Produktdokumentation
Citrix Endpoint Management
PDF anzeigen

SAML für Single Sign-On mit Citrix Files

November 18, 2021
Beitrag von: 
C C

Wichtig:

Dieser Artikel gilt nur für Endpoint Management-Umgebungen, die nicht Workspace-aktiviert sind. In einer Workspace-aktivierten Umgebung ist Content Collaboration direkt in Citrix Workspace integriert.

Endpoint Management und Content Collaboration können zur Verwendung von SAML (Security Assertion Markup Language) konfiguriert werden, um SSO-Zugriff (Single Sign-On) auf mobile Citrix Files-Apps bereitzustellen. Diese Funktionalität umfasst:

  • Citrix Files-Apps, die MAM-SDK-fähig sind oder Apps, die mit dem MDX Toolkit umschlossen wurden

  • Nicht umschlossene Citrix Files-Clients, z. B. die Website, das Outlook-Plug-in oder Synchronisierungsclients

  • Umschlossene Citrix Files-Apps: Benutzer, die sich bei Citrix Files anmelden, werden zur Benutzerauthentifizierung und zum Abrufen eines SAML-Token an Secure Hub weitergeleitet. Nach einer erfolgreichen Authentifizierung sendet die mobile Citrix Files-App das SAML-Token an Content Collaboration. Nach der Erstanmeldung können Benutzer über SSO auf die mobile Citrix Files-App zugreifen. Sie können außerdem Dokumente aus Content Collaboration an E-Mails in Secure Mail anfügen, ohne sich jedes Mal neu anzumelden.
  • Nicht umschlossene Citrix Files-Clients: Benutzer, die sich über einen Webbrowser oder einen anderen Citrix Files-Client bei Citrix Files anmelden, werden an Endpoint Management umgeleitet. Endpoint Management authentifiziert die Benutzer, die dann einen SAML-Token erhalten, der an Content Collaboration gesendet wird. Nach der ersten Anmeldung können Benutzer auf Citrix Files-Clients über SSO ohne erneute Anmeldung zugreifen.

Um Endpoint Management als SAML-Identity-Provider (IdP) für Content Collaboration zu verwenden, müssen Sie Endpoint Management für Enterprise-Konten konfigurieren, wie in diesem Artikel beschrieben. Alternativ können Sie Endpoint Management für die ausschließliche Verwendung mit Speicherzonenconnectors konfigurieren. Weitere Informationen finden Sie unter Content Collaboration mit Endpoint Management.

Ein detailliertes Architekturdiagramm finden Sie unter Architektur.

Voraussetzungen

Damit Sie Single Sign-On für Endpoint Management und Citrix Files-Apps konfigurieren können, müssen die folgenden Voraussetzungen erfüllt sein:

  • Das MAM-SDK oder eine kompatible Version des MDX Toolkits (für mobile Citrix Files-Apps).

    Weitere Informationen finden Sie unter Endpoint Management-Kompatibilität.

  • Eine kompatible Version mobiler Citrix Files-Apps und Secure Hub.
  • Content Collaboration-Administratorkonto.
  • Überprüfte Konnektivität zwischen Endpoint Management und Content Collaboration.

Konfigurieren des Zugriffs auf Content Collaboration

Bevor Sie SAML für Content Collaboration einrichten, stellen Sie die Zugriffsinformationen für Content Collaboration wie folgt bereit:

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Content Collaboration. Die Content Collaboration-Konfigurationsseite wird angezeigt.

    Content Collaboration-Konfigurationseinstellungen

  2. Konfigurieren Sie folgende Einstellungen:

    • Domäne: Geben Sie Ihren Content Collaboration-Unterdomänennamen ein. Beispiel: example.sharefile.com.
    • Bereitstellungsgruppen zuweisen: Suchen Sie nach Bereitstellungsgruppen, die SSO mit ShareFile verwenden sollen, oder wählen Sie sie aus.
    • Content Collaboration-Administratorkonto
    • Benutzername: Geben Sie den Benutzernamen des Content Collaboration-Administrators ein. Dieses Benutzerkonto muss über Administratorrechte verfügen.
    • Kennwort: Geben Sie das Kennwort des Content Collaboration-Administrators ein.
    • Benutzerkontoprovisioning: Lassen Sie diese Einstellung deaktiviert. Verwenden Sie das Content Collaboration User Management Tool für das Provisioning von Benutzern. Siehe Provision user accounts and distribution groups.

