Guide de configuration de l’authentification unique Citrix Content Collaboration pour ADFS 3

Conditions préalables à l’installation

Pour configurer Citrix Content Collaboration de manière à s’authentifier auprès des services fédérés Active Directory, vous avez besoin des éléments suivants :

• Windows Server 2012 R2
• Certificat SSL signé publiquement d’une autorité de certification. Les certificats auto-signés et non signés ne sont pas acceptés.
• Un nom de domaine complet pour votre serveur ADFS
• Accès à un compte d’administrateur dans Citrix Content Collaboration avec la possibilité de configurer l’authentification unique.

Remarque :

Pour provisionner les utilisateurs de votre Active Directory vers Citrix Content Collaboration, reportez-vous au guide d’installation de l’outil de gestion des utilisateurs.

ADFS 3.0 (installation basée sur les rôles)

1. Vous ne pouvez pas télécharger Microsoft Active Directory Federated Services 3.0 séparément. Vous devez utiliser un serveur Windows 2012 R2 pour cette version.

   

2. Installez l’installation basée sur les rôles ou sur les fonctionnalités. Cliquez sur Suivant.

   

3. Sélectionnez le serveur pour l’installation et cliquez sur Suivant. Sélectionnez ensuite les services de fédération Active Directory. Cliquez sur Suivant.

   

4. Cliquez sur Suivant dans Rôles serveur, AD FS, puis dans l’écran Confirmation. Cochez la case Redémarrer, dites Oui à l’écran suivant, puis cliquez sur Installer.

   

5. Une fois ADFS installé, vous devez effectuer une activité de post-déploiement s’il s’agit du premier serveur AD FS dans Active Directory. Utilisez vos propres informations de configuration pour cette étape.

   

Configuration d’ADFS 3.0

1. Dans la console de gestion ADFS 3.0, démarrez l’Assistant Configuration.

2. Lorsque l’Assistant démarre, sélectionnez Créer un nouveau service de fédération et cliquez sur Suivant.

   

   

3. Puisque nous utilisons un certificat générique, nous devons déterminer un nom de service de fédération. Si vous n’utilisez pas de certificat SSL générique, vous n’avez peut-être pas à effectuer cette étape. Cliquez ensuite sur Suivant pour continuer.

   

4. Cliquez sur Suivant pour configurer.

   

5. Confirmez que toutes les configurations ont été terminées sans erreur et cliquez sur Fermer et quittez l’Assistant.

   

   

6. Développez le nœud Service dans la Console de gestion. Sélectionnez le certificat de signature de jeton et cliquez sur Afficher le certificat dans la colonne de droite.

   

7. Dans la fenêtre Certificat, sélectionnez l’onglet Détails, puis cliquez sur Copier dans le fichier.

   

8. Cliquez sur Next pour continuer.

   

9. Sélectionnez X.509 (.CER) codé Base-64 comme format d’exportation du certificat, puis cliquez sur Suivant.

   

10. Enregistrez le fichier de certificat et cliquez sur Suivant.

    

11. Cliquez sur Terminer pour enregistrer le fichier.

    

12. Accédez au dossier où vous avez exporté le certificat et ouvrez-le avec le Bloc-notes.

    

13. Sélectionnez tout le texte à l’intérieur du Bloc-notes et copiez.

    

14. Ouvrez Internet Explorer et accédez à votre compte Citrix Content Collaboration (https://<yoursubdomain>.sharefile.com). Connectez-vous avec votre compte administrateur. Accédez à Paramètres d’administration > Sécurité > Connexion et stratégie de sécurité. Recherchez la configuration de l’authentification unique /SAML 2.0.
    • Activez le paramètre SAML sur Oui.
    • Émetteur/ID d’entité ShareFile : https://<subdomain>.sharefile.com/saml/info
    • Votre ID émetteur/entité IDP : https://<adfs>.yourdomain.com
    • X.509 Certificat : Coller le contenu du certificat exporté de la section précédente
    • URL de connexion : https://<adfs>.yourdomain.com/adfs/ls

    

15. Dans Paramètres facultatifs, modifiez les valeurs suivantes.
    • Activer l’authentification Web : Oui (cocher coché)
    • Contexte d’authentification initié par SP : Nom d’utilisateur et mot de passe — Minimum

    

16. Réduisez Internet Explorer et revenez à la console de gestion ADFS. Développez le nœud Relations d’approbation et sélectionnez Approts de partie de confiance. Ensuite, cliquez sur Ajouter l’approbation d’une partie de confiance… à partir du côté droit de la console. Cette opération lance l’Assistant Ajout d’approbation de confiance.

    

17. Cliquez sur Démarrer pour commencer à spécifier une approbation de partie de confiance.

    

18. La récupération des métadonnées du site SAML peut configurer automatiquement l’approbation pour vous. Utiliser https://<yoursubdomain>.sharefile.com/saml/metadata comme adresse de métadonnées de fédération (nom d’hôte ou URL). Cliquez sur Suivant.

    

19. Spécifiez un nom complet. Typiquement, vous gardez ceci comme <yoursubdomain>.sharefile.com, de sorte que vous pouvez identifier les différentes approbations les unes des autres.

    

    

20. Autoriser tous les utilisateurs à accéder à cette partie de confiance. Cliquez sur Suivant.

    

21. Vérifiez que les informations sont correctes et cliquez sur Suivant.

    

22. Vérifiez que la case à cocher Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance à la fermeture de l’Assistant est cochée. Cliquez ensuite sur Fermer.

    

23. Sous l’onglet Règles de transformation d’émission, cliquez sur Ajouter une règle.

    

24. La première règle consiste à envoyer des attributs LDAP en tant que revendications.

    

25. Les utilisateurs de la plateforme Citrix Content Collaboration sont identifiés par leur adresse e-mail. Nous envoyons la réclamation en tant qu’UPN. Donnez un nom descriptif de règle de réclamation, tel que Adresse de messagerie à l’adresse e-mail. Sélectionnez Active Directory comme magasin d’attributs. Enfin, sélectionnez Adresse e-mail comme attribut LDAP et Adresse de messagerie comme Type de réclamation sortante. Cliquez sur Terminer.

    

26. Créez une deuxième règle. Cette règle est utilisée pour transformer une revendication entrante. Cliquez sur Suivant.

    

27. Le type de réclamation entrante transforme l’adresse e-mail entrante en un type de réclamation ID nom sortant au format e-mail. Donnez un nom descriptif, tel que ID nommé à l’adresse e-mail. Le type de réclamation entrante est Adresse e-mail, le type de réclamation sortanteID de nom. Le format de nomsortantestEmail. Cliquez surTerminer.

    

28. Vérifiez que les revendications sont correctes, puis cliquez sur OK.

    

29. Passez à n’importe quel navigateur Web et accédez à https://<yoursubdomain>.sharefile.com/saml/login. Vous êtes redirigé vers vos services ADFS. Si votre e-mail de connexion est lié à un utilisateur sur AD, vous pouvez vous authentifier avec vos informations d’identification AD.