Storage zones controller

Zonas de almacenamiento restringidas

Las zonas de almacenamiento restringidas se utilizan para proteger los datos confidenciales. Solo los empleados pueden acceder al almacenamiento restringido.

La autenticación de usuarios de terceros no se admite en la zona restringida.

Nota:

Las zonas de almacenamiento restringidas son el fin del mantenimiento. Esta directiva del ciclo de vida se describe con más detalle en Definiciones de hitos del ciclode vida. No se admite la creación de nuevas zonas de almacenamiento restringidas. Los clientes actuales que utilicen zonas de almacenamiento restringidas recibirán más información sobre cualquier hito futuro del producto.

Funciones de zonas restringidas

Autenticación de zona: además de iniciar sesión en ShareFile, los usuarios deben autenticarse por separado en el controlador de zonas de almacenamiento para acceder a los documentos almacenados en una zona restringida. La búsqueda en directorios garantiza que el usuario que inicia sesión en ShareFile sea el mismo que se autentica en la zona. Este requisito de autenticación adicional limita el uso compartido. Los documentos solo se pueden compartir con otras personas que tengan acceso al controlador de zonas de almacenamiento y que puedan autenticarse con credenciales empresariales. En una zona restringida, los archivos no se pueden compartir de forma anónima. Los usuarios deben tener permiso para ver un archivo y siempre deben iniciar sesión para recibir un archivo compartido.

Cifrado de metadatos: toda la información sobre los archivos y carpetas de la zona se cifra con su clave antes de enviarse a ShareFile. Como resultado, nadie fuera de su organización puede ver los nombres de carpetas o archivos en las zonas restringidas. El acceso a las claves de cifrado, los archivos descifrados y los metadatos solo está disponible a través de la autenticación empresarial en el controlador de zonas de almacenamiento.

Dirección interna del controlador de zonas de almacenamiento: para una zona restringida, la autorización se produce entre el controlador de zonas de almacenamiento y los clientes de ShareFile en lugar de entre el controlador de zonas de almacenamiento y la nube de ShareFile. Como resultado, un controlador de zonas de almacenamiento que hospeda zonas restringidas no requiere una dirección externa ni un certificado SSL externo. Cuando el controlador de zonas de almacenamiento se configura con una dirección solo interna, los usuarios deben conectarse a la red de la empresa o a la VPN para acceder a los documentos en la zona restringida.

Notificaciones por correo electrónico de su servidor de correo: Cuando los usuarios reciben notificaciones por correo electrónico sobre archivos y carpetas compartidos en una zona restringida, el correo electrónico se envía desde su servidor de correo interno en lugar de un servidor ShareFile.

Diferencias entre zonas estándar y restringidas

Propiedades Zonas estándar Zonas restringidas
Los servidores de zonas de almacenamiento se pueden administrar mediante… Citrix o administrador de cuentas administrador de cuentas
La autenticación de usuario es manejada por… ShareFile.com o ShareFile.eu una combinación de ShareFile.com o ShareFile.eu más el controlador de zonas de almacenamiento local
Los archivos se pueden compartir con… empleados y usuarios de terceros (es decir, cualquier persona con una dirección de correo electrónico) empleados u otros usuarios que tengan una cuenta de dominio
Los metadatos de archivos y carpetas almacenados en el plano de control ShareFile son… almacenado en texto claro, visible para algunos empleados de Citrix cifrados con sus claves privadas, que no están disponibles para Citrix
Las notificaciones por correo electrónico se envían mediante… Servidores de correo ShareFile o servidores SMTP sus servidores SMTP
Una dirección externa de la zona es… requerido no se requiere

Zonas de almacenamiento estándar y restringidas

Puede designar una zona de almacenamiento como estándar o restringida.

  • Una zona de almacenamiento estándar está diseñada para almacenar datos no confidenciales, y permite a los empleados compartir datos con otras personas ajenas a la empresa.
  • Una zona de almacenamiento restringida protege los datos confidenciales: solo los empleados pueden acceder a los datos almacenados en la zona.

En la siguiente tabla se resumen las diferencias entre las zonas estándar y restringidas.

