Guía de configuración de inicio de sesión único de Citrix Content Collaboration para proveedores de identidades dobles

Este documento ayuda con la configuración de utilizar Citrix Endpoint Management y Active Directory Federated Services (ADFS) como proveedor de identidades (IdP) para una única cuenta de Citrix Content Collaboration. La configuración resultante permite que el certificado de firma de tokens en el servidor ADFS sea el mismo que el certificado SAML en el servidor Citrix Endpoint Management. Esto proporciona una única cuenta de Citrix Content Collaboration para:

  • Use Citrix Endpoint Management como IdP para aplicaciones empaquetadas en MDX. Proporcionar una verdadera experiencia de inicio de sesión único (SSO) desde un dispositivo móvil mediante aplicaciones MDX de Citrix Files.
  • Use ADFS como IdP SAML para SSO para webapps.

Requisitos previos

  • Servidor Citrix Endpoint Management 10.x con inicio de sesión único completamente funcional para MDX configurado en la cuenta de Citrix Content Collaboration.
  • ADFS instalado y configurado dentro de la infraestructura.
  • Acceso a una cuenta de administrador dentro de Citrix Content Collaboration con la capacidad de configurar el inicio de sesión único.

Preparación del certificado de firma de token ADFS

Al configurar ADFS para SSO en Citrix Content Collaboration, es necesario cargar el certificado de firma de token ADFS en el panel de control de Citrix Content Collaboration sin la clave privada. ADFS genera un certificado autofirmado que se utilizará para la firma de tokens y el descifrado de tokens con un vencimiento de 1 año. Sin embargo, el certificado autofirmado contiene una clave privada.

En la marca de un año, el certificado autofirmado se renueva con el Rollover automático de certificados 15 días antes de su vencimiento y se convierte en el certificado principal. Esto hace que falle todas las relaciones de confianza de SSO existentes. Para esta configuración, la certificación SAML de la consola de Citrix Endpoint Management se exporta con un vencimiento de 3 años. El período de validez del certificado es personalizable y mitiga la necesidad de renovar el certificado de firma del token en la marca de 1 año.

Generar el certificado SAML

  1. Inicie sesión en la GUI de Citrix Gateway.
  2. Desplácese hasta Administración de tráfico > SSL.
  3. En la sección Introducción , seleccione Root-CA Certificate Wizard .

    IdP dual 1

Ahora se le pedirá que cree la clave privada.

  1. En el campo Nombre de archivo de clave , proporcione un nombre para la clave.
  2. Tamaño de la llave, 2048.
  3. Valor Exponente Público, 3.
  4. Haga clic en Crear para crear la clave.

    IdP dual 2

El siguiente paso es crear la solicitud de firma de certificados (CSR).

  1. En el campo Nombre de Archivo de Solicitud , introduzca un nombre para la CSR.
  2. El nombre de archivo de clave y el formato PEM se rellenan previamente.
  3. Establezca el método Digest en SHA256 .
  4. En Campos de nombre distinguido, proporcione información sobre su organización.
  5. En Campos de atributo, no es necesaria una contraseña de desafío. Sin embargo, se puede agregar el nombre de la empresa .
  6. Haga clic en Crear para completar la solicitud de CSR.

    IdP dual 3 IdP dual 4

El paso final es crear el certificado SAML.

  1. En el campo Nombre de archivo de certificado , escriba el nombre del certificado.
  2. El formato del certificado se rellena previamente con PEM .
  3. El nombre del archivo de solicitud de certificado refleja la CSR que creó en el paso anterior.
  4. El formato de clave es PEM por defecto.
  5. Especifique el período de validez (en días) para el que desea que sea válido el certificado. En este ejemplo, el certificado creado es un certificado de 3 años, por lo que escriba 1095.
  6. El nombre de archivo de clave se rellena previamente desde el primer paso.
  7. Haga clic en Crear para crear el certificado.

    IdP dual 5

  8. Después de crear el certificado, puede salir del Asistente ya que no necesita instalar el certificado en Citrix Gateway.
  9. Haga clic en Cancelar y haga clic en para confirmar que desea volver a la pantalla principal de la interfaz gráfica de usuario SSL.

Exportar el certificado SAML

Ahora debe exportar el certificado recién creado y la clave fuera de Citrix Gateway para usarlo en el servidor Citrix Endpoint Management y en ADFS. Para Citrix Endpoint Management, necesita el archivo saml_dualidp.cer y el archivo saml_dualidp.key creados en los pasos anteriores, ya que el certificado y la clave ya están correctamente formateados para Citrix Endpoint Management. Siga los pasos para guardar los archivos en una ubicación que podamos utilizar para cargarlos en el servidor Citrix Endpoint Management cuando reemplace su certificado SAML integrado.

