Citrix Content Collaboration Single Sign-On Konfigurationshandbuch für Dual-Identitätsanbieter

Dieses Dokument hilft bei der Konfiguration der Verwendung von Citrix Endpoint Management und Active Directory Federated Services (ADFS) als Identity Provider (IdP) für ein einziges Citrix Content Collaboration Konto. Die resultierende Konfiguration ermöglicht es, dass das Tokensignaturzertifikat auf dem ADFS-Server mit dem SAML-Zertifikat auf dem Citrix Endpoint Management -Server übereinstimmt. Dies bietet ein einzelnes Citrix Content Collaboration Konto für folgende Anwendungen:

  • Verwenden Sie Citrix Endpoint Management als IdP für MDX-umschlossene Apps. Bereitstellung einer echten Single Sign-On (SSO) -Erfahrung von einem mobilen Gerät mit Citrix Files MDX-Anwendungen.
  • Verwenden Sie ADFS als SAML-IdP für SSO für Webapps.

Voraussetzungen

  • Citrix Endpoint Management 10.x-Server mit voll funktionsfähigem Single Sign-On für MDX, der für das Citrix Content Collaboration Konto konfiguriert ist.
  • ADFS wird innerhalb der Infrastruktur installiert und konfiguriert.
  • Zugriff auf ein Administratorkonto in Citrix Content Collaboration mit der Möglichkeit, Single Sign-On zu konfigurieren.

Vorbereiten des ADFS-Token-Signaturzertifikats

Bei der Konfiguration von ADFS für SSO für Citrix Content Collaboration ist es erforderlich, das ADFS-Token-Signaturzertifikat ohne den privaten Schlüssel in die Citrix Content Collaboration hochzuladen. ADFS generiert ein selbstsigniertes Zertifikat, das für die Tokensignierung und Tokenentschlüsselung mit einem Ablauf von 1 Jahr verwendet wird. Das selbstsignierte Zertifikat enthält jedoch einen privaten Schlüssel.

Bei der Einjahresmarke wird das selbstsignierte Zertifikat 15 Tage vor Ablauf mit automatischem Zertifikatrollover erneuert und wird zum primären Zertifikat. Dies führt dazu, dass alle vorhandenen SSO-Vertrauensbeziehungen fehlschlagen. Für diese Konfiguration wird die SAML-Zertifizierung von der Citrix Endpoint Management Konsole mit einem Ablauf von 3 Jahren exportiert. Der Gültigkeitszeitraum des Zertifikats ist anpassbar und verringert die Notwendigkeit, das Token-Signaturzertifikat mit der 1-Jahres-Marke zu erneuern.

SAML-Zertifikat generieren

  1. Melden Sie sich bei der Citrix Gateway Benutzeroberfläche an.
  2. Navigieren Sie zu Datenverkehrsverwaltung > SSL.
  3. Wählen Sie im Abschnitt Erste Schritte die Option Root-CA-Zertifikat-Assistentaus.

    dualer IdP 1

Sie werden nun aufgefordert, den privaten Schlüssel zu erstellen.

  1. Geben Sie im Feld Schlüsseldateiname einen Namen für Ihren Schlüssel ein.
  2. Schlüsselgröße, 2048.
  3. Öffentlicher Exponentenwert, 3.
  4. Klicken Sie auf Erstellen, um den Schlüssel zu erstellen.

    dualer IdP 2

Der nächste Schritt besteht darin, die Zertifikatsignieranforderung (Certificate Signing Request, CSR) zu erstellen.

  1. Geben Sie im Feld Name der Anforderungsdatei einen Namen für die CSR ein.
  2. Der Schlüsseldateiname und das PEM-Format sind vorausgefüllt.
  3. Legen Sie die Digest-Methode auf SHA256fest.
  4. Geben Sie unter “Distinguished Name-Felder”Informationen zu Ihrer Organisation an.
  5. In Attributfeldernist kein Challenge-Kennwort erforderlich. Der Firmenname kann jedoch hinzugefügt werden.
  6. Klicken Sie auf Erstellen, um die CSR-Anforderung abzuschließen.

    dualer IdP 3 dualer IdP 4

Der letzte Schritt besteht darin, das SAML-Zertifikat zu erstellen.