  3. Sie können über die Schaltfläche Verbindung testen prüfen, ob Benutzername und Kennwort des Content Collaboration-Administratorkontos für das angegebene Content Collaboration-Konto authentifiziert werden.

  4. Klicken Sie auf Speichern.

    • Endpoint Management und Content Collaboration werden synchronisiert und die Content Collaboration-Einstellungen ShareFile-Aussteller/Entitäts-ID und Anmelde-URL werden aktualisiert.

    • Auf der Seite Konfigurieren > Content Collaboration wird der interne App-Name angezeigt. Sie benötigen diesen Namen, um die in Ändern der SSO-Einstellungen für Citrix Files.com beschriebenen Schritte auszuführen.

Einrichten von SAML für umschlossene Citrix Files MDX-Apps

Sie benötigen Citrix Gateway nicht für die Single Sign-On-Konfiguration von Citrix Files-Apps, die mit dem MAM-SDK vorbereitet wurden. Informationen zum Konfigurieren des Zugriffs für nicht umschlossene Citrix Files-Clients wie die Website, das Outlook-Plug-In oder die Sync-Clients finden Sie unter Konfigurieren von Citrix Gateway für andere Citrix Files-Clients.

So konfigurieren Sie SAML für umschlossene Citrix Files MDX-Apps:

  1. Laden Sie die Citrix Content Collaboration für Endpoint Management-Clients herunter. Siehe Citrix.com-Downloads.

  2. Bereiten Sie die mobile Citrix Files-App mit dem MAM-SDK vor. Weitere Informationen finden Sie unter Überblick über das MAM-SDK.

  3. Laden Sie in der Endpoint Management-Konsole die vorbereitete mobile Citrix Files-App hoch. Weitere Informationen zum Hochladen von MDX-Apps finden Sie unter Hinzufügen einer MDX-App zu Endpoint Management.

  4. Überprüfen Sie die SAML-Einstellungen: Melden Sie sich bei Content Collaboration mit den Anmeldeinformationen des Administrators an, die Sie zuvor konfiguriert haben.

  5. Vergewissern Sie sich, dass Content Collaboration und Endpoint Management für dieselbe Zeitzone konfiguriert sind. Stellen Sie sicher, dass in Endpoint Management die Uhrzeit der konfigurierten Zeitzone angezeigt wird. Ist dies nicht der Fall, kann das SSO fehlschlagen.

Überprüfen der mobilen Citrix Files-App

  1. Installieren und konfigurieren Sie Secure Hub auf dem Benutzergerät.

  2. Laden Sie die mobile Citrix Files-App aus dem App-Store herunter und installieren Sie sie.

  3. Starten Sie die mobile Citrix Files-App. Citrix Files wird ohne Anforderung von Benutzernamen und Kennwort gestartet.

Überprüfung mit Secure Mail

  1. Installieren und konfigurieren Sie Secure Hub gegebenenfalls auf dem Benutzergerät.

  2. Laden Sie Secure Mail aus dem App-Store herunter und installieren und konfigurieren Sie das Programm.

  3. Öffnen Sie ein neues E-Mail-Formular und tippen Sie auf Von ShareFile anfügen. Die zum Anfügen verfügbaren Dateien werden ohne Anforderung von Benutzernamen und Kennwort angezeigt.

Konfigurieren von Citrix Gateway für andere Citrix Files-Clients

Zum Konfigurieren des Zugriffs für nicht umschlossene Citrix Files-Clients (z. B. Website, Outlook-Plug-In oder Synchronisierungsclients) konfigurieren Sie Citrix Gateway folgendermaßen, damit es die Verwendung von Endpoint Management als SAML-Identitätsanbieter unterstützt:

  • Deaktivieren Sie die Homepageumleitung.
  • Erstellen Sie eine Citrix Files-Sitzungsrichtlinie und ein Profil.
  • Konfigurieren Sie Richtlinien auf dem virtuellen Citrix Gateway-Server.

