Product Documentation

SAML para Single Sign-On con ShareFile

Mar 02, 2017

Puede configurar XenMobile y ShareFile para usar el lenguaje SAML (Security Assertion Markup Language) y así ofrecer el acceso Single Sign-On (SSO) a aplicaciones de ShareFile para móvil que se han empaquetado con MDX Toolkit, así como a clientes no empaquetados de ShareFile (como el sitio Web, el plugin para Outlook o clientes de sincronización). 

  • En caso de aplicaciones de ShareFile empaquetadas. A los usuarios que inician sesión en ShareFile a través de la aplicación de ShareFile para móvil se les redirige a Secure Hub para la autenticación de usuario y para obtener un token de SAML. Después de una autenticación correcta, la aplicación de ShareFile para móviles envía el token de SAML a ShareFile. Después del primer inicio de sesión, los usuarios pueden acceder a la aplicación de ShareFile para móviles mediante Single Sign-On (SSO) y adjuntar documentos de ShareFile a correos electrónicos de Secure Mail sin iniciar sesión cada vez.
  • En caso de clientes no empaquetados de ShareFile. A los usuarios que inician sesión en ShareFile a través de un explorador Web u otro cliente de ShareFile se les redirige a XenMobile para la autenticación de usuario y para obtener un token de SAML. Después de una autenticación correcta, el token de SAML se envía a ShareFile. Después del primer inicio de sesión, los usuarios pueden acceder a los clientes de ShareFile mediante Single Sign-On sin iniciar sesión cada vez.

Para ver diagramas de referencia de arquitectura en detalle, consulte el artículo Reference Architecture for On-Premises Deployments de XenMobile Deployment Handbook.

Requisitos previos

Debe cumplir los siguientes requisitos previos antes de configurar SSO con XenMobile y las aplicaciones de ShareFile:

  • Versión 9.0.4 o posterior de MDX Toolkit (para aplicaciones de ShareFile para móvil)
  • Aplicaciones de ShareFile para móvil, según corresponda:
    • ShareFile para iPhone, versión 3.0.x
    • ShareFile para iPad, versión 2.2.x
    • ShareFile para Android, versión 3.2.x
  • Secure Hub 9.0 (para aplicaciones de ShareFile para móviles). Instale la versión de iOS o Android, según corresponda.
  • Cuenta de administrador de ShareFile

Compruebe que XenMobile y ShareFile pueden establecer conexión.

Configuración del acceso de ShareFile

Antes de configurar SAML para ShareFile, debe indicar la información de acceso de ShareFile de la siguiente manera:

1. En la consola Web de XenMobile, haga clic en Configure > ShareFile. Aparecerá la página de configuración ShareFile.

localized image

2. Configure los siguientes parámetros:

  • Domain. Escriba el nombre de subdominio de ShareFile; por ejemplo, ejemplo.sharefile.com.
  • Assign to delivery groups. Seleccione o busque los grupos de entrega que quiera que puedan usar SSO con ShareFile.
  • ShareFile Administrator Account Logon
    • User name. Escriba el nombre de usuario del administrador de ShareFile. Este usuario debe tener privilegios de administrador.
    • Password. Escriba la contraseña del administrador de ShareFile.
    • User account provisioning. Active esta opción si quiere habilitar la función de aprovisionamiento de usuarios en XenMobile. Si no, déjela inhabilitada en caso de que vaya a utilizar la herramienta de administración de usuarios (User Management Tool) de ShareFile para el aprovisionamiento.

Nota: Si se incluye un usuario sin cuenta de ShareFile en los roles seleccionados, XenMobile aprovisionará automáticamente una cuenta de ShareFile a dicho usuario si usted habilita la opción User account provisioning. Citrix recomienda utilizar un rol con una pertenencia limitada para probar la configuración. Esto evita la posibilidad de una gran cantidad de usuarios sin cuentas de ShareFile.

3. Haga clic en Save.

Configuración de SAML para aplicaciones MDX de ShareFile empaquetadas

Los siguientes pasos se aplican a aplicaciones y dispositivos iOS y Android.

1. Con la herramienta MDX Toolkit, empaquete la aplicación de ShareFile para móviles. Para obtener más información sobre cómo empaquetar aplicaciones con MDX Toolkit, consulte Empaquetado de aplicaciones con MDX Toolkit.

