SAML für Single Sign-On mit Citrix Files

XenMobile und Citrix Content Collaboration können zur Verwendung von SAML (Security Assertion Markup Language) konfiguriert werden, um SSO-Zugriff (Single Sign-On) auf mobile Citrix Files-Apps bereitzustellen. Diese Funktionalität umfasst Citrix Files-Apps, die mit dem MDX Toolkit umschlossen sind, sowie nicht umschlossene Citrix Files-Clients, wie z. B. Website, Outlook-Plug-In oder Synchronisierungsclients.

  • Umschlossene Citrix Files-Apps. Benutzer, die sich bei Citrix Files über die mobile Citrix Files-App anmelden, werden zur Benutzerauthentifizierung und zum Abrufen eines SAML-Tokens an Secure Hub weitergeleitet. Nach einer erfolgreichen Authentifizierung sendet die mobile Citrix Files-App das SAML-Token an Content Collaboration. Nach der Erstanmeldung können Benutzer über SSO auf die mobile Citrix Files-App zugreifen. Sie können außerdem Dokumente aus Content Collaboration an E-Mails in Secure Mail anfügen, ohne sich jedes Mal neu anzumelden.
  • Nicht umschlossene Citrix Files-Clients. Benutzer, die sich über einen Webbrowser oder einen anderen Citrix Files-Client bei Citrix Files anmelden, werden an XenMobile umgeleitet. XenMobile authentifiziert die Benutzer, die dann einen SAML-Token erhalten, der an Content Collaboration gesendet wird. Nach der ersten Anmeldung können Benutzer auf Citrix Files-Clients über SSO ohne erneute Anmeldung zugreifen.

Zur Verwendung von XenMobile als SAML-Identitätsanbieter (IdP) für Content Collaboration müssen Sie XenMobile wie in diesem Artikel beschrieben für die Verwendung mit Enterprise-Konten konfigurieren. Alternativ können Sie XenMobile für die ausschließliche Zusammenarbeit mit Speicherzonenconnectors konfigurieren. Weitere Informationen finden Sie unter Verwenden von Citrix Content Collaboration mit XenMobile.

Ein detailliertes Architekturdiagramm finden Sie unter Architektur.

Voraussetzungen

Damit Sie Single Sign-On für XenMobile und Citrix Files-Apps konfigurieren können, müssen die folgenden Voraussetzungen erfüllt sein:

  • MDX Service oder eine kompatible Version des MDX Toolkits (für mobile Citrix Files-Apps)

    Weitere Informationen finden Sie unter XenMobile-Kompatibilität.

  • Eine kompatible Version mobiler Citrix Files-Apps und Secure Hub.
  • Content Collaboration-Administratorkonto.
  • Überprüfte Konnektivität zwischen XenMobile und Content Collaboration.

Konfigurieren des Zugriffs auf Content Collaboration

Bevor Sie SAML für Content Collaboration einrichten, stellen Sie die Zugriffsinformationen für Content Collaboration wie folgt bereit:

  1. Klicken Sie in der XenMobile-Webkonsole auf Konfigurieren > ShareFile. Die Konfigurationsseite ShareFile wird angezeigt. In Ihrer Konsole wird möglicherweise der Begriff “Content Collaboration” anstelle von ShareFile angezeigt.

    Content Collaboration-Konfigurationseinstellungen

  2. Konfigurieren Sie folgende Einstellungen:

    • Domäne: Geben Sie Ihren Content Collaboration-Unterdomänennamen ein. Beispiel: example.sharefile.com.
    • Bereitstellungsgruppen zuweisen: Suchen Sie nach Bereitstellungsgruppen, die SSO mit Content Collaboration verwenden sollen, oder wählen Sie sie aus.
    • ShareFile-Administratorkonto
    • Benutzername: Geben Sie den Benutzernamen des Content Collaboration-Administrators ein. Dieses Benutzerkonto muss über Administratorrechte verfügen.
    • Kennwort: Geben Sie das Kennwort des Content Collaboration-Administrators ein.
    • Benutzerkontoprovisioning: Aktivieren Sie diese Einstellung, um das Benutzerprovisioning in XenMobile zu aktivieren. Lassen Sie die Einstellung deaktiviert, um das Content Collaboration User Management Tool für das Provisioning von Benutzern zu verwenden.

