Zonas de almacenamiento restringidas

Las zonas de almacenamiento restringidas se utilizan para proteger los datos confidenciales. Solo los empleados pueden acceder al almacenamiento restringido.

La autenticación de usuarios de terceros no se admite en la zona restringida.

Nota:

Las zonas de almacenamiento restringidas son Fin de mantenimiento. Esta directiva de ciclo de vida se describe con más detalle en elDefiniciones de hitos del ciclo de vida. No se admite la creación de nuevas zonas de almacenamiento restringido. Los clientes existentes que utilicen zonas de almacenamiento restringidas recibirán más información sobre cualquier hito futuro del producto.

Funciones de zona restringida

Autenticación de zona: además de iniciar sesión en ShareFile, los usuarios deben autenticarse por separado en el StorageZones Controller para acceder a los documentos almacenados en una zona restringida. La búsqueda de directorio garantiza que el usuario que inicia sesión en ShareFile sea el mismo que se autentica en la zona. Este requisito de autenticación adicional limita el uso compartido. Los documentos sólo se pueden compartir con otras personas que tengan acceso al StorageZones Controller y que puedan autenticarse mediante credenciales de empresa. En una zona restringida, los archivos no se pueden compartir de forma anónima. Los usuarios deben tener permiso para ver un archivo y siempre deben iniciar sesión para recibir un archivo compartido.

Cifrado de metadatos: toda la información sobre archivos y carpetas de la zona se cifra con su clave antes de enviarla a ShareFile. Como resultado, nadie fuera de su organización puede ver nombres de carpetas o archivos en zonas restringidas. El acceso a claves de cifrado, archivos descifrados y metadatos sólo está disponible a través de la autenticación empresarial para el StorageZones Controller.

Dirección interna para el StorageZones Controller: para una zona restringida, la autorización se produce entre el StorageZones Controller y los clientes de ShareFile en lugar de entre el StorageZones Controller y la nube de ShareFile. Como resultado, un StorageZones Controller que hospeda zonas restringidas no requiere una dirección externa o un certificado SSL externo. Cuando el StorageZones Controller está configurado con una dirección sólo interna, los usuarios deben conectarse a la red de la empresa o VPN para acceder a los documentos de la zona restringida.

Notificaciones de correo electrónico desde el servidor de correo: cuando los usuarios reciben notificaciones de correo electrónico sobre archivos y carpetas compartidos en una zona restringida, el correo electrónico se envía desde el servidor de correo interno en lugar de un servidor ShareFile.

Diferencias entre las zonas estándar y restringidas

Propiedades Zonas estándar Zonas restringidas
Los servidores de zona de almacenamiento pueden ser administrados por… Citrix o usted
La autenticación de usuario es manejada por… ShareFile.com o ShareFile.eu una combinación de ShareFile.com o ShareFile.eu más su StorageZones Controller local
Los archivos se pueden compartir con… empleados y usuarios de terceros (es decir, cualquier persona con una dirección de correo electrónico) empleados u otros usuarios que tengan una cuenta de dominio
Los metadatos de archivo y carpeta almacenados en el plano de control ShareFile es… almacenado en texto sin formato, visible para algunos empleados de Citrix cifrados con sus claves privadas, que no están disponibles para Citrix
Las notificaciones por correo electrónico se envían usando… Servidores de correo ShareFile o servidores SMTP servidores SMTP
Una dirección externa para la zona es… obligatorio no es necesario

Zonas de almacenamiento estándar y restringidas

Puede designar una zona de almacenamiento como estándar o restringida.

  • Una zona de almacenamiento estándar está diseñada para datos no confidenciales y permite a los empleados compartir datos con no empleados.
  • Una zona de almacenamiento restringida protege los datos confidenciales: sólo los empleados pueden acceder a los datos almacenados en la zona.

En la siguiente tabla se resumen las diferencias entre las zonas estándar y restringidas.