Propiedades Zonas estándar Zonas restringidas
Los servidores de zonas de almacenamiento se pueden administrar mediante… Citrix o administrador de cuentas administrador de cuentas
La autenticación de usuario es manejada por… ShareFile.com o ShareFile.eu una combinación de ShareFile.com o ShareFile.eu más el controlador de zonas de almacenamiento local
Los archivos se pueden compartir con… empleados y usuarios de terceros (es decir, cualquier persona con una dirección de correo electrónico) empleados u otros usuarios que tengan una cuenta de dominio
Los metadatos de archivos y carpetas almacenados en el plano de control ShareFile son… almacenado en texto claro, visible para algunos empleados de Citrix cifrados con sus claves privadas, que no están disponibles para Citrix
Las notificaciones por correo electrónico se envían mediante… Servidores de correo ShareFile o servidores SMTP sus servidores SMTP
Una dirección externa de la zona es… requerido no se requiere

En una zona administrada por Citrix, la nube de ShareFile realiza todas las operaciones excepto la autenticación de los empleados, que se maneja mediante el controlador de zonas de almacenamiento.

En la zona estándar, el mantenimiento y las actualizaciones del sitio web, las actualizaciones de clientes y aplicaciones, los metadatos de archivos, la autorización de carga y descarga, las notificaciones por correo electrónico (SMTP), la autenticación de usuarios de terceros y los permisos de carpetas se gestionan en la nube. La autenticación de los empleados y el almacenamiento y cifrado de archivos son manejados por el Controller.

En la zona restringida, el mantenimiento y las actualizaciones del sitio web, las actualizaciones de clientes y aplicaciones y los permisos de carpetas se gestionan en la nube. El controlador gestiona la autenticación de los empleados, el almacenamiento y el cifrado de archivos, los metadatos de los archivos, la autorización de carga y descarga y las notificaciones por correo electrónico (SMTP). La autenticación de usuarios de terceros no se admite en la zona restringida.

ShareFile admite una combinación de zonas estándar y restringidas dentro de una cuenta. Puede crear varias zonas restringidas, cada una con sus propios requisitos de autenticación únicos. Por ejemplo, si los usuarios del dominio A no deben poder compartir archivos con los usuarios del dominio B, instale una zona restringida independiente para cada dominio.

El resto de esta sección describe el flujo de trabajo en las zonas administradas, estándar y restringidas de ShareFile.

Implementación de pruebas de concepto para zonas de almacenamiento restringidas

Un controlador de zonas de almacenamiento configurado para zonas restringidas no necesita aceptar conexiones entrantes de la nube de ShareFile: puede configurarlo con una dirección interna. La siguiente ilustración indica el flujo de tráfico entre los dispositivos de los usuarios, la nube de ShareFile y el controlador de zonas de almacenamiento.

Implementación de pruebas de concepto para zonas restringidas

En este caso, un firewall se interpone entre Internet y la red segura. El controlador de zonas de almacenamiento reside dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL, que puede ser privado, en el servicio IIS del controlador de zonas de almacenamiento.

Para zonas restringidas, el controlador de zonas de almacenamiento envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.

Implementación de alta disponibilidad para zonas restringidas

Los controladores de zonas de almacenamiento configurados para zonas restringidas no necesitan aceptar conexiones entrantes de la nube de ShareFile: puede configurar cada uno con una dirección interna. La siguiente ilustración muestra una implementación de alta disponibilidad para zonas restringidas.

Implementación de alta disponibilidad para zonas restringidas

En este caso, un firewall se interpone entre Internet y la red segura. Los controladores de zonas de almacenamiento residen dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL, que puede ser privado, en el servicio IIS del controlador de zonas de almacenamiento.

Para zonas restringidas, el controlador de zonas de almacenamiento envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.

Zonas restringidas

En la siguiente tabla se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento de una zona restringida. Todas las conexiones utilizan HTTPS.

Paso Origen Destino
1. Solicitud de inicio de sesión del usuario Cliente company.sharefile.com
2. Si usa ADFS, redirija al inicio de sesión del IdP SAML Cliente URL del proveedor de identidades SAML
3. Solicitud de enumeración y descarga de archivos/carpetas Cliente szc.company.com
4. Autorización de descarga de archivos y obtener metadatos cifrados szc.company.com company.sharefile.com
5. Descarga de archivos Cliente szc.company.com

Implementación para zonas de almacenamiento restringidas

La siguiente ilustración muestra una implementación de alta disponibilidad para zonas restringidas.

Controladores de zonas de almacenamiento con zonas restringidas

Para zonas restringidas, el controlador de zonas de almacenamiento envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.

