Guía de configuración de inicio de sesión único de Citrix Content Collaboration para Citrix Endpoint Management

Puede configurar el servidor de Citrix Endpoint Management y Citrix Gateway para que funcionen como proveedor de identidades (IdP) SAML para Citrix Content Collaboration. En esta configuración, un usuario que inicia sesión en Citrix Content Collaboration mediante un explorador web u otros clientes de Citrix Files se redirige al entorno de Citrix Endpoint Management para la autenticación del usuario. Después de la autenticación correcta de Citrix Endpoint Management, el usuario recibe un token SAML válido para iniciar sesión en su cuenta de Citrix Content Collaboration.

Requisitos previos

Configuración en funcionamiento de Citrix Gateway y el servidor de Citrix Endpoint Management, que ya están configurados.

Configurar el inicio de sesión único SAML para las aplicaciones MDX de Citrix Files

Puede utilizar Citrix Endpoint Management Server junto con Secure Hub para iniciar sesión único (SSO) en aplicaciones envueltas MDX de Citrix Files. En este caso, Secure Hub obtiene un token SAML para el inicio de sesión de Citrix Content Collaboration mediante el servidor Citrix Endpoint Management como IdP.

  1. Inicie sesión en el servidor de Citrix Endpoint Management mediante la URL https://<Citrix Endpoint Management Server>:4443
  2. Vaya a Configurar > ShareFile.
  3. Utilice la herramienta de administración de usuarios de Content Collaboration para el aprovisionamiento de usuarios. Consulte Aprovisionar cuentas de usuario y grupos de distribución.

La configuración de SAML para las aplicaciones MDX de Citrix Files está configurada. Si solo desea permitir el acceso a Citrix Content Collaboration mediante las aplicaciones de Citrix Files MDX, la configuración está completa. Sin embargo, si desea configurar el acceso para clientes de Citrix Files que no sean MDX, siga mediante la guía de configuración.

La configuración de Citrix Content Collaboration MDX SSO también permite el aprovisionamiento de usuarios en el servidor Citrix Endpoint Management. Los usuarios que formen parte de las funciones seleccionadas y que no tengan una cuenta en Citrix Content Collaboration se aprovisionan automáticamente por el servidor de Citrix Endpoint Management en función de cómo accedan por primera vez a Citrix Content Collaboration. Para obtener más información sobre cómo el servidor Citrix Endpoint Management aprovisiona a los usuarios de Citrix Content Collaboration, consulte el artículo CTX200431 de Knowledge Center.

Configurar Citrix Gateway

Se requiere la siguiente configuración en Citrix Gateway para admitir el uso de Citrix Endpoint Management como proveedor de identidades SAML:

Inhabilitar la redirección de la página principal

Debe inhabilitar el comportamiento predeterminado para las solicitudes que vienen a través de la ruta /cginfra, de modo que la URL interna solicitada original se sirva al usuario en lugar de la página de inicio configurada.

  1. Modifique la configuración del servidor virtual de Citrix Gateway que se utiliza para los inicios de sesión de Citrix Endpoint Management. Vaya a Otros ajustes y desactive la casilla de verificación Redirigir a la página principal:

    Citrix Endpoint Management

  2. Para la configuración de ShareFile, agregue el nombre del servidor interno y el puerto del servidor de Citrix Endpoint Management. Por ejemplo: xms.citrix.lab:8443.
  3. Para la configuración AppController, escriba la dirección del servidor de Citrix Endpoint Management. Esta configuración autoriza solicitudes a la URL especificada a través de la ruta /cginfra.

Crear una directiva de sesión de Citrix Content Collaboration y un perfil de solicitud

  1. En la utilidad de configuración de Citrix Gateway, seleccione Citrix Gateway > Directivas > Sesión en el panel de navegación izquierdo.
  2. Para crear una directiva de sesión, en la ficha Directivas, haga clic en Agregar… y, a continuación, escriba ShareFile_Policy como nombre.
  3. Para crear una acción, haga clic en Agregar… Se abrirá la pantalla Crear perfil de sesión de Citrix Gateway.
  4. En Nombre, escriba ShareFile_Profile como nombre del perfil de sesión.
  5. En la ficha Experiencia del cliente :
    • En Página principal, escriba ninguno.
    • En Tiempo de espera de sesión, escriba 1.
    • Habilite el inicio de sesión único en aplicaciones web.
    • Para Acceso sin cliente, establezca enActo.
    • Para Cookies persistentes de acceso sin cliente, establezca en Permitir.
    • En Índice de credenciales, seleccione PRIMARY.