Propiedades Zonas estándar Zonas restringidas
Los servidores de zona de almacenamiento pueden ser administrados por… Citrix o usted
La autenticación de usuario es manejada por… ShareFile.com o ShareFile.eu una combinación de ShareFile.com o ShareFile.eu más su StorageZones Controller local
Los archivos se pueden compartir con… empleados y usuarios de terceros (es decir, cualquier persona con una dirección de correo electrónico) empleados u otros usuarios que tengan una cuenta de dominio
Los metadatos de archivo y carpeta almacenados en el plano de control ShareFile es… almacenado en texto sin formato, visible para algunos empleados de Citrix cifrados con sus claves privadas, que no están disponibles para Citrix
Las notificaciones por correo electrónico se envían usando… Servidores de correo ShareFile o servidores SMTP servidores SMTP
Una dirección externa para la zona es… obligatorio no es necesario

En una zona administrada por Citrix, la nube de ShareFile realiza todas las operaciones excepto para la autenticación de empleados, que es manejada por el StorageZones Controller.

En la zona estándar, el mantenimiento y las actualizaciones del sitio web, las actualizaciones de clientes y aplicaciones, los metadatos de archivos, la autorización de carga y descarga, las notificaciones de correo electrónico (SMTP), la autenticación de usuarios de terceros y los permisos de carpetas se gestionan en la nube. La autenticación de los empleados y el almacenamiento y cifrado de archivos son manejados por el Controller.

En la zona restringida, el mantenimiento y las actualizaciones del sitio web, las actualizaciones de clientes y aplicaciones y los permisos de carpeta se gestionan en la nube. La autenticación de empleados, el almacenamiento y cifrado de archivos, los metadatos de archivos, la autorización de carga y descarga y las notificaciones de correo electrónico (SMTP) son manejados por el Controller. La autenticación de usuarios de terceros no se admite en la zona restringida.

ShareFile admite una combinación de zonas estándar y restringidas dentro de una cuenta. Puede crear varias zonas restringidas, cada una con sus propios requisitos de autenticación únicos. Por ejemplo, si no se debe permitir a los usuarios del dominio A compartir archivos con usuarios del dominio B, instale una zona restringida independiente para cada dominio.

El resto de esta sección describe el flujo de trabajo en zonas administradas por Sharefile, estándar y restringidas.

Implementación de prueba de concepto para zonas de almacenamiento restringidas

Un StorageZones Controller configurado para zonas restringidas no necesita aceptar conexiones enlazadas desde la nube de ShareFile: puede configurarlo con una dirección interna. La siguiente figura indica el flujo de tráfico entre los dispositivos de usuario, la nube ShareFile y el StorageZones Controller.

Implementación de prueba de concepto para zonas restringidas

En este escenario, un firewall se encuentra entre Internet y la red segura. El StorageZones Controller reside dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL, que puede ser privado, en el servicio IIS del StorageZones Controller.

Para zonas restringidas, el StorageZones Controller envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.

Implementación de alta disponibilidad para zonas restringidas

Los StorageZones Controller configurados para zonas restringidas no necesitan aceptar conexiones enlazadas desde la nube de ShareFile: puede configurar cada una con una dirección interna. La siguiente figura muestra una implementación de alta disponibilidad para zonas restringidas.

Implementación de alta disponibilidad para zonas restringidas

En este escenario, un firewall se encuentra entre Internet y la red segura. Los StorageZones Controller residen dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL, que puede ser privado, en el servicio IIS del StorageZones Controller.

Para zonas restringidas, el StorageZones Controller envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.

Zonas restringidas

En la tabla siguiente se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento desde una zona restringida. Todas las conexiones usan HTTPS.

Paso Fuente Destino
1. Solicitud de inicio de sesión del usuario Cliente company.sharefile.com
2. Si usa ADFS, redirija al inicio de sesión del IdP de SAML Cliente URL del proveedor de identidades SAML
3. Enumeración de archivos y carpetas y solicitud de descarga Cliente szc.company.com
4. Autorización de descarga de archivos y obtener metadatos cifrados szc.company.com company.sharefile.com
5 Descarga de archivos Cliente szc.company.com

Implementación para zonas de almacenamiento restringidas

La siguiente figura muestra una implementación de alta disponibilidad para zonas restringidas.

StorageZones Controller con zonas restringidas

Para zonas restringidas, el StorageZones Controller envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.

Conexiones de red para zonas restringidas

El diagrama y la tabla siguientes describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, carga un documento en una zona restringida. En este caso, la cuenta utiliza los Servicios de federación de Active Directory (ADFS) para el inicio de sesión SAML. El tráfico de autenticación es controlado por un servidor proxy ADFS que se comunica con un servidor ADFS en la red de confianza.

