SAML para Single Sign-On en ShareFile

Puede configurar XenMobile y ShareFile para que utilicen el lenguaje Security Assertion Markup Language (SAML) si quiere proporcionar el acceso de inicio de sesión único o Single Sign-On en las aplicaciones móviles de ShareFile. Esta función incluye aquellas aplicaciones de ShareFile que se han empaquetado con MDX Toolkit y los clientes no empaquetados de ShareFile (como el sitio Web, Outlook Plug-in o clientes de sincronización).

  • En caso de aplicaciones de ShareFile empaquetadas. A los usuarios que inician sesión en ShareFile a través de la aplicación de ShareFile para móvil se les redirige a Secure Hub para la autenticación de usuario y para obtener un token de SAML. Después de una autenticación correcta, la aplicación de ShareFile para móvil envía el token de SAML a ShareFile. Después del inicio de sesión inicial, los usuarios pueden acceder a la aplicación móvil ShareFile a través de SSO. También pueden adjuntar documentos desde ShareFile a correos de Secure Mail sin iniciar sesión cada vez.
  • En caso de clientes no empaquetados de ShareFile. A los usuarios que inician sesión en ShareFile a través de un explorador Web u otro cliente de ShareFile se les redirige a XenMobile. XenMobile autentica a los usuarios, quienes luego adquieren un token SAML que se envía a ShareFile. Después del primer inicio de sesión, los usuarios pueden acceder a los clientes de ShareFile mediante Single Sign-On, sin iniciar sesión cada vez.

Si quiere usar XenMobile como un proveedor de identidades (IdP) SAML para ShareFile, debe configurar XenMobile para usar ShareFile Enterprise, como se describe en este artículo. De forma alternativa, puede configurar XenMobile para que funcione solamente con conectores de StorageZone. Para obtener más información, consulte Usar ShareFile con XenMobile.

Para obtener un diagrama detallado con una arquitectura como referencia, consulte Arquitectura.

Requisitos previos

Debe cumplir los siguientes requisitos previos antes de configurar SSO en XenMobile y las aplicaciones de ShareFile:

  • El servicio MDX Service o una versión compatible del MDX Toolkit (para aplicaciones móviles de ShareFile).

    Para obtener más información, consulte Compatibilidad de XenMobile.

  • Una versión compatible de aplicaciones móviles de ShareFile y Secure Hub
  • Cuenta de administrador de ShareFile
  • Conectividad verificada entre XenMobile y ShareFile.

Configurar el acceso de ShareFile

Antes de configurar SAML para ShareFile, debe indicar la información de acceso de ShareFile de la siguiente manera:

  1. En la consola Web de XenMobile, haga clic en Configurar > ShareFile. Aparecerá la página de configuración ShareFile.

    Imagen de la pantalla de configuración de ShareFile

  2. Configure estos parámetros:

    • Dominio: Escriba el nombre del subdominio de ShareFile. Por ejemplo: example.sharefile.com.
    • Asignar a grupos de entrega: Seleccione o busque los grupos de entrega que podrán usar SSO en ShareFile.
    • Inicio de sesión de cuenta de administrador de ShareFile
    • Nombre de usuario: Escriba el nombre de usuario del administrador de ShareFile. Este usuario debe tener privilegios de administrador.
    • Contraseña: Escriba la contraseña del administrador de ShareFile.
    • Aprovisionamiento de cuentas de usuario: Para habilitar el aprovisionamiento de usuarios en XenMobile, habilite este parámetro. Para usar la herramienta ShareFile User Management Tool para el aprovisionamiento de usuarios, deje este parámetro sin habilitar.

    Nota:

    Si se incluye un usuario sin cuenta de ShareFile en los roles seleccionados y se habilita “Aprovisionamiento de cuentas de usuario”, XenMobile aprovisionará automáticamente una cuenta de ShareFile a dicho usuario. Citrix recomienda utilizar un rol con una pertenencia limitada para probar la configuración. Así, se evita la posibilidad de una gran cantidad de usuarios sin cuentas de ShareFile.

  3. Haga clic en Probar conexión para verificar que el nombre de usuario y la contraseña de la cuenta de administrador de ShareFile realizan la autenticación en la cuenta de ShareFile especificada.

  4. Haga clic en Guardar. XenMobile se sincroniza con ShareFile y actualiza los parámetros ID de entidad o emisor de ShareFile y URL de inicio de sesión de ShareFile.

Configurar SAML para aplicaciones MDX de ShareFile empaquetadas

Los siguientes pasos se aplican a aplicaciones y dispositivos iOS y Android.

