Storage zones controller

Zonas de almacenamiento restringidas

Las zonas de almacenamiento restringidas se utilizan para proteger los datos confidenciales. Solo los empleados pueden acceder al almacenamiento restringido.

La autenticación de usuarios de terceros no se admite en la zona restringida.

Nota:

Las zonas de almacenamiento restringidas son Fin de mantenimiento. Esta directiva de ciclo de vida se describe con más detalle en Definiciones de hitos del ciclo de vida. No se admite la creación de nuevas zonas de almacenamiento restringido. Los clientes existentes que utilicen zonas de almacenamiento restringido recibirán más información sobre los hitos futuros del producto.

Funciones de zona restringida

Autenticación de zona: además de iniciar sesión en ShareFile, los usuarios deben autenticarse por separado en el controlador de zonas de almacenamiento para acceder a los documentos almacenados en una zona restringida. La búsqueda de directorios garantiza que el usuario que inicia sesión en ShareFile sea el mismo que se autentica en la zona. Este requisito de autenticación adicional limita el uso compartido. Los documentos solo se pueden compartir con otras personas que tengan acceso al controlador de zonas de almacenamiento y que puedan autenticarse mediante credenciales de empresa. En una zona restringida, los archivos no se pueden compartir de forma anónima. Los usuarios deben tener permiso para ver un archivo y siempre deben iniciar sesión para recibir un archivo compartido.

Cifrado de metadatos: toda la información sobre archivos y carpetas de la zona se cifra con su clave antes de enviarla a ShareFile. Como resultado, nadie ajeno a la organización puede ver nombres de carpetas o archivos en zonas restringidas. El acceso a claves de cifrado, archivos descifrados y metadatos solo está disponible a través de la autenticación empresarial para el controlador de zonas de almacenamiento.

Dirección interna para el controlador de zonas de almacenamiento: para una zona restringida, la autorización se produce entre el controlador de zonas de almacenamiento y los clientes de ShareFile en lugar de entre el controlador de zonas de almacenamiento y la nube de ShareFile. Como resultado, un controlador de zonas de almacenamiento que hospeda zonas restringidas no requiere una dirección externa o un certificado SSL externo. Cuando el controlador de zonas de almacenamiento se configura con una dirección solo interna, los usuarios deben conectarse a la red de la empresa o a la VPN para acceder a los documentos de la zona restringida.

Notificaciones por correo electrónico desde su servidor de correo: cuando los usuarios reciben notificaciones por correo electrónico sobre archivos y carpetas compartidos en una zona restringida, el correo electrónico se envía desde su servidor de correo interno en lugar de un servidor ShareFile.

Diferencias entre zonas estándar y restringidas

Propiedades Zonas estándar Zonas restringidas
Los servidores de zonas de almacenamiento pueden ser administrados por… Citrix o usted usted
La autenticación de usuario es manejada por… ShareFile.com o ShareFile.eu una combinación de ShareFile.com o ShareFile.eu más su controlador de zonas de almacenamiento local
Los archivos se pueden compartir con… empleados y usuarios de terceros (es decir, cualquier persona con una dirección de correo electrónico) empleados u otros usuarios que tengan una cuenta de dominio
Los metadatos de archivos y carpetas almacenados en el plano de control ShareFile son… almacenado en texto claro, visible para algunos empleados de Citrix cifradas con sus claves privadas, que no están disponibles para Citrix
Las notificaciones por correo electrónico se envían mediante… Servidores de correo ShareFile o servidores SMTP sus servidores SMTP
Una dirección externa para la zona es… obligatorio no se requiere

Zonas de almacenamiento estándar y restringidas

Puede designar una zona de almacenamiento como estándar o restringida.

  • Una zona de almacenamiento estándar está diseñada para almacenar datos no confidenciales, y permite a los empleados compartir datos con otras personas ajenas a la empresa.
  • Una zona de almacenamiento restringida protege los datos confidenciales: Solo los empleados pueden acceder a los datos almacenados en la zona.

En la siguiente tabla se resumen las diferencias entre las zonas estándar y las zonas restringidas.

