SAML für Single Sign-On mit Citrix Files

Endpoint Management und Citrix Files können zur Verwendung von SAML (Security Assertion Markup Language) konfiguriert werden, um SSO-Zugriff (Single Sign-On) auf mobile Citrix Files-Apps bereitzustellen. Diese Funktionalität umfasst Citrix Files-Apps, die mit dem MDX Service oder dem MDX Toolkit umschlossen sind, sowie nicht umschlossene Citrix Files-Clients, wie z. B. Website, Outlook-Plug-In oder Synchronisierungsclients.

  • Umschlossene Citrix Files-Apps. Benutzer, die sich bei Citrix Files über die mobile Citrix Files-App anmelden, werden zur Benutzerauthentifizierung und zum Abrufen eines SAML-Tokens an Secure Hub weitergeleitet. Nach einer erfolgreichen Authentifizierung sendet die mobile Citrix Files-App das SAML-Token an Citrix Files. Nach der Erstanmeldung können Benutzer über SSO auf die mobile Citrix Files-App zugreifen. Sie können außerdem Dokumente aus Citrix Files an E-Mails in Secure Mail anfügen, ohne sich jedes Mal neu anzumelden.
  • Nicht umschlossene Citrix Files-Clients. Benutzer, die sich über einen Webbrowser oder einen anderen Citrix Files-Client bei Citrix Files anmelden, werden an Endpoint Management umgeleitet. Endpoint Management authentifiziert die Benutzer, die dann einen SAML-Token erhalten, der an Citrix Files gesendet wird. Nach der ersten Anmeldung können Benutzer auf Citrix Files-Clients über SSO ohne erneute Anmeldung zugreifen.

Um Endpoint Management als SAML-Identity-Provider (IdP) für Citrix Files zu verwenden, müssen Sie Endpoint Management für Citrix Files Enterprise konfigurieren, wie in diesem Artikel beschrieben. Alternativ können Sie Endpoint Management für die ausschließliche Zusammenarbeit mit StorageZone Connectors konfigurieren. Weitere Informationen finden Sie unter Citrix Files für Endpoint Management.

Ein detailliertes Architekturdiagramm finden Sie unter Architektur.

Voraussetzungen

Damit Sie Single Sign-On für Endpoint Management und Citrix Files-Apps konfigurieren können, müssen die folgenden Voraussetzungen erfüllt sein:

  • MDX Service oder eine kompatible Version des MDX Toolkits (für mobile Citrix Files-Apps)

    Weitere Informationen finden Sie unter Endpoint Management-Kompatibilität.

  • Eine kompatible Version mobiler Citrix Files-Apps und Secure Hub.
  • Citrix Files-Administratorkonto.
  • Überprüfte Konnektivität zwischen Endpoint Management und Citrix Files.

Konfigurieren von Citrix Files-Zugriff

Vor der Einrichtung von SAML für Citrix Files geben Sie die Citrix Files-Zugriffsinformationen wie folgt an:

  1. Klicken Sie in der Endpoint Management-Webkonsole auf Konfigurieren > ShareFile. Die Konfigurationsseite ShareFile wird angezeigt.

    Abbildung des ShareFile-Konfigurationsbildschirms

  2. Konfigurieren Sie folgende Einstellungen:

    • Domäne: Geben Sie den Namen der Citrix Files-Unterdomäne ein. Beispiel: example.sharefile.com.
    • Bereitstellungsgruppen zuweisen: Suchen Sie nach Bereitstellungsgruppen, die SSO mit ShareFile verwenden sollen, oder wählen Sie sie aus.
    • ShareFile-Administratorkonto
    • Benutzername: Geben Sie den Benutzernamen des Citrix Files-Administrators ein. Dieses Benutzerkonto muss über Administratorrechte verfügen.
    • Kennwort: Geben Sie das Kennwort des Citrix Files-Administrators ein.
    • Benutzerkontoprovisioning: Aktivieren Sie diese Einstellung, um das Benutzerprovisioning in Endpoint Management zu aktivieren. Lassen Sie die Einstellung deaktiviert, um das Citrix Files User Management Tool für die Benutzerbereitstellung zu verwenden.

    Hinweis:

    Enthalten die ausgewählten Rollen einen Benutzer ohne Citrix Files-Konto, wird in Endpoint Management automatisch ein Citrix Files-Konto für diesen Benutzer bereitgestellt, wenn Sie “Benutzerkontoprovisioning” aktivieren. Citrix empfiehlt die Verwendung einer Rolle mit wenigen Mitgliedern zum Testen der Konfiguration. So wird eine potenziell große Zahl von Benutzern ohne Citrix Files-Konto vermieden.

  3. Sie können über die Schaltfläche Verbindung testen prüfen, ob Benutzername und Kennwort des Citrix Files-Administratorkontos für das angegebene Citrix Files-Konto authentifiziert werden.

  4. Klicken Sie auf Speichern. Endpoint Management und Citrix Files werden synchronisiert und die Citrix Files-Einstellungen ShareFile-Aussteller/Entitäts-ID und Anmelde-URL werden aktualisiert.

