den Schritten im nächsten Abschnitt geändert werden.
  6. Wenn Citrix Content Collaboration noch nicht konfiguriert wurde, geben Sie im Feld Domäne Ihr Citrix Content Collaboration Konto ein.
  7. Wählen Sie eine Bereitstellungsgruppe aus, die Zugriff auf die Citrix Files MDX-Anwendung hat.
  8. Geben Sie Ihren Citrix Content Collaboration Benutzernamen an. Dies ist ein lokales Administratorkonto.
  9. Geben Sie das Citrix Content Collaboration -Kennwort ein (nicht Ihr Active Directory Kennwort).
  10. Lassen Sie die BenutzerkontenProvisioning OFF (insbesondere wenn Sie das User Management Tool verwenden).
  11. Klicken Sie auf Speichern , um die Citrix Content Collaboration Konfiguration in Citrix Endpoint Management abzuschließen.

    Dual-IdP 8

Citrix Content Collaboration Single Sign-On-Konfigurationsprüfung

Nachdem Citrix Endpoint Management und ADFS für Citrix Content Collaboration konfiguriert wurden, führen Sie die folgenden Schritte aus, um die SSO-Einstellungen zu überprüfen.

  1. Melden Sie sich über die Web-Benutzeroberfläche bei Ihrem Citrix Content Collaboration Konto an, klicken Sie auf Adminund dann auf Seite Single Sign-On konfigurieren.
  2. Aussteller/Entity-ID: Diese ID muss mit dem Bezeichnernamen innerhalb der ADFS-Konfiguration identisch sein.
  3. Anmelde-URL: Anmelde-URL zu ADFS (Beispiel:https://adfs.company.com/adfs/ls ).
  4. Abmelde-URL: Abmelde-URL zu ADFS (Beispiel:https://adfs.company.com/adfs/ls/?wa=wsignout1.0 ). Dies muss als Abmeldepunkt auf ADFS hinzugefügt werden, falls dies nicht bereits geschehen ist.
  5. Webauthentifizierung aktivieren: Ja
  6. SP-initiierter Authentifizierungskontext: Wählen Sie die Option Benutzername und Kennwort für Formularauthentifizierung oder Integrierte Authentifizierung (entsprechend dem, mit dem Ihr ADFS-Server konfiguriert ist).

    Dual-IdP 9

Testen

Registrieren Sie Ihr Gerät erneut bei Citrix Endpoint Management, laden Sie die App herunter und prüfen Sie, ob MDX SSO funktioniert. Sie können Tests auch mit SP-initiierter Authentifizierung durchführen:https://[subdomain].sharefile.com/saml/login.