  1. Con MDX Toolkit, empaquete la aplicación ShareFile Mobile. Para obtener más información sobre cómo empaquetar aplicaciones con MDX Toolkit, consulte Empaquetar aplicaciones con MDX Toolkit.

  2. En la consola de XenMobile, cargue la aplicación móvil empaquetada de ShareFile. Para obtener información sobre cómo cargar aplicaciones MDX, consulte Para agregar una aplicación MDX a XenMobile.

  3. Para comprobar los parámetros de SAML, inicie sesión en ShareFile con el nombre de usuario y contraseña de administrador que ha configurado anteriormente.

  4. Compruebe que ShareFile y XenMobile están configurados en la misma zona horaria. Compruebe que XenMobile muestra la hora correcta con respecto a la zona horaria configurada. Si no, podría fallar el inicio SSO.

Validar la aplicación móvil de ShareFile

  1. En el dispositivo de usuario, instale y configure Secure Hub.

  2. Desde XenMobile Store, descargue e instale la aplicación de ShareFile para móvil.

  3. Inicie la aplicación de ShareFile para móvil. ShareFile se inicia sin solicitar el nombre de usuario ni la contraseña.

Validar con Secure Mail

  1. En el dispositivo de usuario (si no se ha hecho aún), instale y configure Secure Hub.

  2. Desde XenMobile Store, descargue, instale y configure Secure Mail.

  3. Abra un nuevo correo electrónico y toque en Adjuntar desde ShareFile. Los archivos disponibles para adjuntar al mensaje de correo electrónico se muestran sin solicitar el nombre de usuario ni la contraseña.

Configurar NetScaler Gateway para otros clientes de ShareFile

Si quiere configurar el acceso para clientes no empaquetados de ShareFile (como el sitio Web, el plugin para Outlook o los clientes de sincronización), debe configurar NetScaler Gateway para que admita el uso de XenMobile como un proveedor de identidades SAML de la siguiente manera.

  • Inhabilite la redirección de la página principal.
  • Cree un perfil y una directiva de sesión de ShareFile.
  • Configure directivas en el servidor virtual de NetScaler Gateway.

Inhabilitar la redirección de la página principal

Inhabilite el comportamiento predeterminado para las solicitudes que provienen de la ruta /cginfra. Esa acción permite a los usuarios ver la URL interna solicitada original, en lugar de la página de inicio configurada.

  1. Modifique la configuración del servidor virtual de NetScaler Gateway que se usa para los inicios de sesión de XenMobile. En NetScaler, vaya a Other Settings y, a continuación, desmarque la casilla Redirect to Home Page.

    Imagen de la pantalla de NetScaler

  2. En ShareFile, escriba el número de puerto y el nombre del servidor interno de XenMobile.

  3. En AppController, escriba la URL de XenMobile.

    Esta configuración autoriza solicitudes a la URL que ha especificado mediante la ruta /cginfra.

Crear un perfil de solicitudes y directivas de sesión de ShareFile

Configure los siguientes parámetros para crear un perfil de solicitudes y una directiva de sesión de ShareFile:

  1. En la herramienta de configuración de NetScaler Gateway, en el panel de navegación de la izquierda, haga clic en NetScaler Gateway > Policies > Session.

  2. Cree una directiva de sesión. En la ficha Policies, haga clic en Add.

  3. En el campo Name, escriba ShareFile_Policy.

  4. Para crear una acción nueva, haga clic en el botón +. Aparecerá la página Create NetScaler Gateway Session Profile.

    Imagen de la pantalla de perfil de sesión de NetScaler Gateway

    Configure estos parámetros:

    • Name: Escriba ShareFile_Profile.
    • Haga clic en la ficha Client Experience y, a continuación, configure los siguientes parámetros:
      • Home Page: Escriba none.
      • Tiempo de espera de la sesión (mins): Escriba 1.
      • Single Sign-On to Web Applications: Marque este parámetro.
      • Credential Index: En la lista, haga clic en PRIMARY.
    • Haga clic en la ficha Published Applications.

    Imagen de la pantalla de perfil de sesión de NetScaler Gateway

    Configure estos parámetros:

    • ICA Proxy: En la lista, haga clic en ON.
    • Web Interface Address: Escriba la URL de XenMobile Server.
    • Single Sign-On Domain: Escriba el nombre del dominio de Active Directory.

      Al configurar el perfil de sesión de NetScaler Gateway, el sufijo de dominio de Single Sign-On Domain debe coincidir con el alias de dominio de XenMobile definido en LDAP.

