XenMobile Server: Aktuelles Release

SAML für Single Sign-On mit Citrix Files

XenMobile und ShareFile können zur Verwendung von SAML (Security Assertion Markup Language) konfiguriert werden, um SSO-Zugriff (Single Sign-On) auf mobile Citrix Files-Apps bereitzustellen. Diese Funktionalität umfasst:

  • Citrix Files-Apps, die MAM-SDK-fähig sind oder Apps, die mit dem MDX Toolkit umschlossen wurden
  • Nicht umschlossene Citrix Files-Clients, z. B. die Website, das Outlook-Plug-in oder Synchronisierungsclients

  • Umschlossene Citrix Files-Apps. Benutzer, die sich bei Citrix Files über die mobile Citrix Files-App anmelden, werden zur Benutzerauthentifizierung und zum Abrufen eines SAML-Tokens an Secure Hub weitergeleitet. Nach einer erfolgreichen Authentifizierung sendet die mobile Citrix Files-App das SAML-Token an ShareFile. Nach der Erstanmeldung können Benutzer über SSO auf die mobile Citrix Files-App zugreifen. Sie können außerdem Dokumente aus ShareFile an E-Mails in Secure Mail anfügen, ohne sich jedes Mal neu anzumelden.
  • Nicht umschlossene Citrix Files-Clients. Benutzer, die sich über einen Webbrowser oder einen anderen Citrix Files-Client bei Citrix Files anmelden, werden an XenMobile umgeleitet. XenMobile authentifiziert die Benutzer, die dann einen SAML-Token erhalten, der an ShareFile gesendet wird. Nach der ersten Anmeldung können Benutzer auf Citrix Files-Clients über SSO ohne erneute Anmeldung zugreifen.

Zur Verwendung von XenMobile als SAML-Identitätsanbieter (IdP) für ShareFile müssen Sie XenMobile wie in diesem Artikel beschrieben für die Verwendung mit Enterprise-Konten konfigurieren. Alternativ können Sie XenMobile für die ausschließliche Zusammenarbeit mit Speicherzonenconnectors konfigurieren. Weitere Informationen finden Sie unter ShareFile mit XenMobile verwenden.

Ein detailliertes Architekturdiagramm finden Sie unter Architektur.

Voraussetzungen

Damit Sie Single Sign-On für XenMobile und Citrix Files-Apps konfigurieren können, müssen die folgenden Voraussetzungen erfüllt sein:

  • Das MAM-SDK oder eine kompatible Version des MDX Toolkits (für mobile Citrix Files-Apps).

    Weitere Informationen finden Sie unter XenMobile-Kompatibilität.

  • Eine kompatible Version mobiler Citrix Files-Apps und Secure Hub.
  • ShareFile-Administratorkonto
  • Geprüfte Verbindung zwischen XenMobile und ShareFile

ShareFile-Zugriff konfigurieren

Vor der Einrichtung von SAML für ShareFile geben Sie die ShareFile-Zugriffsinformationen wie folgt an:

  1. Klicken Sie in der XenMobile-Webkonsole auf Konfigurieren > ShareFile. Die Konfigurationsseite ShareFile wird angezeigt.

    ShareFile-Konfigurationseinstellungen

  2. Konfigurieren Sie folgende Einstellungen:

    • Domäne: Geben Sie den Namen der ShareFile-Unterdomäne ein. Beispiel: example.sharefile.com.
    • Bereitstellungsgruppen zuweisen: Suchen Sie nach Bereitstellungsgruppen, die SSO mit ShareFile verwenden sollen, oder wählen Sie sie aus.
    • Anmeldung beim ShareFile-Administratorkonto
    • Benutzername: Geben Sie den Benutzernamen des ShareFile-Administrators ein. Dieses Benutzerkonto muss über Administratorrechte verfügen.
    • Kennwort: Geben Sie das Kennwort des ShareFile-Administrators ein.
    • Benutzerkontoprovisioning: Lassen Sie diese Einstellung deaktiviert. Verwendung des ShareFile User Management Tools für die Benutzerbereitstellung Siehe Provision user accounts and distribution groups.
  3. Sie können über die Schaltfläche Verbindung testen prüfen, ob Benutzername und Kennwort des ShareFile-Administratorkontos für das angegebene ShareFile-Konto authentifiziert werden.

