Product Documentation

SAML für Single Sign-On mit ShareFile

26. März 2018

XenMobile und ShareFile können zur Verwendung von SAML (Security Assertion Markup Language) konfiguriert werden, um SSO-Zugriff (Single Sign-On) auf mobile ShareFile-Apps bereitzustellen. Diese Funktionalität umfasst ShareFile-Apps, die mit dem MDX Service oder dem MDX Toolkit umschlossen sind, sowie nicht umschlossene ShareFile-Clients, wie z. B. Website, Outlook-Plug-In oder Synchronisierungsclients.

  • Umschlossene ShareFile-Apps. Benutzer, die sich bei ShareFile über die mobile ShareFile-App anmelden, werden zur Benutzerauthentifizierung und zum Abrufen eines SAML-Tokens an Secure Hub weitergeleitet. Nach einer erfolgreichen Authentifizierung sendet die mobile ShareFile-App das SAML-Token an ShareFile. Nach der Erstanmeldung können Benutzer über SSO auf die mobile ShareFile-App zugreifen. Sie können außerdem Dokumente aus ShareFile an E-Mails in Secure Mail anfügen, ohne sich jedes Mal neu anzumelden.
  • Nicht umschlossene ShareFile-Clients. Benutzer, die sich bei ShareFile über einen Webbrowser oder einen anderen ShareFile-Client anmelden, werden an XenMobile weitergeleitet. XenMobile authentifiziert die Benutzer, die dann ein SAML-Token erhalten, das an ShareFile gesendet wird. Nach der ersten Anmeldung können Benutzer auf ShareFile-Clients über SSO ohne erneute Anmeldung zugreifen.

Zur Verwendung von XenMobile als SAML-Identitätsanbieter (IdP) für ShareFile müssen Sie XenMobile wie in diesem Artikel beschrieben für die Verwendung von ShareFile Enterprise konfigurieren. Alternativ können Sie XenMobile für die ausschließliche Zusammenarbeit mit StorageZone Connectors konfigurieren. Weitere Informationen finden Sie unter Verwendung von ShareFile mit XenMobile.

Ein detailliertes Architekturdiagramm finden Sie unter Architektur.

Voraussetzungen

Damit Sie Single Sign-On für XenMobile und ShareFile-Apps konfigurieren können, müssen die folgenden Voraussetzungen erfüllt sein:

  • MDX Service oder eine kompatible Version des MDX Toolkits (für mobile ShareFile-Apps)

    Weitere Informationen finden Sie unter XenMobile-Kompatibilität.

  • Eine kompatible Version mobiler ShareFile-Apps und Secure Hub
  • ShareFile-Administratorkonto
  • Geprüfte Verbindung zwischen XenMobile und ShareFile

Konfigurieren des ShareFile-Zugriffs

Vor der Einrichtung von SAML für ShareFile geben Sie die ShareFile-Zugriffsinformationen wie folgt an:

  1. Klicken Sie in der XenMobile-Webkonsole auf Konfigurieren > ShareFile. Die Konfigurationsseite ShareFile wird angezeigt.

    Abbildung des ShareFile-Konfigurationsbildschirms

  2. Konfigurieren Sie folgende Einstellungen:

    • Domäne: Geben Sie den Namen der ShareFile-Unterdomäne ein. Beispiel: example.sharefile.com.
    • Bereitstellungsgruppen zuweisen: Suchen Sie nach Bereitstellungsgruppen, die SSO mit ShareFile verwenden sollen, oder wählen Sie sie aus.
    • ShareFile-Administratorkonto
    • Benutzername: Geben Sie den Benutzernamen des ShareFile-Administrators ein. Dieses Benutzerkonto muss über Administratorrechte verfügen.
    • Kennwort: Geben Sie das Kennwort des ShareFile-Administrators ein.
    • Benutzerkontoprovisioning: Aktivieren Sie diese Einstellung, um das Benutzerprovisioning in XenMobile zu aktivieren. Zur Verwendung des ShareFile User Management Tools für die Benutzerbereitstellung lassen Sie die Einstellung deaktiviert.

