Guide de configuration de l’authentification unique Citrix Content Collaboration pour ADFS 3
Conditions préalables à l’installation
Pour configurer Citrix Content Collaboration de manière à s’authentifier auprès des services fédérés Active Directory, vous avez besoin des éléments suivants :
- Windows Server 2012 R2
- Certificat SSL signé publiquement d’une autorité de certification. Les certificats auto-signés et non signés ne sont pas acceptés.
- Un nom de domaine complet pour votre serveur ADFS
- Accès à un compte d’administrateur dans Citrix Content Collaboration avec la possibilité de configurer l’authentification unique.
Remarque :
Pour provisionner les utilisateurs de votre Active Directory vers Citrix Content Collaboration, reportez-vous au guide d’installation de l’outil de gestion des utilisateurs.
ADFS 3.0 (installation basée sur les rôles)
-
Vous ne pouvez pas télécharger Microsoft Active Directory Federated Services 3.0 séparément. Vous devez utiliser un serveur Windows 2012 R2 pour cette version.
-
Installez l’installation basée sur les rôles ou sur les fonctionnalités. Cliquez sur Suivant.
-
Sélectionnez le serveur pour l’installation et cliquez sur Suivant. Sélectionnez ensuite les services de fédération Active Directory. Cliquez sur Suivant.
-
Cliquez sur Suivant dans Rôles serveur, AD FS, puis dans l’écran Confirmation. Cochez la case Redémarrer, dites Oui à l’écran suivant, puis cliquez sur Installer.
-
Une fois ADFS installé, vous devez effectuer une activité de post-déploiement s’il s’agit du premier serveur AD FS dans Active Directory. Utilisez vos propres informations de configuration pour cette étape.
Configuration d’ADFS 3.0
- Dans la console de gestion ADFS 3.0, démarrez l’Assistant Configuration.
-
Lorsque l’Assistant démarre, sélectionnez Créer un nouveau service de fédération et cliquez sur Suivant.
-
Puisque nous utilisons un certificat générique, nous devons déterminer un nom de service de fédération. Si vous n’utilisez pas de certificat SSL générique, vous n’avez peut-être pas à effectuer cette étape. Cliquez ensuite sur Suivant pour continuer.
-
Cliquez sur Suivant pour configurer.
-
Confirmez que toutes les configurations ont été terminées sans erreur et cliquez sur Fermer et quittez l’Assistant.
-
Développez le nœud Service dans la Console de gestion. Sélectionnez le certificat de signature de jeton et cliquez sur Afficher le certificat dans la colonne de droite.
-
Dans la fenêtre Certificat, sélectionnez l’onglet Détails, puis cliquez sur Copier dans le fichier.
-
Cliquez sur Next pour continuer.
-
Sélectionnez X.509 (.CER) codé Base-64 comme format d’exportation du certificat, puis cliquez sur Suivant.
-
Enregistrez le fichier de certificat et cliquez sur Suivant.
-
Cliquez sur Terminer pour enregistrer le fichier.
-
Accédez au dossier où vous avez exporté le certificat et ouvrez-le avec le Bloc-notes.
-
Sélectionnez tout le texte à l’intérieur du Bloc-notes et copiez.
- Ouvrez Internet Explorer et accédez à votre compte Citrix Content Collaboration (
https://<yoursubdomain>.sharefile.com
). Connectez-vous avec votre compte administrateur. Accédez à Paramètres d’administration > Sécurité > Connexion et stratégie de sécurité. Recherchez la configuration de l’authentification unique /SAML 2.0.- Activez le paramètre SAML sur Oui.
-
Émetteur/ID d’entité ShareFile :
https://<subdomain>.sharefile.com/saml/info
-
Votre ID émetteur/entité IDP :
https://<adfs>.yourdomain.com
- X.509 Certificat : Coller le contenu du certificat exporté de la section précédente
-
URL de connexion :
https://<adfs>.yourdomain.com/adfs/ls
- Dans Paramètres facultatifs, modifiez les valeurs suivantes.
- Activer l’authentification Web : Oui (cocher coché)
- Contexte d’authentification initié par SP : Nom d’utilisateur et mot de passe — Minimum
-
Réduisez Internet Explorer et revenez à la console de gestion ADFS. Développez le nœud Relations d’approbation et sélectionnez Approts de partie de confiance. Ensuite, cliquez sur Ajouter l’approbation d’une partie de confiance… à partir du côté droit de la console. Cette opération lance l’Assistant Ajout d’approbation de confiance.
-
Cliquez sur Démarrer pour commencer à spécifier une approbation de partie de confiance.
-
La récupération des métadonnées du site SAML peut configurer automatiquement l’approbation pour vous. Utiliser
https://<yoursubdomain>.sharefile.com/saml/metadata
comme adresse de métadonnées de fédération (nom d’hôte ou URL). Cliquez sur Suivant. -
Spécifiez un nom complet. Typiquement, vous gardez ceci comme
<yoursubdomain>.sharefile.com
, de sorte que vous pouvez identifier les différentes approbations les unes des autres. -
Autoriser tous les utilisateurs à accéder à cette partie de confiance. Cliquez sur Suivant.
-
Vérifiez que les informations sont correctes et cliquez sur Suivant.
-
Vérifiez que la case à cocher Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance à la fermeture de l’Assistant est cochée. Cliquez ensuite sur Fermer.
-
Sous l’onglet Règles de transformation d’émission, cliquez sur Ajouter une règle.
-
La première règle consiste à envoyer des attributs LDAP en tant que revendications.
-
Les utilisateurs de la plateforme Citrix Content Collaboration sont identifiés par leur adresse e-mail. Nous envoyons la réclamation en tant qu’UPN. Donnez un nom descriptif de règle de réclamation, tel que Adresse de messagerie à l’adresse e-mail. Sélectionnez Active Directory comme magasin d’attributs. Enfin, sélectionnez Adresse e-mail comme attribut LDAP et Adresse de messagerie comme Type de réclamation sortante. Cliquez sur Terminer.
-
Créez une deuxième règle. Cette règle est utilisée pour transformer une revendication entrante. Cliquez sur Suivant.
-
Le type de réclamation entrante transforme l’adresse e-mail entrante en un type de réclamation ID nom sortant au format e-mail. Donnez un nom descriptif, tel que ID nommé à l’adresse e-mail. Le type de réclamation entrante est Adresse e-mail, le type de réclamation sortanteID de nom. Le format de nomsortantestEmail. Cliquez surTerminer.
-
Vérifiez que les revendications sont correctes, puis cliquez sur OK.
-
Passez à n’importe quel navigateur Web et accédez à
https://<yoursubdomain>.sharefile.com/saml/login
. Vous êtes redirigé vers vos services ADFS. Si votre e-mail de connexion est lié à un utilisateur sur AD, vous pouvez vous authentifier avec vos informations d’identification AD.