Conexiones de red para zonas restringidas

El siguiente diagrama y tabla describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, carga un documento en una zona restringida. En este caso, la cuenta utiliza Servicios de federación de Active Directory (ADFS) para el inicio de sesión de SAML. El tráfico de autenticación lo maneja un servidor proxy ADFS que se comunica con un servidor ADFS en la red de confianza.

Conexiones de red para zonas restringidas

Paso Origen Destino Protocolo
1. El cliente o el explorador de ShareFile abren la conexión Cliente company.sharefile.com o company.sharefile.eu HTTPS
2. (Opcional) Redirigir al inicio de sesión del IdP SAML Cliente URL del proveedor de identidades SAML HTTPS
3. ShareFile redirige al usuario al controlador de zonas de almacenamiento Cliente company.sharefile.com o company.sharefile.eu HTTPS
4. El cliente envía las credenciales de Windows al controlador de zonas de almacenamiento Cliente Controlador de zonas de almacenamiento HTTPS
5. El controlador de zonas de almacenamiento verifica las credenciales y concede acceso al cliente Controlador de zonas de almacenamiento Controlador de dominio Kerberos
6. El cliente carga un archivo en el controlador de zonas de almacenamiento Cliente Controlador de zonas de almacenamiento HTTPS
7. El archivo se escribe en el repositorio de almacenamiento de la zona restringida Controlador de zonas de almacenamiento Almacenamiento local CIFS
8. El controlador de zonas de almacenamiento cifra los metadatos de los archivos y los envía a ShareFile Controlador de zonas de almacenamiento company.sharefile.com o company.sharefile.eu HTTPS

Para zonas de almacenamiento restringidas:

  • Use un nombre de host interno o externo.

  • Habilite SSL para las comunicaciones con ShareFile.

    Si usa un nombre de host interno, puede usar un certificado privado. Los dispositivos de los usuarios deben confiar en el certificado.

    Si usa un nombre de host externo, los dispositivos de usuario y los servidores web de ShareFile deben confiar en el certificado SSL del controlador de zonas de almacenamiento.

  • Proporcionar acceso HTTP saliente desde el controlador de zonas de almacenamiento a uno de los siguientes URI de bus de servicio:

    • Cuentas de ShareFile.com: sf-zk-email-use.servicebus.windows.net
    • Cuentas de ShareFile.eu: sf-zk-email-euw.servicebus.windows.net

    Asegúrese de organizar las dependencias de red con su equipo de redes.

Requisitos del cliente para zonas de almacenamiento restringidas

La aplicación web ShareFile admite zonas de almacenamiento restringidas desde los siguientes exploradores web:

  • Internet Explorer 11

    Para habilitar el acceso desde la aplicación web ShareFile a carpetas y conectores en zonas restringidas:

    1. Abra Internet Explorer, vaya a Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, haga clic en Sitios de confianza.
    2. Haga clic en Sitios y, a continuación, agregue su subdominio y la dirección del controlador de zonas de almacenamiento externo.
    3. Haga clic en Cerrar y, después, en Nivel personalizado.
    4. En Varios > Acceder a las fuentes de datos en los dominios, seleccione Habilitar.
    5. Para Autenticación de usuario > Inicio de sesión, seleccione Solicitar nombre de usuario y contraseña.
  • Chrome

  • Firefox

  • Safari

  • Secure Web

Para admitir zonas de almacenamiento restringidas, los clientes de ShareFile deben actualizarse a las siguientes versiones o posteriores:

  • ShareFile Sync para Windows 3.1
  • Complemento de Outlook de ShareFile 3.2.2
  • ShareFile para iOS 3.3
  • ShareFile para Android 3.4
  • ShareFile para Windows Phone 2.3.10

Estos clientes y herramientas de ShareFile no se admiten para su uso con zonas de almacenamiento restringidas a partir de la fecha de publicación de este artículo:

Nota: Para obtener la información más reciente sobre las capacidades del cliente de ShareFile, consulte el sitio de asistencia de ShareFile o contacte con su representante de asistencia de ShareFile.

  • Uso fuera del dominio de ShareFile Desktop Sync para Windows 3.1 y el complemento de Outlook de ShareFile

    Los clientes deben estar en un escritorio de Windows unido a un dominio que esté en el mismo bosque de Active Directory que el servidor del controlador de zonas de almacenamiento. Los clientes pueden usar NTLM o Kerberos para la autenticación silenciosa en una zona restringida.