    Hinweis:

    Enthalten die ausgewählten Rollen einen Benutzer ohne ShareFile-Konto, wird in XenMobile automatisch ein ShareFile-Konto für diesen Benutzer bereitgestellt, wenn Sie “Benutzerkontoprovisioning” aktivieren. Citrix empfiehlt die Verwendung einer Rolle mit wenigen Mitgliedern zum Testen der Konfiguration. So wird eine potenziell große Zahl von Benutzern ohne ShareFile-Konto vermieden.

  3. Sie können über die Schaltfläche Verbindung testen prüfen, ob Benutzername und Kennwort des ShareFile-Administratorkontos für das angegebene ShareFile-Konto authentifiziert werden.

  4. Klicken Sie auf Speichern. XenMobile und ShareFile werden synchronisiert und die ShareFile-Einstellungen ShareFile-Aussteller/Entitäts-ID und Anmelde-URL werden aktualisiert.

Einrichten von SAML für umschlossene ShareFile MDX-Apps

Die folgenden Schritte gelten für iOS- und Android-Apps und -Geräte.

  1. Umschließen Sie die mobile ShareFile-App mit MDX. Weitere Informationen finden Sie unter XenMobile MDX Service.

  2. Laden Sie in der XenMobile-Konsole die umschlossene mobile ShareFile-App hoch. Weitere Informationen zum Hochladen von MDX-Apps finden Sie unter Hinzufügen einer MDX-App zu XenMobile.

  3. Überprüfen Sie die SAML-Einstellungen: Melden Sie sich bei ShareFile mit den Anmeldeinformationen des Administrators an, die Sie oben angegeben haben.

  4. Stellen Sie sicher, dass ShareFile und XenMobile für dieselbe Zeitzone konfiguriert sind. Stellen Sie sicher, dass in XenMobile die Uhrzeit der konfigurierten Zeitzone angezeigt wird. Ist dies nicht der Fall, kann das SSO fehlschlagen.

Überprüfen der mobilen ShareFile-App

  1. Installieren und konfigurieren Sie Secure Hub auf dem Benutzergerät.

  2. Laden Sie die mobile ShareFile-App aus dem XenMobile Store herunter und installieren Sie sie.

  3. Starten Sie die mobile ShareFile-App. ShareFile wird ohne Anforderung von Benutzernamen und Kennwort gestartet.

Überprüfung mit Secure Mail

  1. Installieren und konfigurieren Sie Secure Hub gegebenenfalls auf dem Benutzergerät.

  2. Laden Sie Secure Mail aus dem XenMobile Store herunter und installieren und konfigurieren Sie das Programm.

  3. Öffnen Sie ein neues E-Mail-Formular und tippen Sie auf Von ShareFile anfügen. Die zum Anfügen verfügbaren Dateien werden ohne Anforderung von Benutzernamen und Kennwort angezeigt.

Konfigurieren von NetScaler Gateway für andere ShareFile-Clients

Zum Konfigurieren des Zugriffs für nicht umschlossene ShareFile-Clients (z. B. Website, Outlook-Plug-In oder Synchronisierungsclients) konfigurieren Sie NetScaler Gateway folgendermaßen, damit es die Verwendung von XenMobile als SAML-Identitätsanbieter unterstützt:

  • Deaktivieren Sie die Homepageumleitung.
  • Erstellen Sie eine ShareFile-Sitzungsrichtlinie und ein Profil.
  • Konfigurieren Sie Richtlinien auf dem virtuellen NetScaler Gateway-Server.

Deaktivieren der Homepageumleitung

Deaktivieren Sie das Standardverhalten für Anforderungen aus dem /cginfra-Pfad. Dadurch können Benutzer die ursprünglich angeforderte interne URL anstelle der konfigurierten Homepage sehen.