  1. En Citrix Gateway, en Administración de tráfico > SSL, en Herramientas, haga clic en Administrar certificados, claves y CSR.
  2. En la página Administrar certificados , haga clic en Fecha de modificación , lo que lleva los archivos más recientes a la parte superior. Ahora verá los 3 archivos recién creados de los pasos anteriores. Si no los ve, puede mostrar más de 25 elementos por página.

    IdP dual 6

  3. Seleccione el archivo saml_dualidp.cer y elija Descargar . Guarde en la ubicación de su elección.
  4. Siga el paso anterior para el archivo saml_dualidp.key .
  5. Haga clic en Atrás para volver a la página anterior.

A continuación, exporte el certificado y la clave en un formato de archivo que comprenda el servidor ADFS.

  1. En la misma sección Herramientas que antes, seleccione la opción Exportar PKCS #12 .
  2. En el campo Elegir archivo , escriba saml_dualidp.pfx .
  3. En el campo Nombre de archivo de certificado , seleccione Elegir archivo, Fecha de modificación y seleccione el archivo saml_dualidp.cer . Haga clic en Abrir.
  4. En el campo Nombre de archivo de clave , seleccione Elegir archivo, Fecha de modificación y seleccione el archivo saml_dualidp.key . Haga clic en Abrir.
  5. Proporcione una contraseña de exportación.
  6. Proporcione la frase de contraseña PEM.
  7. Haga clic en Aceptar para finalizar la exportación.

Ahora debe copiar el archivo.pfx fuera de Citrix Gateway y en una ubicación de red.

  1. En el menú Herramientas una vez más, seleccione la opción Administrar certificados/claves/CSR .
  2. Seleccione el archivo saml_dualidp.pfx recién creado y elija Descargar .
  3. Guarde el archivo en algún lugar accesible localmente.
  4. Cierre las ventanas en Citrix Gateway.

El proceso de creación de certificados SAML ha finalizado.

Cargar certificado de firma de tokens recién creado en ADFS

El primer paso es deshabilitar el rollover de certificados en el servidor ADFS.

  1. Cree una conexión remota a su servidor ADFS.
  2. De forma predeterminada, ADFS habilita AutoCertificateRollover para renovar el certificado autofirmado en la marca de 1 año. Esta característica debe estar deshabilitada para cargar el certificado de firma de tokens recién creado.
  3. Ejecute PowerShell como administrador en el servidor ADFS.
  4. Tipo: Get-ADFSProperties.
  5. Para deshabilitar AutoCertificateRollover: Set-ADFSProperties -AutoCertificateRollover $false

Debe importar el archivo saml_dualidp.pfx previamente exportado al servidor ADFS para que podamos usarlo como certificado de firma de tokens.

  1. En el servidor ADFS, haga clic con el botón derecho, Start > Haga clic en Ejecutar > Escriba mmcy seleccione enter para abrir un complemento.
  2. Haga clic en Archivo > Agregar o quitar complemento.
  3. En la sección Complementos disponibles, seleccione Certificadosy, a continuación, haga clic en Agregar.
  4. Seleccione Cuenta de equipo, haga clic en Siguiente.
  5. Seleccione Equipo local y, a continuación, Finalizar , haga clic en Aceptar .
  6. En Raíz de consola, expanda Certificados > Personal > Certificados.
  7. Haga clic con el botón derecho en la carpeta Certificados y seleccione Todas las tareas > Importar.
  8. En la pantalla de bienvenida, haga clic en Siguiente.
  9. Busque el archivo saml_dualidp.pfx que guardó anteriormente, haga clic en Abrir .
  10. Seleccione Siguiente, escriba la contraseña de la clave privada y vuelva a seleccionar Siguiente.
  11. Seleccione Colocar todos los certificados en el almacén siguiente, Personal y haga clic en Siguiente .
  12. Haga clic en Finalizar para completar la importación y cerrar el complemento MMC.

Ahora necesita cambiar el certificado de firma de tokens en ADFS.