    Hinweis:

    Enthalten die ausgewählten Rollen einen Benutzer ohne Content Collaboration-Konto, wird in XenMobile automatisch ein Content Collaboration-Konto für diesen Benutzer bereitgestellt, wenn Sie “Benutzerkontoprovisioning” aktivieren. Citrix empfiehlt die Verwendung einer Rolle mit wenigen Mitgliedern zum Testen der Konfiguration. So wird eine potenziell große Zahl von Benutzern ohne Content Collaboration-Konto vermieden.

  3. Sie können über die Schaltfläche Verbindung testen prüfen, ob Benutzername und Kennwort des Content Collaboration-Administratorkontos für das angegebene Content Collaboration-Konto authentifiziert werden.

  4. Klicken Sie auf Speichern.

    • XenMobile und Content Collaboration werden synchronisiert und die Content Collaboration-Einstellungen ShareFile-Aussteller/Entitäts-ID und Anmelde-URL werden aktualisiert.

    • Auf der Seite Konfigurieren > ShareFile wird der interne App-Name angezeigt. Sie benötigen diesen Namen, um die in Ändern der SSO-Einstellungen für Citrix Files.com beschriebenen Schritte auszuführen.

Einrichten von SAML für umschlossene Citrix Files MDX-Apps

Die folgenden Schritte gelten für iOS- und Android-Apps und -Geräte.

  1. Umschließen Sie die mobile Citrix Files-App mit dem MDX Toolkit. Informationen hierzu finden Sie unter Umschließen von Apps mit dem MDX Toolkit.

  2. Laden Sie in der XenMobile-Konsole die umschlossene mobile Citrix Files-App hoch. Weitere Informationen zum Hochladen von MDX-Apps finden Sie unter Hinzufügen einer MDX-App zu XenMobile.

  3. Überprüfen Sie die SAML-Einstellungen: Melden Sie sich bei Content Collaboration mit den Anmeldeinformationen des Administrators an, die Sie oben angegeben haben.

  4. Vergewissern Sie sich, dass Content Collaboration und XenMobile für dieselbe Zeitzone konfiguriert sind. Stellen Sie sicher, dass in XenMobile die Uhrzeit der konfigurierten Zeitzone angezeigt wird. Ist dies nicht der Fall, kann das SSO fehlschlagen.

Überprüfen der mobilen Citrix Files-App

  1. Installieren und konfigurieren Sie Secure Hub auf dem Benutzergerät.

  2. Laden Sie die mobile Citrix Files-App aus dem XenMobile-Store herunter und installieren Sie sie.

  3. Starten Sie die mobile Citrix Files-App. Citrix Files wird ohne Anforderung von Benutzernamen und Kennwort gestartet.

Überprüfung mit Secure Mail

  1. Installieren und konfigurieren Sie Secure Hub gegebenenfalls auf dem Benutzergerät.

  2. Laden Sie Secure Mail aus dem XenMobile Store herunter und installieren und konfigurieren Sie das Programm.

  3. Öffnen Sie ein neues E-Mail-Formular und tippen Sie auf Von Citrix Files anfügen. Die zum Anfügen verfügbaren Dateien werden ohne Anforderung von Benutzernamen und Kennwort angezeigt.

Konfigurieren von Citrix Gateway für andere Citrix Files-Clients

Zum Konfigurieren des Zugriffs für nicht umschlossene Citrix Files-Clients (z. B. Website, Outlook-Plug-In oder Synchronisierungsclients) konfigurieren Sie Citrix Gateway folgendermaßen, damit es die Verwendung von XenMobile als SAML-Identitätsanbieter unterstützt:

  • Deaktivieren Sie die Homepageumleitung.
  • Erstellen Sie eine Citrix Files-Sitzungsrichtlinie und ein Profil.
  • Konfigurieren Sie Richtlinien auf dem virtuellen Citrix Gateway-Server.

