Guía de configuración de inicio de sesión único de Citrix Content Collaboration para proveedores de identidad duales

Este documento ayuda a configurar el uso de Citrix Endpoint Management y Active Directory Federated Services (ADFS) como proveedor de identidades (IdP) para una sola cuenta de Citrix Content Collaboration. La configuración resultante permite que el certificado de firma de token en el servidor ADFS sea el mismo que el certificado SAML en el servidor de Citrix Endpoint Management. Esto proporciona una única cuenta de Citrix Content Collaboration para:

• Utilice Citrix Endpoint Management como IdP para aplicaciones empaquetadas con MDX. Proporcionar una verdadera experiencia de inicio de sesión único (SSO) desde un dispositivo móvil mediante aplicaciones Citrix Files MDX.
• Use ADFS como IdP SAML para SSO a webapps.

Requisitos previos

• Servidor Citrix Endpoint Management 10.x con inicio de sesión único funcional para MDX configurado en la cuenta de Citrix Content Collaboration.
• ADFS instalado y configurado dentro de la infraestructura.
• Acceso a una cuenta de administrador dentro de Citrix Content Collaboration con la capacidad de configurar el inicio de sesión único.

Preparación del certificado de firma de token ADFS

Al configurar ADFS para SSO en Citrix Content Collaboration, es necesario cargar el certificado de firma de token ADFS en el panel de control de Citrix Content Collaboration sin la clave privada. ADFS genera un certificado autofirmado que se utilizará para la firma de tokens y el descifrado de tokens con una caducidad de 1 año. Sin embargo, el certificado autofirmado contiene una clave privada.

En la marca de un año, el certificado autofirmado se renueva mediante la renovación automática de certificados 15 días antes de la expiración y se convierte en el certificado principal. Esto hace que todas las relaciones de confianza de SSO existentes fallen. Para esta configuración, la certificación SAML de la consola de Citrix Endpoint Management se exporta con una expiración de 3 años. El período de validez del certificado es personalizable y reduce la necesidad de renovar el certificado de firma de token en la marca de 1 año.

Generar el certificado SAML

1. Inicie sesión en la interfaz gráfica de usuario de Citrix Gateway.
2. Vaya a Administración de Tráfico > SSL.

3. En la sección Introducción, seleccione Asistente para certificados Root-CA.

   

Ahora se le pedirá que cree la clave privada.

1. En el campo Nombre de archivo de clave, proporcione un nombre para la clave.
2. Tamaño de la llave, 2048.
3. Valor de exponente público, 3.

4. Haga clic en Crear para crear la clave.

   

El siguiente paso es crear la solicitud de firma de certificado (CSR).

1. En el campo Nombre de Archivo de Solicitud, introduzca un nombre para la CSR.
2. El nombre de archivo clave y el formato PEM están rellenados previamente.
3. Establezca el método de resumen en SHA256.
4. En Campos de nombre distintivo, proporcione información sobre su organización.
5. En los campos de atributo, no se necesita una contraseña de desafío. Sin embargo, se puede agregar el nombre de la empresa.

6. Haga clic en Crear para completar la solicitud de CSR.

   

El último paso es crear el certificado SAML.

1. En el campo Nombre de archivo de certificado, escriba el nombre del certificado.
2. El formato del certificado se rellena previamente con PEM.
3. El nombre del archivo de solicitud de certificado refleja la CSR que creó en el paso anterior.
4. El formato clave es PEMpor defecto.
5. Especifique el período de validez (en días) para el que desea que el certificado sea válido. En este ejemplo, el certificado creado es un certificado de 3 años, por lo que escriba 1095.
6. El nombre de archivo clave se rellena previamente desde el primer paso.

7. Haga clic en Crear para crear el certificado.

   

8. Después de crear el certificado, puede salir del Asistente ya que no necesita instalar el certificado en Citrix Gateway.
9. Haga clic en Cancelar y haga clic en SÍ para confirmar que desea volver a la pantalla principal de la GUI SSL.

Exportar el certificado SAML

Ahora debe exportar el certificado recién creado y la clave de Citrix Gateway para utilizarlo en el servidor de Citrix Endpoint Management y en ADFS. Para Citrix Endpoint Management, necesita el archivo saml_dualidp.cer y el archivo saml_dualidp.key creados en los pasos anteriores, ya que el certificado y la clave ya tienen el formato correcto para Citrix Endpoint Management. Siga los pasos para guardar los archivos en una ubicación que podamos usar para cargarlos en su servidor de Citrix Endpoint Management cuando reemplace su certificado SAML integrado.