Einrichten von SAML für umschlossene Citrix Files MDX-Apps

Die folgenden Schritte gelten für iOS- und Android-Apps und -Geräte.

  1. Umschließen Sie die mobile Citrix Files-App mit MDX. Weitere Informationen finden Sie unter Endpoint Management MDX Service.

  2. Laden Sie in der Endpoint Management-Konsole die umschlossene mobile Citrix Files-App hoch. Weitere Informationen zum Hochladen von MDX-Apps finden Sie unter Hinzufügen einer MDX-App zu Endpoint Management.

  3. Überprüfen Sie die SAML-Einstellungen: Melden Sie sich bei Citrix Files mit den Anmeldeinformationen des Administrators an, die Sie oben angegeben haben.

  4. Vergewissern Sie sich, dass Citrix Files und Endpoint Management für dieselbe Zeitzone konfiguriert sind. Stellen Sie sicher, dass in Endpoint Management die Uhrzeit der konfigurierten Zeitzone angezeigt wird. Ist dies nicht der Fall, kann das SSO fehlschlagen.

Überprüfen der mobilen Citrix Files-App

  1. Installieren und konfigurieren Sie Secure Hub auf dem Benutzergerät.

  2. Laden Sie die mobile Citrix Files-App aus dem App-Store herunter und installieren Sie sie.

  3. Starten Sie die mobile Citrix Files-App. Citrix Files wird ohne Anforderung von Benutzernamen und Kennwort gestartet.

Überprüfung mit Secure Mail

  1. Installieren und konfigurieren Sie Secure Hub gegebenenfalls auf dem Benutzergerät.

  2. Laden Sie Secure Mail aus dem App-Store herunter und installieren und konfigurieren Sie das Programm.

  3. Öffnen Sie ein neues E-Mail-Formular und tippen Sie auf Von ShareFile anfügen. Die zum Anfügen verfügbaren Dateien werden ohne Anforderung von Benutzernamen und Kennwort angezeigt.

Konfigurieren von Citrix Gateway für andere Citrix Files-Clients

Zum Konfigurieren des Zugriffs für nicht umschlossene Citrix Files-Clients (z. B. Website, Outlook-Plug-In oder Synchronisierungsclients) konfigurieren Sie Citrix Gateway folgendermaßen, damit es die Verwendung von Endpoint Management als SAML-Identitätsanbieter unterstützt:

  • Deaktivieren Sie die Homepageumleitung.
  • Erstellen Sie eine Citrix Files-Sitzungsrichtlinie und ein Profil.
  • Konfigurieren Sie Richtlinien auf dem virtuellen Citrix Gateway-Server.

Deaktivieren der Homepageumleitung

Deaktivieren Sie das Standardverhalten für Anforderungen aus dem /cginfra-Pfad. Dadurch können Benutzer die ursprünglich angeforderte interne URL anstelle der konfigurierten Homepage sehen.

  1. Bearbeiten Sie die Einstellungen für den virtuellen Citrix Gateway-Server, der für Endpoint Management-Anmeldungen verwendet wird. Navigieren Sie in Citrix Gateway zu Other Settings und deaktivieren Sie das Kontrollkästchen Redirect to Home Page.

    Abbildung des Citrix Gateway-Bildschirms

  2. Geben Sie unter ShareFile den internen Namen des Endpoint Management-Servers und die Portnummer ein.

  3. Geben Sie unter AppController die Endpoint Management-URL ein.

    Mit dieser Konfiguration werden Anforderungen an die über den /cginfra-Pfad eingegebene URL genehmigt.

Erstellen einer Citrix Files-Sitzungsrichtlinie und eines Anforderungsprofils

Konfigurieren Sie die folgenden Einstellungen zum Erstellen einer Citrix Files-Sitzungsrichtlinie und eines Anforderungsprofils:

  1. Klicken Sie im Konfigurationsprogramm für Citrix Gateway im linken Navigationsbereich auf NetScaler Gateway > Policies > Session.

  2. Erstellen Sie eine Sitzungsrichtlinie. Klicken Sie auf der Registerkarte Policies auf Add.

  3. Geben Sie im Feld Name den Ausdruck ShareFile_Policy ein.

  4. Erstellen Sie eine Aktion durch Klicken auf die +-Schaltfläche. Die Seite Create NetScaler Gateway Session Profile wird angezeigt.

    Abbildung des Citrix Gateway-Sitzungsprofilbildschirms

    Konfigurieren Sie folgende Einstellungen:

    • Name: Geben Sie ShareFile_Profile ein.
    • Klicken Sie auf die Registerkarte Client Experience und konfigurieren Sie die folgenden Einstellungen:
      • Home Page: Geben Sie none ein.
      • Session Time-out (mins): Geben Sie 1 ein.
      • Single Sign-on to Web Applications: Wählen Sie diese Einstellung aus.
      • Credential Index: Klicken Sie auf PRIMARY.
    • Klicken Sie auf die Registerkarte Published Applications.