Deaktivieren der Homepageumleitung

Deaktivieren Sie das Standardverhalten für Anforderungen aus dem /cginfra-Pfad. Dadurch können Benutzer die ursprünglich angeforderte interne URL anstelle der konfigurierten Homepage sehen.

  1. Bearbeiten Sie die Einstellungen für den virtuellen Citrix Gateway-Server, der für Endpoint Management-Anmeldungen verwendet wird. Navigieren Sie in Citrix Gateway zu Other Settings und deaktivieren Sie das Kontrollkästchen Redirect to Home Page.

    Citrix Gateway-Bildschirm

  2. Geben Sie unter ShareFile (jetzt Content Collaboration genannt) den internen Namen des Endpoint Management-Servers und die Portnummer ein.

  3. Geben Sie unter Citrix Endpoint Management Ihre Endpoint Management-URL ein.

    Mit dieser Konfiguration werden Anforderungen an die über den /cginfra-Pfad eingegebene URL genehmigt.

Erstellen einer Citrix Files-Sitzungsrichtlinie und eines Anforderungsprofils

Konfigurieren Sie die folgenden Einstellungen zum Erstellen einer Citrix Files-Sitzungsrichtlinie und eines Anforderungsprofils:

  1. Klicken Sie im Konfigurationsprogramm für Citrix Gateway im linken Navigationsbereich auf NetScaler Gateway > Policies > Session.

  2. Erstellen Sie eine Sitzungsrichtlinie. Klicken Sie auf der Registerkarte Policies auf Add.

  3. Geben Sie im Feld Name den Ausdruck ShareFile_Policy ein.

  4. Erstellen Sie eine Aktion durch Klicken auf die +-Schaltfläche. Die Seite Create NetScaler Gateway Session Profile wird angezeigt.

    Citrix Gateway-Sitzungsprofilbildschirm

    Konfigurieren Sie folgende Einstellungen:

    • Name: Geben Sie ShareFile_Profile ein.
    • Klicken Sie auf die Registerkarte Client Experience und konfigurieren Sie die folgenden Einstellungen:
      • Home Page: Geben Sie none ein.
      • Session Time-out (mins): Geben Sie 1 ein.
      • Single Sign-on to Web Applications: Wählen Sie diese Einstellung aus.
      • Credential Index: Klicken Sie auf PRIMARY.
    • Klicken Sie auf die Registerkarte Published Applications.

    Citrix Gateway-Sitzungsprofilbildschirm

    Konfigurieren Sie folgende Einstellungen:

    • ICA Proxy: Klicken Sie auf On.
    • Web Interface Address: Geben Sie die URL des Endpoint Management-Servers ein.

    • Single Sign-on Domain: Geben Sie den Namen Ihrer Active Directory-Domäne ein.

      Beim Konfigurieren des Citrix Gateway-Sitzungsprofils muss das Domänensuffix für Single Sign-on Domain mit dem in LDAP festgelegten Endpoint Management-Domänenalias übereinstimmen.

  5. Klicken Sie auf Create, um das Sitzungsprofil zu definieren.

  6. Klicken Sie auf Expression Editor.

    Citrix Gateway-Sitzungsprofilbildschirm

    Konfigurieren Sie folgende Einstellungen:

    • Value: Geben Sie NSC_FSRD ein.
    • Header Name: Geben Sie COOKIE ein.

  7. Klicken Sie auf Create und dann auf Close.

    Citrix Gateway-Sitzungsprofilbildschirm

Konfigurieren von Richtlinien auf dem virtuellen Citrix Gateway-Server

Konfigurieren Sie die folgenden Einstellungen auf dem virtuellen Citrix Gateway-Server.