Propiedades Zonas estándar Zonas restringidas
Los servidores de zonas de almacenamiento pueden ser administrados por… Citrix o usted usted
La autenticación de usuario es manejada por… ShareFile.com o ShareFile.eu una combinación de ShareFile.com o ShareFile.eu más su controlador de zonas de almacenamiento local
Los archivos se pueden compartir con… empleados y usuarios de terceros (es decir, cualquier persona con una dirección de correo electrónico) empleados u otros usuarios que tengan una cuenta de dominio
Los metadatos de archivos y carpetas almacenados en el plano de control ShareFile son… almacenado en texto claro, visible para algunos empleados de Citrix cifradas con sus claves privadas, que no están disponibles para Citrix
Las notificaciones por correo electrónico se envían mediante… Servidores de correo ShareFile o servidores SMTP sus servidores SMTP
Una dirección externa para la zona es… obligatorio no se requiere

En una zona administrada por Citrix, la nube de ShareFile realiza todas las operaciones excepto para la autenticación de empleados, que es manejada por el controlador de zonas de almacenamiento.

En la zona estándar, el mantenimiento y las actualizaciones del sitio web, las actualizaciones de clientes y aplicaciones, los metadatos de archivos, la autorización de carga y descarga, las notificaciones de correo electrónico (SMTP), la autenticación de usuarios de terceros y los permisos de carpetas se gestionan en la nube. La autenticación de los empleados y el almacenamiento y cifrado de archivos son manejados por el Controller.

En la zona restringida, el mantenimiento y las actualizaciones del sitio web, las actualizaciones de clientes y aplicaciones y los permisos de carpeta se gestionan en la nube. La autenticación de los empleados, el almacenamiento y el cifrado de archivos, los metadatos de los archivos, la autorización de carga y descarga y las notificaciones por correo electrónico (SMTP) son manejadas por el Controller. La autenticación de usuarios de terceros no se admite en la zona restringida.

ShareFile admite una combinación de zonas estándar y restringidas dentro de una cuenta. Puede crear varias zonas restringidas, cada una con sus propios requisitos de autenticación únicos. Por ejemplo, si a los usuarios del Dominio A no se les debe permitir compartir archivos con usuarios del Dominio B, instale una zona restringida independiente para cada dominio.

El resto de esta sección describe el flujo de trabajo en zonas administradas por ShareFile, estándar y restringidas.

Implementación de prueba de concepto para zonas de almacenamiento restringido

Un controlador de zonas de almacenamiento configurado para zonas restringidas no necesita aceptar conexiones enlazadas desde la nube de ShareFile: Puede configurarlo con una dirección interna. La siguiente figura indica el flujo de tráfico entre los dispositivos de usuario, la nube ShareFile y el controlador de zonas de almacenamiento.

Implementación de prueba de concepto para zonas restringidas

En este caso, un firewall se encuentra entre Internet y la red segura. El controlador de zonas de almacenamiento reside dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL, que puede ser privado, en el servicio IIS del controlador de zonas de almacenamiento.

Para zonas restringidas, el controlador de zonas de almacenamiento envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.

Implementación de alta disponibilidad para zonas restringidas

Los controlador de zonas de almacenamiento configurados para zonas restringidas no necesitan aceptar conexiones enlazadas desde la nube de ShareFile: Puede configurar cada una con una dirección interna. La siguiente figura muestra una implementación de alta disponibilidad para zonas restringidas.

Implementación de alta disponibilidad para zonas restringidas

En este caso, un firewall se encuentra entre Internet y la red segura. Los controladores de zonas de almacenamiento residen dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL, que puede ser privado, en el servicio IIS del controlador de zonas de almacenamiento.

Para zonas restringidas, el controlador de zonas de almacenamiento envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.

Zonas restringidas

En la tabla siguiente se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento de una zona restringida. Todas las conexiones utilizan HTTPS.

Paso Origen Destino
1. solicitud de inicio de sesión de usuario Cliente company.sharefile.com
2. Si utiliza ADFS, redireccione al inicio de sesión de IdP de SAML Cliente URL del proveedor de identidades SAML
3. Enumeración de archivos/carpetas y solicitud de descarga Cliente szc.company.com
4. Autorización de descarga de archivos y obtener metadatos cifrados szc.company.com company.sharefile.com
5. Descarga de archivos Cliente szc.company.com

Implementación para zonas de almacenamiento restringido

La siguiente figura muestra una implementación de alta disponibilidad para zonas restringidas.

Controladores de zonas de almacenamiento con zonas restringidas

Para zonas restringidas, el controlador de zonas de almacenamiento envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.

