Guide de configuration de l’authentification unique Citrix Content Collaboration pour ADFS 3

Conditions préalables à l’installation

Pour configurer Citrix Content Collaboration de manière à s’authentifier auprès des services fédérés Active Directory, vous avez besoin des éléments suivants :

  • Windows Server 2012 R2
  • Certificat SSL signé publiquement d’une autorité de certification. Les certificats auto-signés et non signés ne sont pas acceptés.
  • Un nom de domaine complet pour votre serveur ADFS
  • Accès à un compte d’administrateur dans Citrix Content Collaboration avec la possibilité de configurer l’authentification unique.

Remarque :

Pour provisionner les utilisateurs de votre Active Directory vers Citrix Content Collaboration, reportez-vous au guide d’installation de l’outil de gestion des utilisateurs.

ADFS 3.0 (installation basée sur les rôles)

  1. Vous ne pouvez pas télécharger Microsoft Active Directory Federated Services 3.0 séparément. Vous devez utiliser un serveur Windows 2012 R2 pour cette version.

    adfs3 image 1

  2. Installez l’installation basée sur les rôles ou sur les fonctionnalités. Cliquez sur Suivant.

    adfs3 image 2

  3. Sélectionnez le serveur pour l’installation et cliquez sur Suivant. Sélectionnez ensuite les services de fédération Active Directory. Cliquez sur Suivant.

    adfs3 image 3

  4. Cliquez sur Suivant dans Rôles serveur, AD FS, puis dans l’écran Confirmation. Cochez la case Redémarrer, dites Oui à l’écran suivant, puis cliquez sur Installer.

    adfs3 image 4

  5. Une fois ADFS installé, vous devez effectuer une activité de post-déploiement s’il s’agit du premier serveur AD FS dans Active Directory. Utilisez vos propres informations de configuration pour cette étape.

    adfs3 image 5

Configuration d’ADFS 3.0

  1. Dans la console de gestion ADFS 3.0, démarrez l’Assistant Configuration.
  2. Lorsque l’Assistant démarre, sélectionnez Créer un nouveau service de fédération et cliquez sur Suivant.

    adfs3 image 6

    adfs3 image 7

  3. Puisque nous utilisons un certificat générique, nous devons déterminer un nom de service de fédération. Si vous n’utilisez pas de certificat SSL générique, vous n’avez peut-être pas à effectuer cette étape. Cliquez ensuite sur Suivant pour continuer.

    adfs3 image 8

  4. Cliquez sur Suivant pour configurer.

    adfs3 image 9

  5. Confirmez que toutes les configurations ont été terminées sans erreur et cliquez sur Fermer et quittez l’Assistant.

    adfs3 image 10

    adfs3 image 11

  6. Développez le nœud Service dans la Console de gestion. Sélectionnez le certificat de signature de jeton et cliquez sur Afficher le certificat dans la colonne de droite.

    adfs3 image 12

  7. Dans la fenêtre Certificat, sélectionnez l’onglet Détails, puis cliquez sur Copier dans le fichier.

    adfs3 image 13

  8. Cliquez sur Next pour continuer.

    adfs3 image 14

  9. Sélectionnez X.509 (.CER) codé Base-64 comme format d’exportation du certificat, puis cliquez sur Suivant.

    adfs3 image 15

  10. Enregistrez le fichier de certificat et cliquez sur Suivant.

    adfs3 image 16

  11. Cliquez sur Terminer pour enregistrer le fichier.

    adfs3 image 17

  12. Accédez au dossier où vous avez exporté le certificat et ouvrez-le avec le Bloc-notes.

    adfs3 image 18

  13. Sélectionnez tout le texte à l’intérieur du Bloc-notes et copiez.

    adfs3 image 19

  14. Ouvrez Internet Explorer et accédez à votre compte Citrix Content Collaboration (https://<yoursubdomain>.sharefile.com). Connectez-vous avec votre compte administrateur. Accédez à Paramètres d’administration > Sécurité > Connexion et stratégie de sécurité. Recherchez la configuration de l’authentification unique /SAML 2.0.
    • Activez le paramètre SAML sur Oui.
    • Émetteur/ID d’entité ShareFile : https://<subdomain>.sharefile.com/saml/info
    • Votre ID émetteur/entité IDP : https://<adfs>.yourdomain.com
    • X.509 Certificat : Coller le contenu du certificat exporté de la section précédente
    • URL de connexion : https://<adfs>.yourdomain.com/adfs/ls

