Guide de configuration de l’authentification unique Citrix Content Collaboration pour Citrix Endpoint Management

Vous pouvez configurer le serveur Citrix Endpoint Management et Citrix Gateway pour fonctionner en tant que fournisseur d’identité SAML pour Citrix Content Collaboration. Dans cette configuration, un utilisateur qui se connecte à Citrix Content Collaboration à l’aide d’un navigateur Web ou d’autres clients Citrix Files est redirigé vers l’environnement Citrix Endpoint Management pour l’authentification utilisateur. Après une authentification réussie par Citrix Endpoint Management, l’utilisateur reçoit un jeton SAML valide pour la connexion à son compte Citrix Content Collaboration.

Conditions préalables

Une configuration de travail de Citrix Gateway et du serveur Citrix Endpoint Management, qui sont déjà configurées.

Configurer l’authentification unique SAML pour les applications Citrix Files MDX

Vous pouvez utiliser Citrix Endpoint Management Server avec Secure Hub à l’authentification unique (SSO) aux applications enveloppées MDX Citrix Files. Dans ce scénario, Secure Hub obtient un jeton SAML pour la connexion Citrix Content Collaboration à l’aide du serveur Citrix Endpoint Management en tant qu’IdP.

  1. Connectez-vous à Citrix Endpoint Management Server à l’aide de l’URL https://<Citrix Endpoint Management Server>:4443
  2. Accédez à Configurer > ShareFile.
  3. Utilisez l’outil de gestion des utilisateurs Content Collaboration pour le provisioning des utilisateurs. Consultez Provisionner des comptes d’utilisateurs et des groupes de distribution.

La configuration SAML pour les applications Citrix Files MDX est configurée. Si vous souhaitez uniquement autoriser l’accès à Citrix Content Collaboration à l’aide des applications Citrix Files MDX, votre configuration est terminée. Toutefois, si vous souhaitez configurer l’accès pour les clients Citrix Files non-MDX, continuez à utiliser le guide de configuration.

La configuration de l’authentification SSO MDX Citrix Content Collaboration permet également le provisionnement utilisateur dans le serveur Citrix Endpoint Management. Tous les utilisateurs qui font partie des rôles sélectionnés et qui n’ont pas de compte dans Citrix Content Collaboration sont automatiquement provisionnés par le serveur Citrix Endpoint Management en fonction de la façon dont ils accèdent pour la première fois à Citrix Content Collaboration. Pour en savoir plus sur la façon dont le serveur Citrix Endpoint Management met en service les utilisateurs Citrix Content Collaboration, consultez l’article du Centre de connaissances CTX200431.

Configurer Citrix Gateway

La configuration suivante est requise sur Citrix Gateway pour prendre en charge l’utilisation de Citrix Endpoint Management en tant que fournisseur d’identité SAML :

Désactiver la redirection vers la page d’accueil

Vous devez désactiver le comportement par défaut pour les requêtes qui passent par le chemin /cginfra, de sorte que l’URL interne demandée d’origine soit fournie à l’utilisateur au lieu de la page d’accueil configurée.

  1. Modifiez les paramètres du serveur virtuel Citrix Gateway utilisé pour les connexions Citrix Endpoint Management. Accédez à Autres paramètres et désactivez la case à cocher Rediriger vers la page d’accueil :

    Citrix Endpoint Management

  2. Pour le paramètre ShareFile, ajoutez le nom du serveur interne et le port de votre serveur Citrix Endpoint Management. Par exemple : xms.citrix.lab:8443.
  3. Pour le paramètre AppController, entrez l’adresse de votre serveur Citrix Endpoint Management. Cette configuration autorise les requêtes vers l’URL spécifiée via le chemin /cginfra.