  1. En el servidor ADFS, en el panel del Administrador del servidor, seleccione Herramientas > Administración de ADFS.
  2. En el lado izquierdo de ADFS Management Console, expanda Servicio > Certificados.
  3. En el menú Acciones , seleccione Agregar certificado de firma de Token y seleccione el certificado de firma de token recién importado.
  4. El certificado de firma de token recién agregado se agrega como certificado secundario. Debes convertirlo en la primaria.
  5. Expanda Servicio y, a continuación, seleccione Certificados .
  6. Haga clic en el certificado de firma de token secundario .
  7. En el panel Acciones de la derecha, seleccione Establecer como principal . Haga clic en en el mensaje de confirmación.

Configuración de Citrix Endpoint Management

Para utilizar el mismo certificado en Citrix Endpoint Management, solo necesita realizar dos acciones.

Copia de seguridad del certificado SAML de Citrix Endpoint Management

  1. Inicie sesión en el servidor Citrix Endpoint Management, haga clic en el icono de engranaje situado en la parte superior derecha y, a continuación, en Configuración, seleccione Certificados.
  2. Resalte el certificado SAML y, a continuación, haga clic en Exportar.
  3. Elija exportar también la clave privada y, a continuación, haga clic en Aceptar.
  4. Almacene el certificado en una ubicación segura.

Instalar nuevo certificado SAML

  1. Inicie sesión en Citrix Endpoint Management Server, haga clic en el icono de engranaje y, a continuación, en Configuración , haga clic en Certificados .
  2. Haga clic en Importary, a continuación, seleccione las siguientes opciones:
    • Importación: Certificado
    • Uso como: SAML
    • Importación de certificados: busque en su estación de trabajo o red el archivo saml_dualidp.cer exportado anteriormente.
    • Archivo de clave privada: busque en su estación de trabajo el archivo saml_dualidp.key exportado anteriormente.
    • Contraseña: introduzca la contraseña de la clave privada.
    • Descripción: introduzca suficiente detalle para que otros conozcan su función.
  3. Haga clic en Importar para completar.

    IdP dual 7

  4. En el servidor Citrix Endpoint Management, haga clic en Configurary, a continuación, en ShareFile.
  5. Si tiene una configuración anterior, haga clic en Guardar en la parte inferior derecha de la pantalla. Este paso actualiza la cuenta de Citrix Content Collaboration con el certificado X.509 creado en los pasos anteriores. También reemplaza los valores de configuración de SSO actuales, que se cambian en los pasos descritos en la siguiente sección.
  6. Si Citrix Content Collaboration aún no se ha configurado, en el campo Dominio , introduzca su cuenta de Citrix Content Collaboration.
  7. Seleccione un grupo de entrega que tenga acceso a la aplicación Citrix Files MDX.
  8. Proporcione su nombre de usuario de Citrix Content Collaboration. Esta es una cuenta de usuario administrativo local.
  9. Introduzca la contraseña de Citrix Content Collaboration (no la contraseña de Active Directory).
  10. Deje el Provisioning de cuentas de usuario desactivado (especialmente si está utilizando User Management Tool).
  11. Haga clic en Guardar para completar la configuración de Citrix Content Collaboration en Citrix Endpoint Management.

    IdP dual 8

Comprobación de configuración de inicio de sesión único de Citrix Content Collaboration

Una vez que Citrix Endpoint Management y ADFS se hayan configurado para Citrix Content Collaboration, siga los pasos que se indican a continuación para validar la configuración de SSO.

  1. Inicie sesión en su cuenta de Citrix Content Collaboration mediante la interfaz de usuario web, haga clic en Adminy, a continuación, en la página Configurar Single Sign-on.
  2. Identificador de emisor/entidad: debe ser idéntico al nombre del identificador dentro de la configuración de ADFS.
  3. URL de inicio de sesión: URL de inicio de sesión en ADFS (ejemplo:https://adfs.company.com/adfs/ls ).
  4. URL de cierre de sesión: URL de cierre de sesión en ADFS (ejemplo:https://adfs.company.com/adfs/ls/?wa=wsignout1.0 ). Esto debe agregarse como un punto de cierre de sesión en ADFS, si no lo hace ya.
  5. Habilitar autenticación Web:
  6. Contexto de autenticación iniciado por SP: seleccione la opción Nombre de usuario y contraseña para autenticación de formularios o Autenticación integrada (según lo que esté configurado su servidor ADFS).

    IdP dual 9

Probando

Vuelva a inscribir su dispositivo en Citrix Endpoint Management, descargue la aplicación y compruebe si el inicio de sesión único de MDX funciona. También puede realizar pruebas mediante la autenticación iniciada por SP:https://[subdomain].sharefile.com/saml/login.