2. En la consola de XenMobile, cargue la aplicación empaquetada de ShareFile para móvil. Para obtener información sobre cómo cargar aplicaciones MDX, consulte Para agregar una aplicación MDX a XenMobile.

3. Para comprobar los parámetros de SAML, inicie sesión en ShareFile con el nombre de usuario y contraseña de administrador que ha configurado anteriormente.

4. Compruebe que ShareFile y XenMobile están configurados en la misma zona horaria.

Nota: Compruebe que XenMobile muestra la hora correcta con respecto a la zona horaria configurada. Si no es así, puede que se produzca un error de inicio de sesión Single Sign-On.

Cómo validar la aplicación de ShareFile para móviles

1. En el dispositivo de usuario (si no se ha hecho aún), instale y configure Secure Hub.

2. Desde XenMobile Store, descargue e instale la aplicación de ShareFile para móviles.

3. Inicie la aplicación de ShareFile para móviles. ShareFile se inicia sin solicitar el nombre de usuario ni la contraseña.

Validación con Secure Mail

1. En el dispositivo de usuario (si no se ha hecho aún), instale y configure Secure Hub.

2. En XenMobile Store, descargue, instale y configure Secure Mail.

3. Abra un nuevo correo electrónico y toque Adjuntar desde ShareFile. Los archivos disponibles para adjuntar al mensaje de correo electrónico se muestran sin solicitar el nombre de usuario ni la contraseña.

Configuración de NetScaler Gateway para otros clientes de ShareFile

Si quiere configurar el acceso para clientes no empaquetados de ShareFile (como el sitio Web, el plugin para Outlook o los clientes de sincronización), debe configurar NetScaler Gateway para que admita el uso de XenMobile como un proveedor de identidad SAML de la siguiente manera:

  • Inhabilite la redirección de la página principal.
  • Cree un perfil y una directiva de sesión de ShareFile.
  • Configure directivas en el servidor virtual de NetScaler Gateway.

Cómo inhabilitar la redirección de la página principal

Debe inhabilitar el comportamiento predeterminado ante las solicitudes procedentes de la ruta /cginfra, de modo que el usuario vea la URL interna original solicitada en lugar de la página principal configurada.

1. Modifique la configuración del servidor virtual de NetScaler Gateway que se usa para los inicios de sesión de XenMobile. En NetScaler 10.5, vaya a Other Settings y, a continuación, desmarque la casilla de verificación Redirect to Home Page.

localized image

2. En ShareFile, escriba el número de puerto y el nombre del servidor interno de XenMobile.

3. En AppController, escriba la URL de XenMobile.

Esta configuración autoriza solicitudes a la URL que ha especificado mediante la ruta /cginfra.

Creación de un perfil de solicitudes y una directiva de sesión de ShareFile

Configure los siguientes parámetros para crear un perfil de solicitudes y una directiva de sesión de ShareFile:

1. En la herramienta de configuración de NetScaler Gateway, en el panel de navegación de la izquierda, haga clic en NetScaler Gateway > Policies > Session.

2. Cree una nueva directiva de sesión. En la ficha Policies, haga clic en Add.

3. En el campo Name, escriba ShareFile_Policy.

4. Para crear una acción nueva, haga clic en el botón +. Aparecerá la página Create NetScaler Gateway Session Profile

localized image

Configure estos parámetros:

  • Name. Escriba ShareFile_Profile.
  • Haga clic en la ficha Client Experience y, a continuación, configure los siguientes parámetros:
    • Home Page. Escriba none.
    • Session Time-out (mins). Escriba 1.
    • Single Sign-On to Web Applications. Seleccione esta opción de configuración.
    • Credential Index. En la lista, haga clic en PRIMARY.
  • Haga clic en la ficha Published Applications.
localized image

Configure estos parámetros:

  • ICA Proxy. En la lista, haga clic en ON.
  • Web Interface Address. Escriba la URL del servidor XenMobile.
  • Single Sign-On Domain. Escriba el nombre del dominio de Active Directory.

Nota: Al configurar el perfil de sesión de NetScaler Gateway, el sufijo de dominio de Single Sign-On Domain debe coincidir con el alias de dominio de XenMobile definido en el protocolo LDAP.