  1. Geben Sie im Feld Zertifikatdateiname den Namen Ihres Zertifikats ein.
  2. Das Zertifikatformat ist vorab mit PEMgefüllt.
  3. Der Name der Zertifikatanforderungsdatei spiegelt die CSR wider, die Sie im vorherigen Schritt erstellt haben.
  4. Das Schlüsselformat ist standardmäßig PEM.
  5. Geben Sie den Gültigkeitszeitraum (in Tagen) an, für den das Zertifikat gültig sein soll. In diesem Beispiel ist das erstellte Zertifikat ein 3-Jahres-Zertifikat, also geben Sie 1095ein.
  6. Der Schlüsseldateiname wird ab dem ersten Schritt vorausgefüllt.
  7. Klicken Sie auf Erstellen, um das Zertifikat zu erstellen.

    dualer IdP 5

  8. Nachdem Sie das Zertifikat erstellt haben, können Sie den Assistenten beenden, da Sie das Zertifikat nicht auf Citrix Gateway installieren müssen.
  9. Klicken Sie auf Abbrechen, und klicken Sie auf JA, um zu bestätigen, dass Sie zum Hauptbildschirm der SSL-GUI zurückkehren möchten.

Exportieren des SAML-Zertifikats

Sie müssen nun das neu erstellte Zertifikat exportieren und Citrix Gateway für die Verwendung auf dem Citrix Endpoint Management -Server und auf ADFS verwenden. Für Citrix Endpoint Management benötigen Sie die Datei saml_dualidp.cer und saml_dualidp.key, die in den vorherigen Schritten erstellt wurden, da das Zertifikat und der Schlüssel bereits ordnungsgemäß für Citrix Endpoint Management formatiert sind. Führen Sie die Schritte aus, um die Dateien an einem Speicherort zu speichern, mit dem Sie sie dann auf den Citrix Endpoint Management -Server hochladen können, wenn das integrierte SAML-Zertifikat ersetzt wird.

  1. Klicken Sie in Citrix Gateway unter Traffic Management > SSLunter Extrasauf Zertifikate verwalten, Schlüssel/CSRs.
  2. Klicken Sie auf der Seite Zertifikate verwalten auf Änderungsdatum, um die neuesten Dateien an den Anfang zu bringen. Sie sehen nun die 3 neu erstellten Dateien aus den vorherigen Schritten. Wenn Sie sie nicht sehen, können Sie mehr als 25 Artikel pro Seite anzeigen.

    dualer IdP 6

  3. Wählen Sie die Datei saml_dualidp.cer aus und wählen Sie Herunterladen. Speichern Sie an einem Ort Ihrer Wahl.
  4. Folgen Sie dem vorherigen Schritt für die Datei saml_dualidp.key.
  5. Klicken Sie auf Zurück, um zur vorherigen Seite zurückzukehren.

Exportieren Sie anschließend das Zertifikat und den Schlüssel in einem Dateiformat, das der ADFS-Server versteht.

  1. Wählen Sie im gleichen Abschnitt Extras wie zuvor die Option PKCS #12 exportierenaus.
  2. Geben Sie im Feld Datei auswählensaml_dualidp.pfxein.
  3. Wählen Sie im Feld Zertifikatdateiname die Option Datei auswählen, Änderungsdatum, und wählen Sie die Datei saml_dualidp.cer aus. Klicken Sie auf Öffnen.
  4. Wählen Sie im Feld Schlüsseldateiname die Option Datei auswählen, Änderungsdatum, und wählen Sie die Datei saml_dualidp.key aus. Klicken Sie auf Öffnen.
  5. Geben Sie ein Exportkennwort ein.
  6. Geben Sie die PEM-Passphrase an.
  7. Klicken Sie auf OK, um den Export abzuschließen.

Jetzt müssen Sie die PFX-Datei von Citrix Gateway und in einen Netzwerkspeicherort kopieren.

  1. Wählen Sie im Menü Extras erneut die Option Zertifikate/Schlüssel/CSRs verwaltenaus.
  2. Wählen Sie die neu erstellte Datei saml_dualidp.pfx aus, und wählen Sie Herunterladen.
  3. Speichern Sie die Datei an einem Ort, auf den Sie zugreifen können.
  4. Schließen Sie die Fenster in Citrix Gateway.