  4. Klicken Sie auf Speichern.

    • XenMobile und ShareFile werden synchronisiert und die ShareFile-Einstellungen ShareFile-Aussteller/Entitäts-ID und Anmelde-URL werden aktualisiert.

    • Auf der Seite Konfigurieren > ShareFile wird der interne App-Name angezeigt. Sie benötigen diesen Namen, um die in Ändern der SSO-Einstellungen für Citrix Files.com beschriebenen Schritte auszuführen.

Einrichten von SAML für umschlossene Citrix Files MDX-Apps

Sie müssen Citrix Gateway nicht für die Single Sign-On-Konfiguration von umschlossenen Citrix Files MDX-Apps verwenden. Informationen zum Konfigurieren des Zugriffs für nicht umschlossene Citrix Files-Clients wie die Website, das Outlook-Plug-In oder die Sync-Clients finden Sie unter Konfigurieren von Citrix Gateway für andere Citrix Files-Clients.

Die folgenden Schritte gelten für iOS- und Android-Apps und -Geräte. So konfigurieren Sie SAML für umschlossene Citrix Files MDX-Apps:

  1. Umschließen Sie die mobile Citrix Files-App mit dem MDX Toolkit. Informationen hierzu finden Sie unter Umschließen von Apps mit dem MDX Toolkit.

  2. Laden Sie in der XenMobile-Konsole die umschlossene mobile Citrix Files-App hoch. Weitere Informationen zum Hochladen von MDX-Apps finden Sie unter Hinzufügen einer MDX-App zu XenMobile.

  3. Überprüfen Sie die SAML-Einstellungen: Melden Sie sich bei ShareFile mit den Anmeldeinformationen des Administrators an, die Sie vorher angegeben haben.

  4. Stellen Sie sicher, dass ShareFile und XenMobile für dieselbe Zeitzone konfiguriert sind. Stellen Sie sicher, dass in XenMobile die Uhrzeit der konfigurierten Zeitzone angezeigt wird. Ist dies nicht der Fall, kann das SSO fehlschlagen.

Überprüfen der mobilen Citrix Files-App

  1. Installieren und konfigurieren Sie Secure Hub auf dem Benutzergerät.

  2. Laden Sie die mobile Citrix Files-App aus dem XenMobile-Store herunter und installieren Sie sie.

  3. Starten Sie die mobile Citrix Files-App. Citrix Files wird ohne Anforderung von Benutzernamen und Kennwort gestartet.

Überprüfung mit Secure Mail

  1. Installieren und konfigurieren Sie Secure Hub gegebenenfalls auf dem Benutzergerät.

  2. Laden Sie Secure Mail aus dem XenMobile Store herunter und installieren und konfigurieren Sie das Programm.

  3. Öffnen Sie ein neues E-Mail-Formular und tippen Sie auf Von Citrix Files anfügen. Die zum Anfügen verfügbaren Dateien werden ohne Anforderung von Benutzernamen und Kennwort angezeigt.

Citrix Gateway für andere Citrix Files-Clients konfigurieren

Zum Konfigurieren des Zugriffs für nicht umschlossene Citrix Files-Clients (z. B. Website, Outlook-Plug-In oder Synchronisierungsclients) konfigurieren Sie Citrix Gateway folgendermaßen, damit es die Verwendung von XenMobile als SAML-Identitätsanbieter unterstützt:

  • Deaktivieren Sie die Homepageumleitung.
  • Erstellen Sie eine Citrix Files-Sitzungsrichtlinie und ein Profil.
  • Konfigurieren Sie Richtlinien auf dem virtuellen Citrix Gateway-Server.