  1. Klicken Sie im Konfigurationsprogramm für Citrix Gateway im linken Navigationsbereich auf NetScaler Gateway > Virtual Servers.

  2. Klicken Sie im Bereich Details auf den virtuellen Citrix Gateway-Server.

  3. Klicken Sie auf Edit.

  4. Klicken Sie auf Configured policies > Session policies und dann auf Add binding.

  5. Wählen Sie ShareFile_Policy aus.

  6. Bearbeiten Sie die automatisch generierte Prioritätszahl unter Priority für die ausgewählte Richtlinie so, dass sie die höchste Priorität (die niedrigste Zahl) vor allen anderen aufgeführten Richtlinien hat. Beispiel:

    Bildschirm "VPN Virtual Server Session Policy Binding"

  7. Klicken Sie auf Done und speichern Sie die ausgeführte Citrix Gateway-Konfiguration.

Ändern der SSO-Einstellungen für Citrix Files.com

Nehmen Sie die folgenden Änderungen für mit MDX umschlossene und nicht umschlossene Citrix Files-Apps vor.

Wichtig:

An den internen Anwendungsnamen wird eine neue Nummer angehängt:

  • Jedes Mal, wenn Sie die Citrix Files-App bearbeiten oder neu erstellen
  • Jedes Mal, wenn Sie die Content Collaboration-Einstellungen in Endpoint Management ändern

Daher müssen Sie die Anmelde-URL auf der Citrix Files-Website dem neuen App-Namen entsprechend aktualisieren.

  1. Melden Sie sich bei Ihrem Content Collaboration-Konto (https://<subdomain>.sharefile.com) als Content Collaboration-Administrator an.

  2. Klicken Sie im Content Collaboration-Webinterface auf Admin und wählen Sie Single Sign-On konfigurieren aus.

  3. Bearbeiten Sie den Eintrag im Feld Anmelde-URL wie folgt:

    Beispiel für eine Anmelde-URL vor der Bearbeitung: https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Beispiel einer Anmelde-URL

    • Geben Sie den externen FQDN des virtuellen Citrix Gateway-Servers plus /cginfra/https/ vor dem FQDN des Endpoint Management-Servers und 8443 hinter dem FQDN des Endpoint Management-Servers ein.

      Beispiel für eine URL nach der Bearbeitung: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    • Ändern Sie den Parameter &app=ShareFile_SAML_SP in den internen Citrix Files-App-Namen. Der interne Name lautet standardmäßig ShareFile_SAML. Jedes Mal, wenn Sie die Konfiguration ändern, wird eine Zahl an den internen Namen angehängt (ShareFile_SAML_2, ShareFile_SAML_3 usw.). Sie können den internen App-Namen auf der Seite Konfigurieren > Content Collaboration nachschlagen.

      Beispiel für eine URL nach der Bearbeitung: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Hängen Sie &nssso=true an das Ende der URL an.

      Beispiel der endgültigen URL: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. Aktivieren Sie unter Optional Settings das Kontrollkästchen Enable Web Authentication.

    Bildschirm für optionale Einstellungen

Überprüfen der Konfiguration

Überprüfen Sie die Konfiguration wie nachfolgend beschrieben.

  1. Geben Sie https://<subdomain>sharefile.com/saml/login im Browser ein.

    Sie werden zum Citrix Gateway-Anmeldungsformular umgeleitet. Erfolgt keine Umleitung, überprüfen Sie die oben aufgeführten Konfigurationseinstellungen.

  2. Geben Sie die Anmeldeinformationen ein, die Sie für die Citrix Gateway- bzw. Endpoint Management-Umgebung konfiguriert haben.

    Ihre Citrix Files-Ordner unter <subdomain>.sharefile.com werden angezeigt. Wenn keine Citrix Files-Ordner angezeigt werden, prüfen Sie, ob Sie die richtigen Anmeldeinformationen eingegeben haben.

SAML für Single Sign-On mit Citrix Files
November 18, 2021
Beitrag von: 
C C
November 18, 2021
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung
© 1999- Cloud Software Group, Inc. All rights reserved.