5. Haga clic en Create para definir el perfil de sesión.

6. Haga clic en Expression Editor.

localized image

Configure estos parámetros:

  • Value. Escriba NSC_FSRD.
  • Header Name. Escriba COOKIE.
  • Haga clic en Done.

7. Haga clic en Create y, luego, en Close.

localized image

Configure directivas en el servidor virtual de NetScaler Gateway.

Configure los siguientes parámetros en el servidor virtual de NetScaler Gateway.

1. En la herramienta de configuración de NetScaler Gateway, en el panel de navegación de la izquierda, haga clic en NetScaler Gateway > Virtual Servers.

2. En el panel Details, haga clic en el servidor virtual de NetScaler Gateway.

3. Haga clic en Edit.

4. Haga clic en Configured policies > Session policies y, a continuación, haga clic en Add binding.

5. Seleccione ShareFile_Policy.

6. Modifique el número de Priority generado automáticamente para la directiva seleccionada, de modo que esta tenga la prioridad más alta (el número más bajo) en relación con las demás directivas de la lista, tal y como se muestra en la siguiente imagen.

localized image

7. Haga clic en Done y, a continuación, guarde la configuración activa de NetScaler.

Configuración de SAML para aplicaciones de ShareFile que no son MDX

Utilice los siguientes pasos a fin de buscar el nombre interno de la aplicación para la configuración de ShareFile.

1. Inicie sesión en la herramienta de administración de XenMobile a través de la URL https://:4443/OCA/admin/. Compruebe que "OCA" está escrito en letras mayúsculas.

2. En la lista View, haga clic en Configuration.

localized image

3. Haga clic en Applications > Applications y anote el texto de la columna Application Name correspondiente a "ShareFile" en la columna Display Name.

localized image

Cómo modificar los parámetros de Single Sign-On de ShareFile.com

1. Inicie una sesión en su cuenta de ShareFile (https://<subdominio>.sharefile.com) como administrador de ShareFile.

2. En la interfaz Web de ShareFile, haga clic en Administración y, a continuación, seleccione Configurar Single Sign-On.

3. Modifique el campo URL de inicio de sesión de la siguiente manera:

El campo URL de inicio de sesión debe ser similar a: https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

localized image
  • Inserte el nombre de dominio completo (FQDN) externo del servidor virtual de NetScaler Gateway y "/cginfra/https/" delante del FQDN del servidor XenMobile y, a continuación, agregue "8443" después del FQDN de XenMobile.

Ahora, la URL debería parecerse a la siguiente: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

  • Cambie el valor del parámetro &app=ShareFile_SAML_SP al nombre interno de la aplicación ShareFile del paso 3 en SAML para Single Sign-On con ShareFile. De forma predeterminada, el nombre interno es ShareFile_SAML. Sin embargo, cada vez que cambie la configuración, se agrega un número al nombre interno (ShareFile_SAML_2, ShareFile_SAML_3, y así sucesivamente).

Ahora, la URL debería parecerse a la siguiente: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

  • Agregue "&nssso=true" al final de la URL.

Ahora, la URL modificada debería parecerse a la siguiente: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

Importante: Cada vez que modifique o vuelva a crear la aplicación de ShareFile, o bien cambie los parámetros de ShareFile en la consola de XenMobile, se agrega un número nuevo al nombre interno de la aplicación, lo que significa que también debe actualizar la URL de inicio de sesión en el sitio Web de ShareFile para reflejar el nuevo nombre de la aplicación.

4. En Parámetros optativos, marque la casilla de verificación Habilitar autenticación Web.

localized image

Cómo validar la configuración

Lleve a cabo lo siguiente para validar la configuración.

1. Apunte su explorador a https://<subdominio>sharefile.com/saml/login.

Se le redirigirá al formulario de inicio de sesión de NetScaler Gateway. Si no se le redirige, compruebe los parámetros de configuración anteriores.

2. Escriba el nombre de usuario y la contraseña del entorno de XenMobile y NetScaler Gateway que haya configurado.

Aparecerán sus carpetas de ShareFile ubicadas en <subdominio>.sharefile.com. Si no ve las carpetas de ShareFile, compruebe que ha indicado correctamente las credenciales de inicio de sesión.