1. En Citrix Gateway, en Administración de tráfico > SSL, en Herramientas, haga clic en Administrar certificados/claves/CSR.

2. En la página Administrar certificados, haga clic en Fecha de modificación, que lleva los archivos más recientes a la parte superior. Ahora verá los 3 archivos recién creados de los pasos anteriores. Si no los ve, puede mostrar más de 25 elementos por página.

   

3. Seleccione el archivo saml_dualidp.cer y elija Descargar. Guarde en una ubicación de su elección.
4. Siga el paso anterior para el archivo saml_dualidp.key.
5. Haga clic en Atrás para volver a la página anterior.

A continuación, exporte el certificado y la clave en un formato de archivo que el servidor ADFS comprenda.

1. En la misma sección Herramientas que antes, seleccione la opción Exportar PKCS #12.
2. En el campo Elegir archivo, escriba saml_dualidp.pfx.
3. En el campo Nombre de archivo de certificado, seleccione Elegir archivo, Fecha de modificación y seleccione el archivo saml_dualidp.cer. Haga clic en Abrir.
4. En el campo Nombre de archivo de clave, seleccione Elegir archivo, Fecha de modificación y seleccione el archivo saml_dualidp.key. Haga clic en Abrir.
5. Proporcione una contraseña de exportación.
6. Proporcione la frase de contraseña PEM.
7. Haga clic en Aceptar para finalizar la exportación.

Ahora necesita copiar el archivo.pfx de Citrix Gateway y en una ubicación de red.

1. En el menú Herramientas una vez más, seleccione la opción Administrar Certificados/ Claves/CSR.
2. Seleccione el archivo saml_dualidp.pfx recién creado y elija Descargar.
3. Guarde el archivo en algún lugar accesible localmente.
4. Cierre las ventanas en Citrix Gateway.

El proceso de creación del certificado SAML ha finalizado.

Cargar certificado de firma de token recién creado a ADFS

El primer paso es inhabilitar el rollover de certificados en el servidor ADFS.

1. Cree una conexión remota al servidor ADFS.
2. De forma predeterminada, ADFS habilita AutoCertificateRollover para renovar el certificado autofirmado en la marca de 1 año. Esta función debe estar inhabilitada para cargar el certificado de firma de tokens recién creado.
3. Ejecute PowerShell como administrador en el servidor ADFS.
4. Tipo: Get-ADFSProperties.
5. Para inhabilitar AutoCertificateRollover: Set-ADFSProperties -AutoCertificateRollover $false

A continuación, debe importar el archivo saml_dualidp.pfx exportado previamente en el servidor ADFS para que podamos usarlo como certificado de firma de token.

1. En el servidor ADFS, haga clic con el botón derecho, Start > Haga clic en Ejecutar > Escriba mmc y seleccione enter para abrir un complemento.
2. Haga clic en Archivo > Agregar o quitar complemento.
3. En la sección Complementos disponibles, seleccione Certificados y, a continuación, haga clic en Agregar.
4. Seleccione Cuenta de equipo, haga clic en Siguiente.
5. Seleccione Equipo local y, a continuación, Finalizar, haga clic en Aceptar.
6. En Raíz de consola, expanda Certificados > Personal > Certificados.
7. Haga clic en la carpeta Certificados y seleccione Todas las tareas > Importar.
8. En la pantalla de bienvenida, haga clic en Siguiente.
9. Vaya al archivo saml_dualidp.pfx que guardó anteriormente, haga clic en Abrir.
10. Seleccione Siguiente, escriba la contraseña de la clave privada y vuelva a seleccionar Siguiente.
11. Seleccione Colocar todos los certificados en el siguiente almacén, Personal y haga clic en Siguiente.
12. Haga clic en Finalizar para completar la importación y cerrar el complemento MMC.

Ahora necesita cambiar el certificado de firma de token en ADFS.