Deaktivieren der Homepageumleitung

Deaktivieren Sie das Standardverhalten für Anforderungen aus dem /cginfra-Pfad. Dadurch können Benutzer die ursprünglich angeforderte interne URL anstelle der konfigurierten Homepage sehen.

  1. Bearbeiten Sie die Einstellungen für den virtuellen Citrix Gateway-Server, der für XenMobile-Anmeldungen verwendet wird. Navigieren Sie in Citrix ADC zu Other Settings und deaktivieren Sie das Kontrollkästchen Redirect to Home Page.

    Citrix ADC-Fenster

  2. Geben Sie unter ShareFile den internen Namen des XenMobile-Servers und die Portnummer ein.

  3. Geben Sie unter Citrix Endpoint Management Ihre XenMobile-URL ein. Ihre Version von Citrix Gateway verwendet möglicherweise den älteren Produktnamen AppController.

    Mit dieser Konfiguration werden Anforderungen an die über den /cginfra-Pfad eingegebene URL genehmigt.

Erstellen einer Citrix Files-Sitzungsrichtlinie und eines Anforderungsprofils

Konfigurieren Sie die folgenden Einstellungen zum Erstellen einer Citrix Files-Sitzungsrichtlinie und eines Anforderungsprofils:

  1. Klicken Sie im Konfigurationsprogramm für Citrix Gateway im linken Navigationsbereich auf Citrix Gateway > Policies > Session.

  2. Erstellen Sie eine Sitzungsrichtlinie. Klicken Sie auf der Registerkarte Policies auf Add.

  3. Geben Sie im Feld Name den Ausdruck ShareFile_Policy ein.

  4. Erstellen Sie eine Aktion durch Klicken auf die +-Schaltfläche. Die Seite Create Session Profile wird angezeigt.

    Citrix Gateway-Sitzungsprofilbildschirm

    Konfigurieren Sie folgende Einstellungen:

    • Name: Geben Sie ShareFile_Profile ein.
    • Klicken Sie auf die Registerkarte Client Experience und konfigurieren Sie die folgenden Einstellungen:
      • Home Page: Geben Sie none ein.
      • Session Time-out (mins): Geben Sie 1 ein.
      • Single Sign-on to Web Applications: Wählen Sie diese Einstellung aus.
      • Credential Index: Klicken Sie auf PRIMARY.
    • Klicken Sie auf die Registerkarte Published Applications.

    Citrix Gateway-Sitzungsprofilbildschirm

    Konfigurieren Sie folgende Einstellungen:

    • ICA Proxy: Klicken Sie auf ON.
    • Web Interface Address: Geben Sie die XenMobile Server-URL ein.
    • Single Sign-on Domain: Geben Sie den Namen Ihrer Active Directory-Domäne ein.

      Beim Konfigurieren des Citrix Gateway-Sitzungsprofils muss das Domänensuffix für Single Sign-on Domain mit dem in LDAP festgelegten XenMobile-Domänenalias übereinstimmen.

  5. Klicken Sie auf Create, um das Sitzungsprofil zu definieren.

  6. Klicken Sie auf Expression Editor.

    Citrix Gateway-Sitzungsprofilbildschirm

    Konfigurieren Sie folgende Einstellungen:

    • Value: Geben Sie NSC_FSRD ein.
    • Header Name: Geben Sie COOKIE ein.
  7. Klicken Sie auf Create und dann auf Close.

    Citrix Gateway-Sitzungsprofilbildschirm

Konfigurieren von Richtlinien auf dem virtuellen Citrix Gateway-Server

Konfigurieren Sie die folgenden Einstellungen auf dem virtuellen Citrix Gateway-Server.