Deaktivieren der Homepageumleitung

Deaktivieren Sie das Standardverhalten für Anforderungen aus dem /cginfra-Pfad. Dadurch können Benutzer die ursprünglich angeforderte interne URL anstelle der konfigurierten Homepage sehen.

  1. Bearbeiten Sie die Einstellungen für den virtuellen Citrix Gateway-Server, der für XenMobile-Anmeldungen verwendet wird. Navigieren Sie in Citrix ADC zu Other Settings und deaktivieren Sie das Kontrollkästchen Redirect to Home Page.

    Citrix ADC-Fenster

  2. Geben Sie unter ShareFile (jetzt Content Collaboration genannt) den internen Namen des XenMobile-Servers und die Portnummer ein.

  3. Geben Sie unter Citrix Endpoint Management Ihre XenMobile-URL ein. Ihre Version von Citrix Gateway verwendet möglicherweise den älteren Produktnamen AppController.

    Mit dieser Konfiguration werden Anforderungen an die über den /cginfra-Pfad eingegebene URL genehmigt.

Erstellen einer Citrix Files-Sitzungsrichtlinie und eines Anforderungsprofils

Konfigurieren Sie die folgenden Einstellungen zum Erstellen einer Citrix Files-Sitzungsrichtlinie und eines Anforderungsprofils:

  1. Klicken Sie im Konfigurationsprogramm für Citrix Gateway im linken Navigationsbereich auf NetScaler Gateway > Policies > Session.

  2. Erstellen Sie eine Sitzungsrichtlinie. Klicken Sie auf der Registerkarte Policies auf Add.

  3. Geben Sie im Feld Name den Ausdruck ShareFile_Policy ein.

  4. Erstellen Sie eine Aktion durch Klicken auf die +-Schaltfläche. Die Seite Create NetScaler Session Profile wird angezeigt.

    Citrix Gateway-Sitzungsprofilbildschirm

    Konfigurieren Sie folgende Einstellungen:

    • Name: Geben Sie ShareFile_Profile ein.
    • Klicken Sie auf die Registerkarte Client Experience und konfigurieren Sie die folgenden Einstellungen:
      • Home Page: Geben Sie none ein.
      • Session Time-out (mins): Geben Sie 1 ein.
      • Single Sign-on to Web Applications: Wählen Sie diese Einstellung aus.
      • Credential Index: Klicken Sie auf PRIMARY.
    • Klicken Sie auf die Registerkarte Published Applications.

    Citrix Gateway-Sitzungsprofilbildschirm

    Konfigurieren Sie folgende Einstellungen:

    • ICA Proxy: Klicken Sie auf ON.
    • Web Interface Address: Geben Sie die XenMobile Server-URL ein.
    • Single Sign-on Domain: Geben Sie den Namen Ihrer Active Directory-Domäne ein.

      Beim Konfigurieren des Citrix Gateway-Sitzungsprofils muss das Domänensuffix für Single Sign-on Domain mit dem in LDAP festgelegten XenMobile-Domänenalias übereinstimmen.

  5. Klicken Sie auf Create, um das Sitzungsprofil zu definieren.

  6. Klicken Sie auf Expression Editor.

    Citrix Gateway-Sitzungsprofilbildschirm

    Konfigurieren Sie folgende Einstellungen:

    • Value: Geben Sie NSC_FSRD ein.
    • Header Name: Geben Sie COOKIE ein.
  7. Klicken Sie auf Create und dann auf Close.

    Citrix Gateway-Sitzungsprofilbildschirm

Konfigurieren von Richtlinien auf dem virtuellen Citrix Gateway-Server

Konfigurieren Sie die folgenden Einstellungen auf dem virtuellen Citrix Gateway-Server.