Der Prozess zur Erstellung von SAML-Zertifikaten ist abgeschlossen.

Neu erstelltes Tokensignaturzertifikat in ADFS hochladen

Der erste Schritt besteht darin, das Zertifikatrollover auf dem ADFS-Server zu deaktivieren.

  1. Erstellen Sie eine Remoteverbindung zu Ihrem ADFS-Server.
  2. Standardmäßig ermöglicht ADFS AutoCertificateRollover, das selbstsignierte Zertifikat mit der 1-Jahres-Marke zu erneuern. Diese Funktion muss deaktiviert sein, um das neu erstellte Tokensignaturzertifikat hochzuladen.
  3. Führen Sie PowerShell als Administrator auf dem ADFS-Server aus.
  4. Typ:Get-ADFSProperties.
  5. So deaktivieren Sie AutoCertificateRollover:Set-ADFSProperties -AutoCertificateRollover $false

Sie müssen dann die zuvor exportierte Datei saml_dualidp.pfx auf den ADFS-Server importieren, damit wir sie als Tokensignaturzertifikat verwenden können.

  1. Klicken Sie auf dem ADFS-Server mit der rechten Maustaste, Start > Klicken Sie auf Ausführen > Typ mmc, und wählen Sie Enter, um ein Snap-In zu öffnen.
  2. Klicken Sie auf Datei > Snap-In hinzufügen/entfernen.
  3. Wählen Sie im Abschnitt “Verfügbare Snap-Ins” die Option Zertifikateaus, und klicken Sie dann auf Hinzufügen.
  4. Wählen Sie Computerkontoaus, klicken Sie auf Weiter.
  5. Wählen Sie Lokaler Computer und dann Fertig stellenaus, klicken Sie auf OK.
  6. Erweitern Sie unter Konsolenstamm Zertifikate > Persönlich > Zertifikate.
  7. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate, und wählen Sie Alle Aufgaben > Importieren.
  8. Klicken Sie im Begrüßungsbildschirm auf Weiter.
  9. Navigieren Sie zur Datei saml_dualidp.pfx, die Sie zuvor gespeichert haben, und klicken Sie auf Öffnen.
  10. Wählen Sie Weiter, geben Sie das Kennwort für den privaten Schlüssel ein, und wählen Sie erneut Weiter aus.
  11. Wählen Sie Alle Zertifikate im folgenden Speicher speichern, Persönlich, und klicken Sie auf Weiter.
  12. Klicken Sie auf Fertig stellen, um den Import abzuschließen und das MMC-Snap-In zu schließen.

Jetzt müssen Sie das Tokensignaturzertifikat in ADFS ändern.

  1. Wählen Sie auf dem ADFS-Server im Server-Manager-Dashboard Extras > ADFS-Verwaltungaus.
  2. Erweitern Sie auf der linken Seite der ADFS-Verwaltungskonsole den Eintrag Dienst > Zertifikate.
  3. Wählen Sie im Menü Aktionen die Option Tokensignaturzertifikat hinzufügen, und wählen Sie das neu importierte Tokensignaturzertifikat aus.
  4. Das neu hinzugefügte Tokensignaturzertifikat wird als sekundäres Zertifikat hinzugefügt. Sie müssen es zum primären machen.
  5. Erweitern Sie Dienst, und wählen Sie Zertifikateaus.
  6. Klicken Sie auf das sekundäre Token-Signaturzertifikat.
  7. Wählen Sie im Aktionsbereich auf der rechten Seite die Option Als Primär festlegenaus. Klicken Sie an der Bestätigungsaufforderung auf Ja.

Citrix Endpoint Management Konfiguration

Um dasselbe Zertifikat in Citrix Endpoint Management zu verwenden, müssen Sie nur zwei Aktionen ausführen.

Backup des Citrix Endpoint Management -SAML-Zertifikats

  1. Melden Sie sich beim Citrix Endpoint Management -Server an, klicken Sie oben rechts auf das Zahnradsymbol und wählen Sie dann unter Einstellungendie Option Zertifikateaus.
  2. Markieren Sie das SAML-Zertifikat, und klicken Sie dann auf Exportieren.
  3. Wählen Sie, ob Sie auch den privaten Schlüssel exportieren möchten, und klicken Sie dann auf OK.
  4. Speichern Sie das Zertifikat an einem sicheren Ort.