1. En el servidor ADFS, en el panel Administrador de servidores, seleccione Herramientas > Administración de ADFS.
2. En el lado izquierdo de la Consola de administración de ADFS, expanda Servicio > Certificados.
3. En el menú Acciones, seleccione Agregar certificado de firma de tokens y seleccione el certificadode firma de token recién importado.
4. El certificado de firma de token recién agregado se agrega como un certificado secundario. Debes convertirlo en el primario.
5. Expanda Servicio y seleccione Certificados.
6. Haga clic en el certificado de firma de token secundario.
7. En el panel Acciones de la derecha, seleccione Establecer como principal. Haga clic en Sí en la solicitud de confirmación.

Configuración de Citrix Endpoint Management

Para utilizar el mismo certificado en Citrix Endpoint Management, sólo necesita realizar dos acciones.

Certificado SAML de Citrix Endpoint Management de copia de seguridad

1. Inicie sesión en el servidor de Citrix Endpoint Management, haga clic en el icono de engranaje situado en la parte superior derecha y, a continuación, en Configuración, seleccione Certificados.
2. Resalte el certificado SAML y haga clic en Exportar.
3. Elija también exportar la clave privada y, a continuación, haga clic en Aceptar.
4. Almacene el certificado en una ubicación segura.

Instalar un nuevo certificado SAML

1. Inicie sesión en el servidor de Citrix Endpoint Management, haga clic en el icono de engranaje y, en Configuración, haga clic en Certificados.
2. Haga clic en Importar y, a continuación, seleccione las siguientes opciones:
   • Importar: Certificado
   • Usar como: SAML
   • Importación de certificados: busque el archivo saml_dualidp.cer exportado anteriormente en su estación de trabajo o red.
   • Archivo de clave privada: busque el archivo saml_dualidp.key exportado anteriormente en su estación de trabajo.
   • Contraseña: introduzca la contraseña de la clave privada.
   • Descripción: introduzca suficiente detalle para que otros conozcan su función.

3. Haga clic en Importar para completar el proceso.

   

4. En el servidor Citrix Endpoint Management, haga clic en Configurar y, a continuación, en ShareFile.
5. Si tiene una configuración anterior, haga clic en Guardar en la parte inferior derecha de la pantalla. En este paso se actualiza la cuenta de Citrix Content Collaboration con el certificado X.509 creado en los pasos anteriores. También anula los parámetros de configuración de SSO actuales, que se cambian en los pasos descritos en la siguiente sección.
6. Si Citrix Content Collaboration aún no se ha configurado, en el campo Dominio, introduzca su cuenta de Citrix Content Collaboration.
7. Seleccione un grupo de entrega que tenga acceso a la aplicación Citrix Files MDX.
8. Proporcione su nombre de usuario de Citrix Content Collaboration. Esta es una cuenta de usuario administrativo local.
9. Introduzca la contraseña de Citrix Content Collaboration (no la contraseña de Active Directory).
10. Deje el aprovisionamiento de cuentas de usuario desactivado (especialmente si está utilizando User Management Tool).

11. Haga clic en Guardar para completar la configuración de Citrix Content Collaboration en Citrix Endpoint Management.

    

Comprobación de configuración de inicio de sesión único de Citrix Content Collaboration

Una vez configurados Citrix Endpoint Management y ADFS para Citrix Content Collaboration, siga los pasos que se indican a continuación para validar la configuración de SSO.

1. Inicie sesión en su cuenta de Citrix Content Collaboration mediante la interfaz de usuario web, haga clic en Administradory, a continuación, en la página Configurar inicio de sesión único .
2. Id. de emisor/entidad: debe ser idéntico al nombre del identificador dentro de la configuración de ADFS.
3. URL de inicio de sesión: URL de inicio de sesión en ADFS (ejemplo: https://adfs.company.com/adfs/ls).
4. URL de cierre de sesión: URL de cierre de sesión en ADFS (ejemplo: https://adfs.company.com/adfs/ls/?wa=wsignout1.0). Esto debe agregarse como punto de cierre de sesión en ADFS, si no lo ha hecho ya.
5. Habilitar autenticación web: Sí

6. Contexto de autenticación iniciado por SP: seleccione la opción Nombre de usuario y contraseña para autenticación de formularios o Autenticación integrada (de acuerdo con lo que esté configurado su servidor ADFS).

   

Pruebas

Vuelva a inscribir el dispositivo en Citrix Endpoint Management, descargue la aplicación y compruebe si el SSO MDX funciona. También puede realizar pruebas mediante la autenticación iniciada por SP: https://[subdomain].sharefile.com/saml/login.