Conexiones de red para zonas restringidas

Paso Fuente Destino Protocolo
1. El cliente o el explorador ShareFile abre la conexión Cliente company.sharefile.com o company.sharefile.eu HTTPS
2. (Opcional) Redirigir al inicio de sesión del IdP de SAML Cliente URL del proveedor de identidades SAML HTTPS
3. ShareFile redirige al usuario al StorageZones Controller Cliente company.sharefile.com o company.sharefile.eu HTTPS
4. El cliente envía credenciales de Windows al StorageZones Controller Cliente StorageZones Controller HTTPS
5 El StorageZones Controller verifica las credenciales y otorga acceso al cliente StorageZones Controller Controller de dominio Kerberos
6. El cliente carga un archivo en el StorageZones Controller Cliente StorageZones Controller HTTPS
7. El archivo se escribe en el repositorio de almacenamiento de la zona restringida StorageZones Controller Almacenamiento local CIFS
8. El StorageZones Controller cifra los metadatos del archivo y lo envía a ShareFile StorageZones Controller company.sharefile.com o company.sharefile.eu HTTPS

Para zonas de almacenamiento restringidas:

  • Utilice un nombre de host interno o externo.

  • Habilite SSL para las comunicaciones con ShareFile.

    Si utiliza un nombre de host interno, puede utilizar un certificado privado. Los dispositivos de usuario deben confiar en el certificado.

    Si utiliza un nombre de host externo, los dispositivos de usuario y los servidores web de ShareFile deben confiar en el certificado SSL del StorageZones Controller.

  • Proporcionar acceso HTTP saliente desde el StorageZones Controller a uno de los siguientes URI de bus de servicio:

    • Cuentas de ShareFile.com:sf-zk-email-use.servicebus.windows.net
    • Cuentas de ShareFile.eu:sf-zk-email-euw.servicebus.windows.net

    Asegúrese de organizar las dependencias de red con su equipo de redes.

Requisitos del cliente para zonas de almacenamiento restringidas

La aplicación web ShareFile admite zonas de almacenamiento restringidas desde los siguientes navegadores web:

  • Internet Explorer 11

    Para habilitar el acceso desde la aplicación web ShareFile a carpetas y conectores en zonas restringidas:

    1. Abra Internet Explorer, vaya a Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, haga clic en Sitios de confianza .
    2. Haga clic en Sitios y, a continuación, agregue su subdominio y la dirección del StorageZones Controller externo.
    3. Haga clic en Cerrar y, a continuación, haga clic en Nivel personalizado .
    4. En Varios > Acceder a orígenes de datos entre dominios, seleccione Habilitar .
    5. En Autenticación de usuario > Inicio de sesión, seleccione Solicitarnombre de usuario y contraseña.
  • Cromar

  • Firefox

  • Safari

  • Secure Web

Para admitir zonas de almacenamiento restringidas, los clientes ShareFile deben actualizarse a las siguientes versiones o versiones posteriores:

  • ShareFile Sync para Windows 3.1
  • Complemento de Outlook de ShareFile 3.2.2
  • ShareFile para iOS 3.3
  • ShareFile para Android 3.4
  • ShareFile para Windows Phone 2.3.10

Estos clientes y herramientas de ShareFile no se admiten para su uso con zonas de almacenamiento restringidas a partir de la fecha de publicación de este artículo:

Nota: Para obtener la información más reciente acerca de las capacidades del cliente de ShareFile, consulte el Compatibilidad con ShareFilesitio o póngase en contacto con su representante de soporte de ShareFile.

  • Uso fuera de dominio de ShareFile Desktop Sync para Windows 3.1 y ShareFile Outlook Plug-in

    Los clientes deben estar en un escritorio de Windows unido a un dominio que esté en el mismo bosque de Active Directory que el servidor del StorageZones Controller. Los clientes pueden utilizar NTLM o Kerberos para la autenticación silenciosa en una zona restringida.