  1. Bearbeiten Sie die Einstellungen für den virtuellen NetScaler Gateway-Server, der für XenMobile-Anmeldungen verwendet wird. Navigieren Sie in NetScaler 10.5 zu Other Settings und deaktivieren Sie das Kontrollkästchen Redirect to Home Page.

    Abbildung des NetScaler-Bildschirms

  2. Geben Sie unter ShareFile den internen Namen des XenMobile-Servers und die Portnummer ein.

  3. Geben Sie unter AppController die XenMobile-URL ein.

    Mit dieser Konfiguration werden Anforderungen an die über den /cginfra-Pfad eingegebene URL genehmigt.

Erstellen einer ShareFile-Sitzungsrichtlinie und eines Anforderungsprofils

Konfigurieren Sie die folgenden Einstellungen zum Erstellen einer ShareFile-Sitzungsrichtlinie und eines Anforderungsprofils:

  1. Klicken Sie im Konfigurationsprogramm für NetScaler Gateway im linken Navigationsbereich auf NetScaler Gateway > Policies > Session.

  2. Erstellen Sie eine Sitzungsrichtlinie. Klicken Sie auf der Registerkarte Policies auf Add.

  3. Geben Sie im Feld Name den Ausdruck ShareFile_Policy ein.

  4. Erstellen Sie eine Aktion durch Klicken auf die +-Schaltfläche. Die Seite Create NetScaler Gateway Session Profile wird angezeigt.

    Abbildung des Bildschirms "NetScaler Gateway Session Profile"

    Konfigurieren Sie folgende Einstellungen:

    • Name: Geben Sie ShareFile_Profile ein.
    • Klicken Sie auf die Registerkarte Client Experience und konfigurieren Sie die folgenden Einstellungen:
      • Home Page: Geben Sie none ein.
      • Session Time-out (mins): Geben Sie 1 ein.
      • Single Sign-on to Web Applications: Wählen Sie diese Einstellung aus.
      • Credential Index: Klicken Sie auf PRIMARY.
    • Klicken Sie auf die Registerkarte Published Applications.

    Abbildung des Bildschirms "NetScaler Gateway Session Profile"

    Konfigurieren Sie folgende Einstellungen:

    • ICA Proxy: Klicken Sie auf ON.
    • Web Interface Address: Geben Sie die URL des XenMobile-Servers ein.
    • Single Sign-on Domain: Geben Sie den Namen Ihrer Active Directory-Domäne ein.

      Beim Konfigurieren des NetScaler Gateway-Sitzungsprofils muss das Domänensuffix für Single Sign-on Domain mit dem in LDAP festgelegten XenMobile-Domänenalias übereinstimmen.

  5. Klicken Sie auf Create, um das Sitzungsprofil zu definieren.

  6. Klicken Sie auf Expression Editor.

    Abbildung des Bildschirms "NetScaler Gateway Session Profile"

    Konfigurieren Sie folgende Einstellungen:

    • Value: Geben Sie NSC_FSRD ein.
    • Header Name: Geben Sie COOKIE ein.
  7. Klicken Sie auf Create und dann auf Close.

    Abbildung des Bildschirms "NetScaler Gateway Session Profile"

Konfigurieren von Richtlinien auf dem virtuellen NetScaler Gateway-Server

Konfigurieren Sie die folgenden Einstellungen auf dem virtuellen NetScaler Gateway-Server.

  1. Klicken Sie im Konfigurationsprogramm für NetScaler Gateway im linken Navigationsbereich auf NetScaler Gateway > Virtual Servers.