  1. Klicken Sie im Konfigurationsprogramm für Citrix Gateway im linken Navigationsbereich auf NetScaler Gateway > Virtual Servers.

  2. Klicken Sie im Bereich Details auf den virtuellen Citrix Gateway-Server.

  3. Klicken Sie auf Edit.

  4. Klicken Sie auf Configured policies > Session policies und dann auf Add binding.

  5. Wählen Sie ShareFile_Policy aus.

  6. Bearbeiten Sie die automatisch generierte Prioritätszahl unter Priority für die ausgewählte Richtlinie so, dass sie die höchste Priorität (die niedrigste Zahl) vor allen anderen aufgeführten Richtlinien hat. Zum Beispiel:

    Bildschirm "VPN Virtual Server Session Policy Binding"

  7. Klicken Sie auf Done und speichern Sie die ausgeführte Citrix ADC-Konfiguration.

Ändern der SSO-Einstellungen für Citrix Files.com

Nehmen Sie die folgenden Änderungen für mit MDX umschlossene und nicht umschlossene Citrix Files-Apps vor.

Wichtig:

Jedes Mal, wenn Sie die Citrix Files-App bearbeiten oder neu erstellen oder die Content Collaboration-Einstellungen in XenMobile ändern, wird eine neue Zahl an den internen App-Namen angehängt. Daher müssen Sie die Anmelde-URL auf der Citrix Files-Website dem neuen App-Namen entsprechend aktualisieren.

Content Collaboration sendet keinen Referrer-Header mehr in Chrome oder FireFox. Weitere Informationen finden Sie unter Versionshinweise, ShareFile-Webanwendung v19.17.

  1. Melden Sie sich bei Ihrem Content Collaboration-Konto (https://<subdomain>.sharefile.com) als Content Collaboration-Administrator an.

  2. Klicken Sie im Content Collaboration-Webinterface auf Admin und wählen Sie Single Sign-On konfigurieren aus.

  3. Bearbeiten Sie den Eintrag im Feld Anmelde-URL wie folgt:

    Beispiel für eine Anmelde-URL vor der Bearbeitung: https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Beispiel einer Anmelde-URL

    • Geben Sie den externen FQDN des virtuellen Citrix Gateway-Servers plus /cginfra/https/ vor dem FQDN des XenMobile-Servers und hinter dem FQDN des XenMobile-Servers 8443 ein.

      Beispiel für eine URL nach der Bearbeitung: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=SHareFile_SAML_SP&reqtype=1

    • Ändern Sie den Parameter &app=ShareFile_SAML_SP in den internen Citrix Files-App-Namen. Der interne Name lautet standardmäßig ShareFile_SAML. Jedes Mal, wenn Sie die Konfiguration ändern, wird eine Zahl an den internen Namen angehängt (ShareFile_SAML_2, ShareFile_SAML_3 usw.). Sie können den internen App-Namen auf der Seite Konfigurieren > ShareFile nachschlagen.

      Beispiel für eine URL nach der Bearbeitung: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Hängen Sie &nssso=true an das Ende der URL an.

      Beispiel der endgültigen URL: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. Aktivieren Sie unter Optional Settings das Kontrollkästchen Enable Web Authentication.

    Bildschirm für optionale Einstellungen

Überprüfen der Konfiguration

Überprüfen Sie die Konfiguration wie nachfolgend beschrieben.

  1. Geben Sie https://<subdomain>sharefile.com/saml/login im Browser ein.

    Sie werden zum Citrix Gateway-Anmeldungsformular umgeleitet. Erfolgt keine Umleitung, überprüfen Sie die oben aufgeführten Konfigurationseinstellungen.

  2. Geben Sie die Anmeldeinformationen ein, die Sie für die Citrix Gateway- bzw. XenMobile-Umgebung konfiguriert haben.

    Ihre Citrix Files-Ordner unter <subdomain>.sharefile.com werden angezeigt. Wenn keine Citrix Files-Ordner angezeigt werden, prüfen Sie, ob Sie die richtigen Anmeldeinformationen eingegeben haben.