  5. Haga clic en Create para definir el perfil de sesión.

  6. Haga clic en Expression Editor.

    Imagen de la pantalla de perfil de sesión de NetScaler Gateway

    Configure estos parámetros:

    • Value: Escriba NSC_FSRD.
    • Header Name: Escriba COOKIE.
  7. Haga clic en Create y, luego, en Close.

    Imagen de la pantalla de perfil de sesión de NetScaler Gateway

Configurar directivas en el servidor virtual de NetScaler Gateway

Configure los siguientes parámetros en el servidor virtual de NetScaler Gateway.

  1. En la herramienta de configuración de NetScaler Gateway, en el panel de navegación de la izquierda, haga clic en NetScaler Gateway > Virtual Servers.

  2. En el panel Details, haga clic en el servidor virtual de NetScaler Gateway.

  3. Haga clic en Edit.

  4. Haga clic en Configured policies > Session policies y, a continuación, haga clic en Add binding.

  5. Seleccione ShareFile_Policy.

  6. Modifique el número de Priority generado automáticamente de la directiva seleccionada, de modo que esta tenga la prioridad más alta (el número más bajo) en relación con las demás directivas de la lista, tal y como se muestra en la siguiente imagen. Por ejemplo:

    Imagen de la pantalla de vinculación de la directiva de sesión del servidor virtual VPN

  7. Haga clic en Done y, a continuación, guarde la configuración activa de NetScaler.

Configurar SAML para aplicaciones de ShareFile que no son MDX

Utilice los siguientes pasos a fin de buscar el nombre interno de la aplicación para la configuración de ShareFile.

  1. Inicie sesión en la herramienta de administración de XenMobile a través de la URL https://<XenMobile server>:4443/OCA/admin/. Compruebe que “OCA” está escrito en letras mayúsculas.

  2. En la lista Ver, haga clic en Configuración.

    Imagen de la pantalla de inicio de sesión del administrador

  3. Haga clic en Aplicaciones > Aplicaciones y anote el texto de la columna Nombre de la aplicación correspondiente a ShareFile en la columna Nombre simplificado.

    Imagen de la pantalla de aplicaciones administradas

Modificar los parámetros de Single Sign-On para ShareFile.com

Realice los siguientes cambios para aplicaciones ShareFile que se hayan empaquetado con MDX o no.

Importante:

Cada vez que modifique o vuelva a crear la aplicación ShareFile o cambie la configuración de ShareFile en XenMobile, se agrega un nuevo número al nombre de la aplicación interna. Como resultado, también debe actualizar la URL de inicio de sesión en el sitio Web de ShareFile para reflejar el nombre actualizado de la aplicación.

  1. Inicie sesión en su cuenta de ShareFile (https://<subdomain>.sharefile.com) como administrador de ShareFile.

  2. En la interfaz Web de ShareFile, haga clic en Administración y, a continuación, seleccione Configurar Single Sign-On.

  3. Modifique el campo URL de inicio de sesión de la siguiente manera:

    Esta es una URL de inicio de sesión de ejemplo antes de las modificaciones: https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Imagen de la URL de inicio de sesión de ejemplo

    • Inserte el nombre de dominio completo (FQDN) externo del servidor virtual de NetScaler Gateway y /cginfra/https/ delante del FQDN de XenMobile Server y, a continuación, agregue 8443 después del FQDN de XenMobile.

      Esta es una URL modificada de ejemplo: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    • Cambie el parámetro &app=ShareFile_SAML_SP al nombre interno de la aplicación ShareFile. De forma predeterminada, el nombre interno es ShareFile_SAML. Sin embargo, cada vez que cambie la configuración, se agregará un número al nombre interno (ShareFile_SAML_2, ShareFile_SAML_3, etc.).

      Esta es una URL modificada de ejemplo: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Agregue &nssso=true al final de la URL.

      Este es un ejemplo de la URL final: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. En Parámetros optativos, marque la casilla Habilitar autenticación Web.

    Imagen de la pantalla Parámetros optativos

Validar la configuración

Lleve a cabo lo siguiente para validar la configuración.

  1. Apunte el explorador Web a https://<subdomain>sharefile.com/saml/login.

    Se le redirigirá al formulario de inicio de sesión de NetScaler Gateway. Si no se le redirige, compruebe los parámetros de configuración anteriores.

  2. Escriba el nombre de usuario y la contraseña del entorno de XenMobile y NetScaler Gateway que haya configurado.

    Aparecen sus carpetas de ShareFile en <subdomain>.sharefile.com. Si no ve las carpetas de ShareFile, compruebe que ha indicado correctamente las credenciales de inicio de sesión.