  2. Klicken Sie im Bereich Details auf den virtuellen NetScaler Gateway-Server.

  3. Klicken Sie auf Edit.

  4. Klicken Sie auf Configured policies > Session policies und dann auf Add binding.

  5. Wählen Sie ShareFile_Policy aus.

  6. Bearbeiten Sie die automatisch generierte Prioritätszahl unter Priority für die ausgewählte Richtlinie so, dass sie die höchste Priorität (die niedrigste Zahl) vor allen anderen aufgeführten Richtlinien hat. Beispiel:

    Abbildung des Bildschirms "VPN Virtual Server Session Policy Binding"

  7. Klicken Sie auf Done und speichern Sie die ausgeführte NetScaler-Konfiguration.

Konfigurieren von SAML für ShareFile-Apps ohne MDX

Ermitteln Sie anhand der folgenden Schritte den internen App-Namen für die ShareFile-Konfiguration.

  1. Melden Sie sich beim Verwaltungstool für XenMobile unter Verwendung der URL https://<XenMobile server>:4443/OCA/admin/ an. Geben Sie dabei “OCA” unbedingt in Großbuchstaben ein.

  2. Klicken Sie in der Liste View auf Configuration.

    Abbildung des Bildschirms zur Anmeldung für Administratoren

  3. Klicken Sie auf Applications > Applications. Der App-Name wird unter Application Name für die App mit dem unter Display Name angezeigten Anzeigenamen ShareFile angezeigt.

    Abbildung des Bildschirms für verwaltete Anwendungen

Ändern der SSO-Einstellungen für ShareFile.com

Nehmen Sie die folgenden Änderungen für mit MDX umschlossene und nicht umschlossene ShareFile-Apps vor.

Wichtig:

Jedes Mal, wenn Sie die ShareFile-App bearbeiten oder neu erstellen oder die ShareFile-Einstellungen in XenMobile ändern, wird eine neue Zahl an den internen App-Namen angehängt. Daher müssen Sie die Anmelde-URL auf der ShareFile-Website dem neuen App-Namen entsprechend aktualisieren.

  1. Melden Sie sich bei Ihrem ShareFile-Konto (https://<subdomain>.sharefile.com) als ShareFile-Administrator an.

  2. Klicken Sie im ShareFile-Webinterface auf Admin und wählen Sie Single Sign-On konfigurieren aus.

  3. Bearbeiten Sie den Eintrag im Feld Anmelde-URL wie folgt:

    Beispiel für eine Anmelde-URL vor der Bearbeitung: https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Abbildung des Beispiels einer Anmelde-URL

    • Geben Sie den externen FQDN des virtuellen NetScaler Gateway-Servers plus /cginfra/https/ vor dem FQDN des XenMobile-Servers und hinter dem FQDN des XenMobile-Servers 8443 ein.

      Beispiel für eine URL nach der Bearbeitung: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    • Ändern Sie den Parameter &app=ShareFile_SAML_SP in den internen ShareFile-App-Namen. Der interne Name lautet standardmäßig ShareFile_SAML. Jedes Mal, wenn Sie die Konfiguration ändern, wird eine Zahl an den internen Namen angehängt (ShareFile_SAML_2, ShareFile_SAML_3 usw.).

      Beispiel für eine URL nach der Bearbeitung: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Hängen Sie &nssso=true an das Ende der URL an.

      Beispiel der endgültigen URL: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. Aktivieren Sie unter Optional Settings das Kontrollkästchen Enable Web Authentication.

    Abbildung des Bildschirms für optionale Einstellungen

Überprüfen der Konfiguration

Überprüfen Sie die Konfiguration wie nachfolgend beschrieben.

  1. Geben Sie https://<subdomain>sharefile.com/saml/login im Browser ein.

    Sie werden zum NetScaler Gateway-Anmeldungsformular umgeleitet. Erfolgt keine Umleitung, überprüfen Sie die oben aufgeführten Konfigurationseinstellungen.

  2. Geben Sie die Anmeldeinformationen ein, die Sie für die NetScaler Gateway- bzw. XenMobile-Umgebung konfiguriert haben.

    Die ShareFile-Ordner unter <subdomain>.sharefile.com werden angezeigt. Wenn keine ShareFile-Ordner angezeigt werden, prüfen Sie, ob Sie die richtigen Anmeldeinformationen eingegeben haben.