Guía de configuración de inicio de sesión único de Citrix Content Collaboration para ADFS 3

Requisitos previos para la instalación

Para configurar Citrix Content Collaboration para que se autentique con Servicios federados de Active Directory, necesita lo siguiente:

• Windows Server 2012 R2
• Certificado SSL firmado públicamente de una CA. No se aceptan certificados autofirmados y sin firmar.
• Un FQDN para su servidor ADFS
• Acceso a una cuenta de administrador dentro de Citrix Content Collaboration con la capacidad de configurar el inicio de sesión único.

Nota:

Para aprovisionar usuarios desde Active Directory a Citrix Content Collaboration, consulte la guía de instalación de User Management Tool.

ADFS 3.0 (instalación basada en roles)

1. No puede descargar Microsoft Active Directory Federated Services 3.0 por separado. Debe utilizar un servidor de Windows 2012 R2 para esta versión.

   

2. Instale la instalación basada en funciones o basada en funciones. Haga clic en Siguiente.

   

3. Seleccione el servidor para la instalación y haga clic en Siguiente. Luego seleccione Servicios de federación de Active Directory. Haga clic en Siguiente.

   

4. Haga clic en Siguiente a través de Roles de servidor, AD FS y, a continuación, en la pantalla Confirmación. Marque la casilla Reiniciar, diga Sí en la siguiente pantalla y haga clic en Instalar.

   

5. Una vez instalado ADFS, debe completar una actividad posterior a la implementación si se trata del primer servidor de AD FS en Active Directory. Utilice su propia información de configuración para este paso.

   

Configuración de ADFS 3.0

1. En la consola de administración de ADFS 3.0, inicie el Asistente para configuración.

2. Cuando se inicie el asistente, seleccione Crear un nuevo servicio de federación y haga clic en Siguiente.

   

   

3. Dado que utilizamos un certificado comodín, debemos determinar un nombre de servicio de federación. Si no está utilizando un certificado SSL comodín, es posible que no tenga que hacer este paso. A continuación, haga clic en Siguiente para continuar.

   

4. Haga clic en Siguiente para configurar.

   

5. Confirme que todas las configuraciones finalizaron sin error y haga clic en Cerrar y salga del asistente.

   

   

6. Expanda el nodo Servicio en la Consola de administración. Seleccione el certificado de firma de token y haga clic en Ver certificado en la columna de la derecha.

   

7. En la ventana Certificado, seleccione la ficha Detalles y, a continuación, haga clic en Copiar en archivo.

   

8. Haga clic en Next para continuar.

   

9. Seleccione Base-64 codificado X.509 (.CER) como formato de exportación para el certificado y, a continuación, haga clic en Siguiente.

   

10. Guarde el archivo de certificado y haga clic en Siguiente.

    

11. Haga clic en Finalizar para guardar el archivo.

    

12. Vaya a la carpeta donde exportó el certificado y ábralo con el Bloc de notas.

    

13. Seleccione todo el texto dentro del Bloc de notas y copie.

    

14. Abra Internet Explorer y vaya a su cuenta de Citrix Content Collaboration (https://<yoursubdomain>.sharefile.com). Inicia sesión con su cuenta de administrador. Vaya a Configuración de administración > Seguridad > Inicio de sesión y directiva de seguridad. Busque la configuración de inicio de sesión único/SAML 2.0.
    • Cambie la opción Habilitar SAML a Sí.
    • Emisor de ShareFile/ID de entidad: https://<subdomain>.sharefile.com/saml/info
    • Su ID de entidad o emisor de IdP: https://<adfs>.yourdomain.com
    • Certificado X.509: pegue el contenido del certificado exportado de la sección anterior
    • URL de iniciode sesión: https://<adfs>.yourdomain.com/adfs/ls

    

15. En Configuración opcional, cambie los siguientes valores.
    • Habilitar autenticación Web: Sí (Marque marcado)
    • Contexto de autenticación iniciado por SP: nombre de usuario y contraseña — mínimo

    

16. Minimice Internet Explorer y vuelva a la Consola de administración de ADFS. Expanda el nodo Relaciones de confianza y seleccione Confianzas de parte de confianza. A continuación, haga clic en Agregar confianza de parte de confianza… desde el lado derecho de la consola. De este modo, se inicia el Asistente para agregar confianzade confianza.

    

17. Haga clic en Iniciar para comenzar a especificar una confianza de parte que confía.

    

18. La recuperación de metadatos del sitio SAML puede configurar la confianza automáticamente. https://<yoursubdomain>.sharefile.com/saml/metadata Úselo como dirección de metadatos de federación (nombre de host o URL). Haga clic en Siguiente.

    

19. Especifique un nombre para mostrar. Normalmente lo mantiene como <yoursubdomain>.sharefile.com, de modo que puede identificar las diferentes confianzas entre sí.

    

    

20. Permitir que todos los usuarios accedan a esta parte de confianza. Haga clic en Siguiente.

    

21. Compruebe que la información es correcta y haga clic en Siguiente.

    

22. Compruebe que está activada la casilla de verificación Abrir el cuadro de diálogo Modificar reglas de notificación para esta confianza de parte que confía cuando se cierre el asistente. Luego haga clic en Cerrar.

    

23. En la ficha Reglas de transformación de emisión, haga clic en Agregar regla.

    

24. La primera regla es enviar atributos LDAP como reclamaciones.

    

25. Los usuarios de la plataforma Citrix Content Collaboration se identifican por su dirección de correo electrónico. Enviamos la reclamación como un UPN. Asigne un nombre de regla de notificación descriptivo, como Dirección de correo electrónico a Dirección de correo electrónico. Seleccione Active Directory como almacén de atributos. Por último, seleccione Dirección de correo electrónico como atributo LDAP y Dirección de correo electrónico como Tipo de notificación saliente. Haga clic en Finalizar.

    

26. Cree una segunda regla. Esta regla se utiliza para transformar una notificación entrante. Haga clic en Siguiente.

    

27. El tipo de notificación entrante transforma la dirección de correo electrónico entrante en un tipo de notificación de ID de nombre saliente en el formato de correo electrónico. Asigne un nombre descriptivo, como ID con nombre a la dirección de correo electrónico. El tipo de reclamación entrante es Dirección de correo electrónico, ID de nombre del tipo de reclamación saliente. El formato de nombre saliente es Correo electrónico. Haga clic en Finalizar.

    

28. Compruebe que las notificaciones son correctas y, a continuación, haga clic en Aceptar.

    

29. Cambie a cualquier explorador web y vaya a https://<yoursubdomain>.sharefile.com/saml/login. Se le redirige a sus servicios ADFS. Si el correo electrónico de inicio de sesión está vinculado a un usuario en AD, podrá autenticarse con sus credenciales de AD.