    Abbildung des Citrix Gateway-Sitzungsprofilbildschirms

    Konfigurieren Sie folgende Einstellungen:

    • ICA Proxy: Klicken Sie auf ON.
    • Web Interface Address: Geben Sie die URL des Endpoint Management-Servers ein.
    • Single Sign-on Domain: Geben Sie den Namen Ihrer Active Directory-Domäne ein.

      Beim Konfigurieren des Citrix Gateway-Sitzungsprofils muss das Domänensuffix für Single Sign-on Domain mit dem in LDAP festgelegten Endpoint Management-Domänenalias übereinstimmen.

  5. Klicken Sie auf Create, um das Sitzungsprofil zu definieren.

  6. Klicken Sie auf Expression Editor.

    Abbildung des Citrix Gateway-Sitzungsprofilbildschirms

    Konfigurieren Sie folgende Einstellungen:

    • Value: Geben Sie NSC_FSRD ein.
    • Header Name: Geben Sie COOKIE ein.
  7. Klicken Sie auf Create und dann auf Close.

    Abbildung des Citrix Gateway-Sitzungsprofilbildschirms

Konfigurieren von Richtlinien auf dem virtuellen Citrix Gateway-Server

Konfigurieren Sie die folgenden Einstellungen auf dem virtuellen Citrix Gateway-Server.

  1. Klicken Sie im Konfigurationsprogramm für Citrix Gateway im linken Navigationsbereich auf NetScaler Gateway > Virtual Servers.

  2. Klicken Sie im Bereich Details auf den virtuellen Citrix Gateway-Server.

  3. Klicken Sie auf Edit.

  4. Klicken Sie auf Configured policies > Session policies und dann auf Add binding.

  5. Wählen Sie ShareFile_Policy aus.

  6. Bearbeiten Sie die automatisch generierte Prioritätszahl unter Priority für die ausgewählte Richtlinie so, dass sie die höchste Priorität (die niedrigste Zahl) vor allen anderen aufgeführten Richtlinien hat. Beispiel:

    Abbildung des Bildschirms "VPN Virtual Server Session Policy Binding"

  7. Klicken Sie auf Done und speichern Sie die ausgeführte Citrix Gateway-Konfiguration.

Ändern der SSO-Einstellungen für CitrixFiles.com

Nehmen Sie die folgenden Änderungen für mit MDX umschlossene und nicht umschlossene Citrix Files-Apps vor.

Wichtig:

Jedes Mal, wenn Sie die Citrix Files-App bearbeiten oder neu erstellen oder die Citrix Files-Einstellungen in Endpoint Management ändern, wird eine neue Zahl an den internen App-Namen angehängt. Daher müssen Sie die Anmelde-URL auf der Citrix Files-Website dem neuen App-Namen entsprechend aktualisieren.

  1. Melden Sie sich an Ihrem Citrix Files-Konto (https://<subdomain>.sharefile.com) als Citrix Files-Administrator an.

  2. Klicken Sie im Citrix Files-Webinterface auf Admin und wählen Sie Single Sign-On konfigurieren aus.

  3. Bearbeiten Sie den Eintrag im Feld Anmelde-URL wie folgt:

    Beispiel für eine Anmelde-URL vor der Bearbeitung: https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Abbildung des Beispiels einer Anmelde-URL

    • Geben Sie den externen FQDN des virtuellen Citrix Gateway-Servers plus /cginfra/https/ vor dem FQDN des Endpoint Management-Servers und hinter dem FQDN des Endpoint Management-Servers 8443 ein.

      Beispiel für eine URL nach der Bearbeitung: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    • Ändern Sie den Parameter &app=ShareFile_SAML_SP in den internen Citrix Files-App-Namen. Der interne Name lautet standardmäßig ShareFile_SAML. Jedes Mal, wenn Sie die Konfiguration ändern, wird eine Zahl an den internen Namen angehängt (ShareFile_SAML_2, ShareFile_SAML_3 usw.).

      Beispiel für eine URL nach der Bearbeitung: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Hängen Sie &nssso=true an das Ende der URL an.

      Beispiel der endgültigen URL: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. Aktivieren Sie unter Optional Settings das Kontrollkästchen Enable Web Authentication.

    Abbildung des Bildschirms für optionale Einstellungen

Überprüfen der Konfiguration

Überprüfen Sie die Konfiguration wie nachfolgend beschrieben.

  1. Geben Sie https://<subdomain>sharefile.com/saml/login im Browser ein.

    Sie werden zum Citrix Gateway-Anmeldungsformular umgeleitet. Erfolgt keine Umleitung, überprüfen Sie die oben aufgeführten Konfigurationseinstellungen.

  2. Geben Sie die Anmeldeinformationen ein, die Sie für die Citrix Gateway- bzw. Endpoint Management-Umgebung konfiguriert haben.

    Ihre Citrix Files-Ordner unter <subdomain>.sharefile.com werden angezeigt. Wenn keine Citrix Files-Ordner angezeigt werden, prüfen Sie, ob Sie die richtigen Anmeldeinformationen eingegeben haben.