Conexiones de red para zonas restringidas

El diagrama y la tabla siguientes describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, carga un documento en una zona restringida. En este caso, la cuenta utiliza Servicios de federación de Active Directory (ADFS) para el inicio de sesión de SAML. El tráfico de autenticación es manejado por un servidor proxy ADFS que se comunica con un servidor ADFS en la red de confianza.

Conexiones de red para zonas restringidas

Paso Origen Destino Protocolo
1. El cliente o el explorador ShareFile abre la conexión Cliente company.sharefile.com o company.sharefile.eu HTTPS
2. (Opcional) Redirigir al inicio de sesión de IdP de SAML Cliente URL del proveedor de identidades SAML HTTPS
3. ShareFile redirige al usuario al controlador de zonas de almacenamiento Cliente company.sharefile.com o company.sharefile.eu HTTPS
4. El cliente envía credenciales de Windows al controlador de zonas de almacenamiento Cliente Controlador de zonas de almacenamiento HTTPS
5. El controlador de zonas de almacenamiento verifica las credenciales y otorga acceso al cliente Controlador de zonas de almacenamiento Controller de dominio Kerberos
6. El cliente carga un archivo en el controlador de zonas de almacenamiento Cliente Controlador de zonas de almacenamiento HTTPS
7. El archivo se escribe en el repositorio de almacenamiento para la zona restringida Controlador de zonas de almacenamiento Almacenamiento local CIFS
8. El controlador de zonas de almacenamiento cifra los metadatos del archivo y lo envía a ShareFile Controlador de zonas de almacenamiento company.sharefile.com o company.sharefile.eu HTTPS

Para zonas de almacenamiento restringidas:

  • Utilice un nombre de host interno o externo.

  • Habilite SSL para las comunicaciones con ShareFile.

    Si utiliza un nombre de host interno, puede utilizar un certificado privado. Los dispositivos de usuario deben confiar en el certificado.

    Si utiliza un nombre de host externo, los dispositivos de usuario y los servidores web de ShareFile deben confiar en el certificado SSL del controlador de zonas de almacenamiento.

  • Proporcionar acceso HTTP saliente desde el controlador de zonas de almacenamiento a uno de los siguientes URI de bus de servicio:

    • Cuentas de ShareFile.com: sf-zk-email-use.servicebus.windows.net
    • Cuentas de ShareFile.eu: sf-zk-email-euw.servicebus.windows.net

    Asegúrese de organizar las dependencias de red con su equipo de red.

Requisitos del cliente para zonas de almacenamiento restringido

La aplicación web ShareFile admite zonas de almacenamiento restringidas de los siguientes exploradores web:

  • Internet Explorer 11

    Para habilitar el acceso desde la aplicación web ShareFile a carpetas y conectores en zonas restringidas:

    1. Abra Internet Explorer, vaya a Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, haga clic en Sitios de confianza.
    2. Haga clic en Sitios y, a continuación, agregue su subdominio y la dirección del controlador de zonas de almacenamiento externo.
    3. Haga clic en Cerrar y luego en Nivel personalizado.
    4. En Varios > Acceder a orígenes de datos entre dominios, seleccione Habilitar.
    5. En Autenticación de usuario > Inicio de sesión, seleccione Solicitar nombre de usuario y contraseña.
  • Chrome

  • Firefox

  • Safari

  • Secure Web

Para admitir zonas de almacenamiento restringidas, los clientes de ShareFile deben actualizarse a las siguientes versiones o versiones posteriores:

  • ShareFile Sync para Windows 3.1
  • Plug-in de Outlook de ShareFile 3.2.2
  • ShareFile para iOS 3.3
  • ShareFile para Android 3.4
  • ShareFile para Windows Phone 2.3.10

Estos clientes y herramientas de ShareFile no se admiten para su uso con zonas de almacenamiento restringidas a partir de la fecha de publicación de este artículo:

Nota: Para obtener la información más reciente acerca de las capacidades del cliente ShareFile, consulte el Compatibilidad con ShareFile sitio o póngase en contacto con su representante de soporte técnico de ShareFile.

  • Uso fuera de dominio de ShareFile Desktop Sync para Windows 3.1 y ShareFile Outlook Plug-in

    Los clientes deben estar en un escritorio de Windows unido a un dominio que esté en el mismo bosque de Active Directory que el servidor del controlador de zonas de almacenamiento. Los clientes pueden usar NTLM o Kerberos para la autenticación silenciosa en una zona restringida.