    Citrix Endpoint Management 2

  6. En la ficha Seguridad, establezca Acción de autorización predeterminada en Permitir.

    Citrix Endpoint Management 3

  7. En la ficha Aplicaciones publicadas :
    • Para ICA Proxy, seleccione ON.
    • En Dirección de interfaz web, introduzca la direcciónURL del servidor de Citrix Endpoint Management como se muestra.
    • En Dominio de inicio de sesión único, escriba el nombre de dominio de Active Directory.

    Citrix Endpoint Management 4

    Al configurar el perfil de sesión de Citrix Gateway, el sufijo de dominio introducido en el campo Dominio de inicio de sesión único debe coincidir con el alias de dominio de Citrix Endpoint Management definido en LDAP.

  8. Haga clic en Crear para terminar de definir el perfil de sesión.
  9. Para la expresión ShareFile_Policy, cambie a Directiva clásica y haga clic en Editor de expresiones.
  10. Especifique la expresión mediante un valor de NSC_FSRD y un nombre de encabezado de COOKIE.

    Citrix Endpoint Management 5

  11. Haga clic en Listo, haga clic en Crear y, a continuación, haga clic en Cerrar.

    Citrix Endpoint Management 6

Configurar directivas en el servidor virtual de Citrix Gateway

  1. En la utilidad de configuración de Citrix Gateway, seleccione Citrix Gateway > Servidores virtuales en el panel de navegación izquierdo.
  2. En el panel Detalles, haga clic en su servidor virtual Citrix Gateway y, a continuación, haga clic en Modificar.
  3. Vaya a Directivas configuradas > Directivas de sesión y haga clic en Agregar enlace.
  4. Seleccione ShareFile_Policy.
  5. Modifique el número de prioridad generado automáticamente para la directiva insertada para que tenga el número más bajo (prioridad más alta) en comparación con cualquier otra directiva enumerada.

    Citrix Endpoint Management 7

  6. Haga clic en Done y, a continuación, guarde la configuración activa de Citrix Gateway.

Modificar la configuración de inicio de sesión único

  1. Inicie sesión en su cuenta como administrador de Citrix Content Collaboration.
  2. En la interfaz web, vaya a Configuración de administración > Seguridad > Directiva de inicio de sesión y seguridad y desplácese hacia abajo hasta Configuración de inicio de sesión único.
  3. Modifique la URL de iniciode sesión.

    Citrix Endpoint Management 9

    • Inserte el FQDN externo del servidor virtual de Citrix Gateway más /cginfra/https/ antes del FQDN del servidor Citrix Endpoint Management y:8443 después del FQDN.
    • Cambie el parámetro &APP=ShareFile_SAML_SP para utilizar el nombre interno de la aplicación. El nombre interno es ShareFile_SAML de forma predeterminada, pero con cada cambio en la configuración, el nombre interno cambia para anexar un número (Sharefile_SAML2, ShareFile_SAML3, etc.).
    • Añada &nssso=true al final de la URL. Por ejemplo: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

Cada vez que modifique o vuelva a crear la aplicación, el nombre de la aplicación interna se actualiza con un número agregado al nombre. También debe actualizar la URL de inicio de sesión para reflejar el nombre de la aplicación actualizado. El siguiente ejemplo muestra cómo la URL de inicio de sesión debe cambiar cuando el nombre de la aplicación interna cambia de “ShareFile_SAML” a “ShareFile_SAML2”

  1. En Configuración opcional, haga clic en la casilla de verificación Habilitar autenticación web.

    Citrix Endpoint Management 10

  2. Haga clic en Guardar.

Validar la configuración

  1. Vaya a https://subdomain.sharefile.com/saml/login. Se le redirige al formulario de inicio de sesión de Citrix Gateway.
  2. Inicie sesión con credenciales de usuario válidas para el entorno de servidor Citrix Gateway y Citrix Endpoint Management que ha configurado. Aparecerán sus carpetas de Citrix Files en subdomain.sharefile.com.
Guía de configuración de inicio de sesión único de Citrix Content Collaboration para Citrix Endpoint Management