    adfs3 image 20

  15. Dans Paramètres facultatifs, modifiez les valeurs suivantes.
    • Activer l’authentification Web : Oui (cocher coché)
    • Contexte d’authentification initié par SP : Nom d’utilisateur et mot de passe — Minimum

    adfs3 image 21

  16. Réduisez Internet Explorer et revenez à la console de gestion ADFS. Développez le nœud Relations d’approbation et sélectionnez Approts de partie de confiance. Ensuite, cliquez sur Ajouter l’approbation d’une partie de confiance… à partir du côté droit de la console. Cette opération lance l’Assistant Ajout d’approbation de confiance.

    adfs3 image 22

  17. Cliquez sur Démarrer pour commencer à spécifier une approbation de partie de confiance.

    adfs3 image 23

  18. La récupération des métadonnées du site SAML peut configurer automatiquement l’approbation pour vous. Utiliser https://<yoursubdomain>.sharefile.com/saml/metadata comme adresse de métadonnées de fédération (nom d’hôte ou URL). Cliquez sur Suivant.

    adfs3 image 24

  19. Spécifiez un nom complet. Typiquement, vous gardez ceci comme <yoursubdomain>.sharefile.com, de sorte que vous pouvez identifier les différentes approbations les unes des autres.

    adfs3 image 25

    adfs3 image 26

  20. Autoriser tous les utilisateurs à accéder à cette partie de confiance. Cliquez sur Suivant.

    adfs3 image 27

  21. Vérifiez que les informations sont correctes et cliquez sur Suivant.

    adfs3 image 28

  22. Vérifiez que la case à cocher Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance à la fermeture de l’Assistant est cochée. Cliquez ensuite sur Fermer.

    adfs3 image 29

  23. Sous l’onglet Règles de transformation d’émission, cliquez sur Ajouter une règle.

    adfs3 image 30

  24. La première règle consiste à envoyer des attributs LDAP en tant que revendications.

    adfs3 image 31

  25. Les utilisateurs de la plateforme Citrix Content Collaboration sont identifiés par leur adresse e-mail. Nous envoyons la réclamation en tant qu’UPN. Donnez un nom descriptif de règle de réclamation, tel que Adresse de messagerie à l’adresse e-mail. Sélectionnez Active Directory comme magasin d’attributs. Enfin, sélectionnez Adresse e-mail comme attribut LDAP et Adresse de messagerie comme Type de réclamation sortante. Cliquez sur Terminer.

    adfs3 image 32

  26. Créez une deuxième règle. Cette règle est utilisée pour transformer une revendication entrante. Cliquez sur Suivant.

    adfs3 image 33

  27. Le type de réclamation entrante transforme l’adresse e-mail entrante en un type de réclamation ID nom sortant au format e-mail. Donnez un nom descriptif, tel que ID nommé à l’adresse e-mail. Le type de réclamation entrante est Adresse e-mail, le type de réclamation sortanteID de nom. Le format de nomsortantestEmail. Cliquez surTerminer.

    adfs3 image 34

  28. Vérifiez que les revendications sont correctes, puis cliquez sur OK.

    adfs3 image 35

  29. Passez à n’importe quel navigateur Web et accédez à https://<yoursubdomain>.sharefile.com/saml/login. Vous êtes redirigé vers vos services ADFS. Si votre e-mail de connexion est lié à un utilisateur sur AD, vous pouvez vous authentifier avec vos informations d’identification AD.

    adfs3 image 36

Guide de configuration de l’authentification unique Citrix Content Collaboration pour ADFS 3