  • On-Demand Sync demanda para Windows

  • Sync para Mac

  • ShareFile Enterprise Sync Manager

  • Secure Mail para iOS

  • ShareFile Desktop Widget

  • ShareFile para BlackBerry

  • Sitio web móvil ShareFile

Los siguientes métodos alternativos de acceso a la cuenta no se admiten para su uso con zonas de almacenamiento restringidas:

  • FTP
  • PowerShell
  • Interfaz de línea de comandos de ShareFile (SFCLI)
  • HTTPS API (V1)
  • WebDAV
  • SMTP

Importante

ShareFile no admite oficialmente ni recomienda utilizar la replicación DFS. Se sabe que causa errores de bloqueo para archivos más grandes. Si se debe usar la replicación DFS, use soluciones de reserva separadas durante las horas de menor actividad cuando la zona no esté en uso activo.

Actualizar zona de almacenamiento restringida

Cuando actualiza un controlador de zonas de almacenamiento a la versión más reciente, ese controlador sigue utilizando zonas estándar. No puede cambiar una zona estándar a una zona restringida.

Para reemplazar una zona estándar por una zona restringida, debe instalar un nuevo controlador de zonas de almacenamiento y configurar una zona restringida.

Para admitir zonas restringidas o acceso web a conectores, debe realizar una configuración adicional de Citrix ADC después de completar el asistente. La configuración garantiza que los clientes de ShareFile envíen credenciales solo cuando inicien sesión en un dominio de ShareFile de confianza. Para admitir el acceso web a los conectores, también debe agregar una ruta (/ProxyService) a la directiva de cambio de contenido utilizada para el tráfico a /cifs y /sp.

Información adicional sobre zonas restringidas

La compatibilidad con zonas de almacenamiento restringidas afecta a todos los aspectos del servicio ShareFile. Como resultado de los cambios de protocolo necesarios para admitir el cifrado de metadatos y la autenticación de zona, algunos clientes y funciones de ShareFile no se admiten cuando se trabaja con documentos en una zona de almacenamiento restringida.

Contenido

  • Clientes y herramientas
  • Exploradores web
  • Funciones
  • Sincronización para Windows
  • Aplicaciones móviles
  • Complemento de Outlook

Clientes y herramientas

   
Sincronización para Windows A partir de 3.1
Complemento para Microsoft Outlook A partir de 3.2.2
On-Demand Sync demanda para Windows No se admite
Drive Mapper A partir de 3.01.171.0
ShareFile para iOS 3.3 — Solo MDX
ShareFile para Android A partir de 3.4
ShareFile para Windows Phone 8 A partir de 2.3.10
Sync para Mac No se admite
ShareFile Desktop No se admite
XenMobile WorxMail para iOS No se admite
XenMobile WorxMail para Android Se admite
Imprimir en ShareFile No se admite
Sitio web móvil No se admite
Otros métodos de acceso a la cuenta  
PowerShell No se admite
SFCLI No se admite
REST API(V3) Se admite
HTTPS APT(V1) No se admite
Cobertura de prueba RSZ No se admite
FTP No se admite
Enviar archivos por correo electrónico a una carpeta No se admite
SDK de .NET Se admite

Exploradores web

   
Windows Internet Explorer 11, Firefox (la versión más reciente), Chrome (la versión más reciente)
macOS Safari (la versión más reciente), Firefox (la versión más reciente), Chrome (la versión más reciente)
iOS Safari, Secure Web
Android Secure Web

Funciones

Acciones del usuario final: Trabajar con archivos:

   
Explorar y descargar archivos Se admite
Subir archivos (tipo cargador) HTML5: compatible; Flash: no compatible; Java: no compatible; formato HTML estándar: no compatible
papelera de reciclaje Se admite
Descarga y eliminación en masa Se admite
File Box Ver: Compatible; Eliminar: Compatible; Subir: Compatible; Descargar: No compatible; Enviar desde Filebox: No compatible
Vista previa de archivos (miniaturas) No se admite
Ver documentos en el explorador web No se admite
Recarga de archivos No se admite
Varias versiones por archivo No se admite
Búsqueda Elementos de zona restringida no incluidos en los resultados de búsqueda
Marcar una carpeta como favorita No se admite
Copiar o mover archivos No se admite
Modificar opciones de carpeta: fecha de caducidad de carpetas, directiva de retención de archivos Se admite
Burbujeo de carpetas compartidas No se admite

Acciones del usuario final: uso compartido y colaboración:

   
Enviar un archivo: requerir la carga, enviar un correo electrónico con ShareFile, darme un enlace que pueda copiar, solicitar al usuario que inicie sesión, limitar el número de descargas Se admite
Recibir y descargar un archivo compartido Se admite
Crear una carpeta compartida en una zona de almacenamiento restringida Se admite
Agregar usuarios a una carpeta: controlar los permisos de carga y descarga Se admite
Solicitar un archivo Se admite
Solicite un archivo con “Requerir inicio de sesión en ShareFile” habilitado No se admite
Notificaciones por correo Se admite
Bandeja de entrada: archivos que me han enviado Se admite
Bandeja de entrada: mensajes enviados Ver, caducar, reenviar, modificar: compatible
Ver registro de actividades Se admite
Obtener firma (a través de RightSignature) No se admite

Acciones administrativas:

   
Crear un usuario en una zona restringida Se admite
Migrar el usuario a una zona diferente No se admite
Informes: auditoría de acceso, informe de uso, informe de mensajería, informe de ancho de banda, informe de almacenamiento Visor HTML: compatible; visores Excel/CSV/PDF: se muestran metadatos cifrados
Administración de zona  
Supervisar el uso Se admite
Supervisar el uso Se admite
Supervisar la actividad Se admite
Recuperar archivos No se admite
Reconciliar archivos No se admite
Eliminar zona Se admite
Alta disponibilidad Se admite

Sincronización para Windows

Versión mínima - 3.1

   
Autenticar desde un cliente unido a un dominio: NTLM o Kerberos Se admite
Autenticar desde un cliente que no sea de dominio: el usuario solicita una contraseña Se admite
Sincronizar “Mis archivos y carpetas” en una zona restringida Se admite
Sincronizar carpetas compartidas desde una zona restringida Se admite
Subir, descargar, sincronizar Se admite
Sincronización a petición para entornos XenApp y XenDesktop No se admite
Ver carpetas favoritas No disponible para carpetas de zonas de almacenamiento restringidas
Clic derecho > Copiar enlace Se admite
Clic derecho > Archivo de correo Se admite

Aplicaciones móviles

Consulte las tablas específicas de la aplicación a continuación:

iOS: versión mínima 3.3

   
Explorar y descargar archivos Se admite
Ver contenido sin conexión Se admite
Crear una carpeta Se admite
Crear o modificar un archivo Se admite
Subir foto o vídeo Se admite
Autenticar con nombre de usuario/contraseña Se admite
Inicio de sesión único con micro VPN de Worx Se admite
Compartir: copiar un enlace Se admite
Compartir: Compartir por correo electrónico No se admite
Agregar o modificar notas de carpeta No se admite
Crear una nota o modificar notas existentes No se admite
Agregar personas a la carpeta o modificar los permisos de carpeta existentes No se admite
Marcar/desmarcar una carpeta como favorita No se admite
Solicitar un archivo No se admite
Vistas previas en miniatura No se admite
Eliminación de varios artículos No se admite
Poner la carpeta disponible sin conexión Se admite, excepto para las carpetas “Compartidas conmigo” de nivel raíz
Compartir una carpeta Se admite, excepto para las carpetas “Compartidas conmigo” de nivel raíz
Crear un conector en una zona de almacenamiento restringida No se admite

Android - Versión mínima 3.4

   
Explorar y descargar archivos Se admite
Ver contenido sin conexión Se admite
Enviar un archivo Se admite
Crear una carpeta Se admite
Crear o modificar un archivo Se admite
Cargar archivos Se admite
Autenticar con nombre de usuario/contraseña Se admite
Inicio de sesión único con micro VPN de Worx Se admite
Solicitar un archivo No se admite
Crea una nota No se admite
Sobrescribir el archivo existente después de No se admite

Complemento de Outlook

   
Autenticar desde un cliente unido a un dominio: NTLM o Kerberos Se admite
Autenticar desde un cliente que no sea de dominio: el usuario solicita una contraseña Se admite
Examinar y seleccionar archivos de ShareFile Se admite
Busque y seleccione archivos de ShareFile con la opción “Requerir a los destinatarios que inicien sesión” habilitada No se admite
Convertir archivo adjunto en enlace ShareFile Se admite
Convertir archivo adjunto en enlace ShareFile con “Requerir a los destinatarios que inicien sesión” habilitado No se admite
Solicitar un archivo Se admite
Solicite un archivo con “Requerir a los destinatarios que inicien sesión” habilitado No se admite