  • On-Demand Sync demanda para Windows

  • Sync para Mac

  • ShareFile Enterprise Sync Manager

  • Secure Mail para iOS

  • Widget ShareFile Desktop

  • ShareFile para BlackBerry

  • Sitio web móvil de ShareFile

No se admiten los siguientes métodos alternativos de acceso a cuentas para su uso con zonas de almacenamiento restringidas:

  • FTP
  • PowerShell
  • Interfaz de línea de comandos ShareFile (SFCLI)
  • HTTPS API (V1)
  • WebDAV
  • SMTP

Importante

ShareFile no admite oficialmente y no recomienda utilizar la replicación DFS. Se sabe que causa fallas de bloqueo para archivos más grandes. Si se debe utilizar la replicación DFS, utilice soluciones de copia de seguridad independientes durante las horas de menor consumo cuando la zona no esté en uso activo.

Actualizar zona de almacenamiento restringido

Cuando actualiza un controlador de zonas de almacenamiento a la versión más reciente, ese Controller continúa mediante zonas estándar. No se puede actualizar una zona estándar a una zona restringida.

Para reemplazar una zona estándar por una zona restringida, debe instalar un nuevo controlador de zonas de almacenamiento y configurar una zona restringida.

Para admitir zonas restringidas o acceso web a conectores, debe realizar una configuración adicional de Citrix ADC después de completar el asistente. La configuración garantiza que los clientes ShareFile envíen credenciales solo cuando inicien sesión en un dominio ShareFile de confianza. Para admitir el acceso web a conectores, también debe agregar una ruta (/ProxyService) a la directiva de conmutación de contenido utilizada para el tráfico a /cifs y /sp.

Información adicional sobre zonas restringidas

La compatibilidad con zonas de almacenamiento restringidas afecta a todos los aspectos del servicio ShareFile. Como resultado de los cambios de protocolo necesarios para admitir el cifrado de metadatos y la autenticación de zona, algunos clientes y funciones de ShareFile no son compatibles cuando se trabaja con documentos en una zona de almacenamiento restringida.

Contenido

  • Clientes y herramientas
  • Exploradores web
  • Funciones
  • Sync para Windows
  • Aplicaciones móviles
  • Plug-in de Outlook

Clientes y herramientas

   
Sync para Windows 3.1 y superior
Plug-in para Microsoft Outlook 3.2.2 y superiores
On-Demand Sync demanda para Windows No se admite
Drive Mapper 3.01.171.0 y superior
ShareFile para iOS 3.3: Solo MDX
ShareFile para Android 3.4 y superior
ShareFile para Windows Phone 8 2.3.10 y más
Sync para Mac No se admite
ShareFile Desktop No se admite
XenMobile WorxMail para iOS No se admite
XenMobile WorxMail para Android Compatible
Imprimir en ShareFile No se admite
Sitio web móvil No se admite
Otros métodos de acceso a cuentas  
PowerShell No se admite
SFCLI No se admite
API DE DESCANSO (V3) Se admite
HTTPS APT (V1) No se admite
Cobertura de prueba RSZ No se admite
FTP No se admite
Enviar archivos por correo electrónico a una carpeta No se admite
.NET SDK Se admite

Exploradores web

   
Windows Internet Explorer 11, Firefox (última versión), Chrome (última versión)
macOS Safari (última versión), Firefox (última versión), Chrome (última versión)
iOS Safari, Secure Web
Android Secure Web

Funciones

Acciones del usuario final: Trabajar con archivos:

   
Explorar y descargar archivos Se admite
Cargar archivos (tipo de cargador) HTML5: Compatible; Flash: No compatible; Java: No compatible; Formulario HTML estándar: No compatible
Papelera de reciclaje Se admite
Descargar y eliminar en masa Se admite
Caja de archivos Ver: Compatible; Eliminar: Compatible; Cargar: Compatible; Descargar: No compatible; Enviar desde el cuadro de archivos: No compatible
Vista previa de archivos (miniaturas) No se admite
Ver documentos en el explorador web No se admite
Volver a cargar archivos No se admite
Varias versiones por archivo No se admite
Buscar Elementos de la zona restringida no incluidos en los resultados
Marcar una carpeta como favorita No se admite
Copiar o mover archivos No se admite
Modificar opciones de carpeta: Fecha de caducidad de la carpeta, directiva de retención de archivos Se admite
Burbujeo de carpeta compartida No se admite

Acciones del usuario final: Uso compartido y colaboración:

   
Enviar un archivo: Requiere carga, enviar correo electrónico mediante ShareFile, darme un enlace que pueda copiar, requerir que el usuario inicie sesión, limitar el número de descargas Se admite
Recibir y descargar un archivo compartido Se admite
Crear una carpeta compartida en una zona de almacenamiento restringido Se admite
Agregar usuarios a una carpeta: Controlar los permisos de carga y descarga Se admite
Solicitar un archivo Se admite
Solicitar un archivo con “Requerir inicio de sesión de ShareFile” habilitado No se admite
Notificaciones de correo Se admite
Bandeja de entrada: Archivos enviados a mí Se admite
Bandeja de entrada: Mensajes enviados Ver, caducar, volver a enviar, modificar: Compatible
Ver registro de actividad Se admite
Obtener firma (a través de RightSignature) No se admite

Acciones administrativas:

   
Crear un usuario en una zona restringida Se admite
Migrar usuario a una zona diferente No se admite
Informes: Auditoría de acceso, informe de uso, informe de mensajería, informe de ancho de banda, informe de almacenamiento Visor HTML: Compatible; Visor de Excel/CSV/PDF: Se muestran los metadatos cifrados
Administración de Zona  
Supervisar el uso del Se admite
Supervisar el uso del Se admite
Supervisar actividad de archivos Se admite
Recuperar archivos No se admite
Reconciliar archivos No se admite
Eliminar zona Se admite
Alta disponibilidad Se admite

Sync para Windows

Versión mínima: 3.1

   
Autenticar desde un cliente unido a un dominio: NTLM o Kerberos Se admite
Autenticar desde un cliente que no es de dominio: El usuario solicita la contraseña Se admite
Sincronizar “Mis archivos y carpetas” en una zona restringida Se admite
Sincronizar carpetas compartidas desde una zona restringida Se admite
Cargar, descargar, sincronizar Se admite
Sincronización bajo demanda para entornos XenApp y XenDesktop No se admite
Ver carpetas favoritas No disponible para carpetas de zonas de almacenamiento restringidas
Haga clic derecho > Copiar Se admite
Haga clic derecho > Archivo de correo Se admite

Aplicaciones móviles

Consulte las tablas específicas de la aplicación a continuación:

iOS: Versión mínima 3.3

   
Explorar y descargar archivos Se admite
Ver contenido sin conexión Se admite
Crear una carpeta Se admite
Crear o modificar un archivo Se admite
Cargar foto o vídeo Se admite
Autenticar con nombre de usuario/contraseña Se admite
Inicio de sesión único con Worx micro VPN Se admite
Compartir: Copiar un enlace Se admite
Compartir: Compartir por correo electrónico No se admite
Agregar o modificar notas de carpeta No se admite
Crear una nota o modificar notas existentes No se admite
Agregar personas a una carpeta o modificar permisos de carpeta existentes No se admite
Marcar o desmarcar una carpeta como favorita No se admite
Solicitar un archivo No se admite
Vista previa en miniatura No se admite
Eliminar varios elementos No se admite
Hacer la carpeta disponible sin conexión Compatible excepto para carpetas “Compartido conmigo” de nivel raíz
Compartir una carpeta Compatible excepto para carpetas “Compartido conmigo” de nivel raíz
Crear un conector en una zona de almacenamiento restringida No se admite

Android: Versión mínima 3.4

   
Explorar y descargar archivos Se admite
Ver contenido sin conexión Se admite
Enviar un archivo Se admite
Crear una carpeta Se admite
Crear o modificar un archivo Se admite
Cargar archivos Se admite
Autenticar con nombre de usuario/contraseña Se admite
Inicio de sesión único con Worx micro VPN Se admite
Solicitar un archivo No se admite
Crear una nota No se admite
Sobrescribir el archivo existente después de No se admite

Plug-in de Outlook

   
Autenticar desde un cliente unido a un dominio: NTLM o Kerberos Se admite
Autenticar desde un cliente que no es de dominio: El usuario solicita la contraseña Se admite
Examinar y seleccionar archivos de ShareFile Se admite
Examinar y seleccionar archivos de ShareFile con “Requerir a los destinatarios que inicien sesión” habilitado No se admite
Convertir datos adjuntos en vínculo ShareFile Se admite
Convertir datos adjuntos a un enlace de ShareFile con “Requerir a los destinatarios que inicien sesión” habilitado No se admite
Solicitar un archivo Se admite
Solicitar un archivo con “Requerir a los destinatarios que inicien sesión” habilitado No se admite