  • On-Demand Sync para Windows

  • Sync para Mac

  • Administrador de sincronización ShareFile Enterprise

  • Secure Mail para iOS

  • Widget de ShareFile Desktop

  • ShareFile para BlackBerry

  • Sitio web móvil de ShareFile

No se admiten los siguientes métodos alternativos de acceso a cuentas para su uso con zonas de almacenamiento restringidas:

  • FTP
  • PowerShell
  • Interfaz de línea de comandos de ShareFile (SFCLI)
  • HTTPS API (V1)
  • WebDAV
  • SMTP

Importante

ShareFile no admite oficialmente y no recomienda utilizar la replicación DFS. Se sabe que causa fallos de bloqueo para archivos de mayor tamaño. Si se debe utilizar la replicación DFS, utilice soluciones de backup independientes durante las horas de baja actividad cuando la zona no esté en uso activo.

Actualizar la zona de almacenamiento restringida

Cuando actualiza StorageZones Controller a la versión más reciente, ese Controller continúa utilizando zonas estándar. No se puede actualizar una zona estándar a una zona restringida.

Para reemplazar una zona estándar por una zona restringida, debe instalar un nuevo StorageZones Controller y configurar una zona restringida.

Para admitir zonas restringidas o acceso web a conectores, debe realizar una configuración adicional de Citrix ADC después de completar el asistente. La configuración garantiza que los clientes ShareFile envíen credenciales sólo cuando inicien sesión en un dominio ShareFile de confianza. Para admitir el acceso web a conectores, también agregue una ruta (/ProxyService) a la directiva de conmutación de contenido utilizada para el tráfico a /cifs y /sp.

Información adicional sobre zonas restringidas

La compatibilidad con zonas de almacenamiento restringidas afecta a todos los aspectos del servicio ShareFile. Como resultado de los cambios de protocolo necesarios para admitir el cifrado de metadatos y la autenticación de zona, algunos clientes y características de ShareFile no son compatibles cuando se trabaja con documentos en una zona de almacenamiento restringida.

Contenido

  • Clientes y herramientas
  • Exploradores web
  • Funciones
  • Sync para Windows
  • Aplicaciones móviles
  • Plug-in de Outlook

Clientes y herramientas

   
Sync para Windows 3.1 y más
Plug-in para Microsoft Outlook 3.2.2 y superiores
On-Demand Sync para Windows No se admite
Drive Mapper 3.01.171.0 y superior
ShareFile para iOS 3.3 — Sólo MDX
ShareFile para Android 3.4 y más
ShareFile para Windows Phone 8 2.3.10 y más
Sync para Mac No se admite
ShareFile Desktop No se admite
XenMobile WorxMail para iOS No se admite
XenMobile WorxMail para Android Compatible
Imprimir en ShareFile No se admite
Sitio web móvil No se admite
Otros métodos de acceso a la cuenta  
PowerShell No se admite
SFCLI No se admite
REST API (V3) Compatible
HTTPS APT (V1) No se admite
Cobertura de prueba RSZ No se admite
FTP No se admite
Enviar archivos a una carpeta por correo electrónico No se admite
SDK de.NET Compatible

Exploradores web

   
Windows Internet Explorer 11, Firefox (última versión), Chrome (última versión)
macOS Safari (última versión), Firefox (última versión), Chrome (última versión)
iOS Safari, Secure Web
Android (Android) Secure Web

Funciones

Acciones del usuario final: Trabajar con archivos:

   
Examinar y descargar archivos Compatible
Cargar archivos (tipo de cargador) HTML5: Compatible; Flash: No compatible; Java: No compatible; Formulario HTML estándar: No compatible
Papelera de reciclaje Compatible
Descarga y eliminación masiva Compatible
Cuadro de archivo Ver: Compatible; Eliminar: Compatible; Carga: Compatible; Descarga: No compatible; Enviar desde Filebox: No compatible
Vista previa de archivos (miniaturas) No se admite
Ver documentos en el navegador web No se admite
Volver a cargar archivos No se admite
Varias versiones por archivo No se admite
Busquen Elementos de zona restringida no incluidos en los resultados de búsqueda
Marcar una carpeta como favorita No se admite
Copiar o mover archivos No se admite
Editar opciones de carpeta: fecha de caducidad de la carpeta, directiva de retención de archivos Compatible
Bubbling de carpetas compartidas No se admite

Acciones del usuario final: Uso compartido y colaboración:

   
Enviar un archivo: requiere carga, enviar correo electrónico demandando ShareFile, dame un enlace que pueda copiar, requerir que el usuario inicie sesión, limitar el número de descargas Compatible
Recibir y descargar un archivo compartido Compatible
Crear una carpeta compartida en una zona de almacenamiento restringida Compatible
Agregar usuarios a una carpeta: controlar los permisos para cargar y descargar Compatible
Solicitar un archivo Compatible
Solicitar un archivo con «Requerir inicio de sesión de ShareFile» habilitado No se admite
Notificaciones por correo electrónico Compatible
Bandeja de entrada: Archivos enviados a mí Compatible
Bandeja de entrada: Mensajes enviados Ver, caducar, volver a enviar, editar: compatible
Ver registro de actividades Compatible
Obtener firma (a través de RightSignature) No se admite

Medidas administrativas:

   
Crear un usuario en una zona restringida Compatible
Migrar usuario a una zona diferente No se admite
Informes: auditoría de acceso, informe de uso, informe de mensajería, informe de ancho de banda, informe de almacenamiento Visor HTML: compatible; visores Excel/CSV/PDF: se muestran metadatos cifrados
Administración de zonas  
Supervisar el uso del almacenamiento Compatible
Supervisar el uso del ancho de banda Compatible
Supervisar la actividad de los archivos Compatible
Recuperar archivos No se admite
Reconciliar archivos No se admite
Eliminar zona Compatible
Alta disponibilidad Compatible

Sync para Windows

Versión mínima: 3.1

   
Autenticar desde un cliente unido a un dominio - NTLM o Kerberos Compatible
Autenticar desde un cliente que no es de dominio: el usuario solicita la contraseña Compatible
Sincronizar «Mis archivos y carpetas» en una zona restringida Compatible
Sincronizar carpetas compartidas desde una zona restringida Compatible
Cargar, descargar, sincronizar Compatible
Sincronización bajo demanda para entornos XenApp y XenDesktop No se admite
Ver carpetas favoritas No disponible para carpetas de zona de almacenamiento restringida
Haga clic con el botón derecho > Copiar vínculo Compatible
Haga clic con el botón derecho > Archivo de correo electrónico Compatible

Aplicaciones móviles

Consulte las tablas específicas de la aplicación a continuación:

iOS: versión mínima 3.3

   
Examinar y descargar archivos Compatible
Ver contenido sin conexión Compatible
Crear una carpeta Compatible
Crear o editar un archivo Compatible
Subir foto o vídeo Compatible
Autenticar con nombre de usuario/contraseña Compatible
Inicio de sesión único con Worx micro VPN Compatible
Compartir: Copiar un enlace Compatible
Compartir: Compartir por correo electrónico No se admite
Agregar o editar notas de carpeta No se admite
Crear una nota o editar notas existentes No se admite
Agregar personas a una carpeta o editar permisos de carpeta existentes No se admite
Marcar/desmarcar una carpeta como favorita No se admite
Solicitar un archivo No se admite
Vista previa de miniaturas No se admite
Eliminación de varios elementos No se admite
Hacer que la carpeta esté disponible sin conexión Compatible excepto para carpetas «Compartido conmigo» de nivel raíz
Compartir una carpeta Compatible excepto para carpetas «Compartido conmigo» de nivel raíz
Crear un conector en una zona de almacenamiento restringida No se admite

Android - Versión mínima 3.4

   
Examinar y descargar archivos Compatible
Ver contenido sin conexión Compatible
Enviar un archivo Compatible
Crear una carpeta Compatible
Crear o editar un archivo Compatible
Cargar archivos Compatible
Autenticar con nombre de usuario/contraseña Compatible
Inicio de sesión único con Worx micro VPN Compatible
Solicitar un archivo No se admite
Crear una nota No se admite
Sobrescribir el archivo existente después de la carga No se admite

Plug-in de Outlook

   
Autenticar desde un cliente unido a un dominio - NTLM o Kerberos Compatible
Autenticar desde un cliente que no es de dominio: el usuario solicita la contraseña Compatible
Examinar y seleccionar archivos desde ShareFile Compatible
Examinar y seleccionar archivos de ShareFile con «Requerir a los destinatarios que inicien sesión» habilitado No se admite
Convertir datos adjuntos en vínculo ShareFile Compatible
Convertir datos adjuntos a un enlace de ShareFile con «Requerir a los destinatarios que inicien sesión» habilitado No se admite
Solicitar un archivo Compatible
Solicitar un archivo con «Requerir a los destinatarios que inicien sesión» habilitado No se admite