Neues SAML-Zertifikat installieren

  1. Melden Sie sich beim Citrix Endpoint Management -Server an, klicken Sie auf das Zahnradsymbol und dann unter Einstellungen auf Zertifikate.
  2. Klicken Sie auf Importieren, und wählen Sie dann die folgenden Optionen aus:
    • Import: Zertifikat
    • Verwendung als: SAML
    • Zertifikatimport: Durchsuchen Sie Ihre Arbeitsstation oder Ihr Netzwerk nach der zuvor exportierten Datei saml_dualidp.cer.
    • Datei mit privatem Schlüssel: Durchsuchen Sie Ihre Arbeitsstation nach der zuvor exportierten Datei saml_dualidp.key.
    • Kennwort: Geben Sie das Kennwort für den privaten Schlüssel ein.
    • Beschreibung: Geben Sie genug Details für andere, um seine Funktion zu kennen.
  3. Klicken Sie auf Importieren, um den Vorgang abzuschließen.

    dualer IdP 7

  4. Klicken Sie auf dem Citrix Endpoint Management -Server auf Konfigurierenund dann auf ShareFile.
  5. Wenn Sie eine vorherige Konfiguration haben, klicken Sie unten rechts auf dem Bildschirm auf Speichern. Mit diesem Schritt wird das Citrix Content Collaboration Konto mit dem X.509-Zertifikat aktualisiert, das in den vorherigen Schritten erstellt wurde. Außerdem werden die aktuellen SSO-Konfigurationseinstellungen außer Kraft gesetzt, die in den im nächsten Abschnitt beschriebenen Schritten geändert werden.
  6. Wenn Citrix Content Collaboration noch nicht konfiguriert wurde, geben Sie im Feld Domäne Ihr Citrix Content Collaboration Konto ein.
  7. Wählen Sie eine Bereitstellungsgruppe aus, die Zugriff auf die Citrix Files MDX-Anwendung hat.
  8. Geben Sie Ihren Citrix Content Collaboration Benutzernamen ein. Dies ist ein lokales Administratorbenutzerkonto.
  9. Geben Sie das Citrix Content Collaboration Kennwort ein (nicht das Active Directory Kennwort).
  10. Lassen Sie Benutzerkontenprovisioning auf AUS (insbesondere, wenn Sie das Benutzerverwaltungstool verwenden).
  11. Klicken Sie auf Speichern, um die Citrix Content Collaboration Konfiguration in Citrix Endpoint Management abzuschließen.

    dualer IdP 8

Konfigurationsprüfung für Citrix Content Collaboration für Single Sign-On

Nachdem Citrix Endpoint Management und ADFS für Citrix Content Collaboration konfiguriert wurden, führen Sie die folgenden Schritte aus, um die SSO-Einstellungen zu überprüfen.

  1. Melden Sie sich über die Web-Benutzeroberfläche bei Ihrem Citrix Content Collaboration Konto an, klicken Sie auf Adminund dann auf Single Sign-On konfigurieren.
  2. Aussteller/Entity-ID: Diese muss mit dem Identifier Name innerhalb der ADFS-Konfiguration identisch sein.
  3. Anmelde-URL: Anmelde-URL zu ADFS (Beispiel: https://adfs.company.com/adfs/ls).
  4. Abmelde-URL: Abmelde-URL zu ADFS (Beispiel: https://adfs.company.com/adfs/ls/?wa=wsignout1.0). Dies muss als Abmeldepunkt auf ADFS hinzugefügt werden, wenn dies nicht bereits geschehen ist.
  5. Webauthentifizierung aktivieren: Ja
  6. SP-initiierter Authentifizierungskontext: Wählen Sie die Option Benutzername und Kennwort für die Formularauthentifizierung oder Integrierte Authentifizierung (entsprechend der Konfiguration Ihres ADFS-Servers) aus.

    dualer IdP 9

Testen

Registrieren Sie Ihr Gerät erneut bei Citrix Endpoint Management, laden Sie die App herunter und prüfen Sie, ob MDX SSO funktioniert. Sie können auch Tests mit der SP-initiierten Authentifizierung durchführen: https://[subdomain].sharefile.com/saml/login.