  1. Klicken Sie im Konfigurationsprogramm für Citrix Gateway im linken Navigationsbereich auf Citrix Gateway > Virtual Servers.

  2. Klicken Sie im Bereich Details auf den virtuellen Citrix Gateway-Server.

  3. Klicken Sie auf Bearbeiten.

  4. Klicken Sie auf Configured policies > Session policies und dann auf Add binding.

  5. Wählen Sie ShareFile_Policy aus.

  6. Bearbeiten Sie die automatisch generierte Prioritätszahl unter Priority für die ausgewählte Richtlinie so, dass sie die höchste Priorität (die niedrigste Zahl) vor allen anderen aufgeführten Richtlinien hat. Beispiel:

    Bildschirm "VPN Virtual Server Session Policy Binding"

  7. Klicken Sie auf Done und speichern Sie die ausgeführte Citrix ADC-Konfiguration.

Ändern der SSO-Einstellungen für Citrix Files.com

Nehmen Sie die folgenden Änderungen für mit MDX umschlossene und nicht umschlossene Citrix Files-Apps vor.

Wichtig:

An den internen Anwendungsnamen wird eine neue Nummer angehängt:

  • Jedes Mal, wenn Sie die Citrix Files-App bearbeiten oder neu erstellen
  • Jedes Mal, wenn Sie die ShareFile-Einstellungen in XenMobile ändern

Daher müssen Sie die Anmelde-URL auf der Citrix Files-Website dem neuen App-Namen entsprechend aktualisieren.

  1. Melden Sie sich bei Ihrem ShareFile-Konto (https://<subdomain>.sharefile.com) als ShareFile-Administrator an.

  2. Klicken Sie im ShareFile-Webinterface auf Admin und wählen Sie Single Sign-On konfigurieren aus.

  3. Bearbeiten Sie den Eintrag im Feld Anmelde-URL wie folgt:

    Beispiel für eine Anmelde-URL vor der Bearbeitung: https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Beispiel einer Anmelde-URL

    • Geben Sie den externen FQDN des virtuellen Citrix Gateway-Servers plus /cginfra/https/ vor dem FQDN des XenMobile-Servers und hinter dem FQDN des XenMobile-Servers 8443 ein.

      Beispiel für eine URL nach der Bearbeitung: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=SHareFile_SAML_SP&reqtype=1

    • Ändern Sie den Parameter &app=ShareFile_SAML_SP in den internen Citrix Files-App-Namen. Der interne Name lautet standardmäßig ShareFile_SAML. Jedes Mal, wenn Sie die Konfiguration ändern, wird eine Zahl an den internen Namen angehängt (ShareFile_SAML_2, ShareFile_SAML_3 usw.). Sie können den internen App-Namen auf der Seite Konfigurieren > ShareFile nachschlagen.

      Beispiel für eine URL nach der Bearbeitung: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Hängen Sie &nssso=true an das Ende der URL an.

      Beispiel der endgültigen URL: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. Aktivieren Sie unter Optional Settings das Kontrollkästchen Enable Web Authentication.

    Bildschirm für optionale Einstellungen

Überprüfen der Konfiguration

Überprüfen Sie die Konfiguration wie nachfolgend beschrieben.

  1. Geben Sie https://<subdomain>sharefile.com/saml/login im Browser ein.

    Sie werden zum Citrix Gateway-Anmeldungsformular umgeleitet. Erfolgt keine Umleitung, überprüfen Sie die oben aufgeführten Konfigurationseinstellungen.

  2. Geben Sie die Anmeldeinformationen ein, die Sie für die Citrix Gateway- bzw. XenMobile-Umgebung konfiguriert haben.

    Ihre Citrix Files-Ordner unter <subdomain>.sharefile.com werden angezeigt. Wenn keine Citrix Files-Ordner angezeigt werden, prüfen Sie, ob Sie die richtigen Anmeldeinformationen eingegeben haben.

SAML für Single Sign-On mit Citrix Files