Créer une stratégie de session Citrix Content Collaboration et un profil de demande

  1. Dans l’utilitaire de configuration Citrix Gateway, sélectionnez Citrix Gateway > Stratégies > Session dans le volet de navigation de gauche.
  2. Pour créer une stratégie de session, sous l’onglet Stratégies, cliquez sur Ajouter…, puis entrez ShareFile_Policy comme nom.
  3. Pour créer une action, cliquez sur Ajouter… L’écran Créer un profil de session Citrix Gateway s’ouvre.
  4. Dans Nom, entrez ShareFile_Profile comme nom du profil de session.
  5. Dans l’onglet Expérience client  :
    • Pour Page d’accueil, saisissez aucun.
    • Pour Délai d’expiration de session, entrez 1.
    • Activez l’authentification unique aux applications Web.
    • Pour l’ accès sans client, définissez sur On.
    • Pour Cookie persistant Accès sans client, définissez sur Autoriser.
    • Pour Index des informations d’identification, sélectionnez PRIMAIRE.

    Citrix Endpoint Management 2

  6. Sous l’onglet Sécurité, définissez Action d’autorisation par défaut sur Autoriser.

    Citrix Endpoint Management 3

  7. Sous l’onglet Applications publiées  :
    • Pour ICA Proxy, sélectionnez ON.
    • Dans Adresse de l’interface Web, entrez l’URL de votre serveur Citrix Endpoint Management comme indiqué.
    • Dans Single Sign-On Domaine, entrez votre nom de domaine Active Directory.

    Citrix Endpoint Management 4

    Lors de la configuration du profil de session Citrix Gateway, le suffixe de domaine entré dans le champ Domaine d’authentification unique doit correspondre à l’alias de domaine Citrix Endpoint Management défini dans LDAP.

  8. Cliquez sur Créer pour terminer la définition du profil de session.
  9. Pour l’expression ShareFile_Policy, passez à Stratégie classique et cliquez sur Éditeur d’expression.
  10. Spécifiez l’expression à l’aide d’une valeurNSC_FSRD et d’un nom d’en-tête de COOKIE.

    Citrix Endpoint Management 5

  11. Cliquez sur Terminé, cliquez sur Créer, puis sur Fermer.

    Citrix Endpoint Management 6

Configurer des stratégies sur le serveur virtuel Citrix Gateway

  1. Dans l’utilitaire de configuration Citrix Gateway, sélectionnez Citrix Gateway > Serveurs virtuels dans le volet de navigation de gauche.
  2. Dans le volet Détails, cliquez sur votre serveur virtuel Citrix Gateway, puis cliquez sur Modifier.
  3. Accédez à Stratégies configurées > Stratégies de session, puis cliquez sur Ajouter une liaison.
  4. Sélectionnez ShareFile_Policy.
  5. Modifiez le numéro de priorité généré automatiquement pour la stratégie insérée afin qu’elle ait le nombre le plus bas (priorité la plus élevée) par rapport aux autres stratégies répertoriées.

    Citrix Endpoint Management 7

  6. Cliquez sur Done, puis enregistrez la configuration Citrix Gateway actuelle.

Modifier les paramètres d’authentification unique

  1. Connectez-vous à votre compte en tant qu’administrateur Citrix Content Collaboration.
  2. Dans l’interface Web, accédez à Paramètres d’administration > Sécurité > Stratégie de connexion et de sécurité et faites défiler vers le bas jusqu’aux paramètres d’authentification unique.
  3. Modifiez l’URL de connexion.

    Citrix Endpoint Management 9

    • Insérez le nom de domaine complet externe du serveur virtuel Citrix Gateway plus /cginfra/http/ avant le nom de domaine complet du serveur Citrix Endpoint Management et : 8443 après le nom de domaine complet.
    • Modifiez le paramètre &app=sharefile_saml_sp pour utiliser le nom interne de l’application. Le nom interne est ShareFile_SAML par défaut, mais à chaque modification apportée à votre configuration, le nom interne change pour ajouter un nombre (ShareFile_SAML2, ShareFile_SAML3, etc.).
    • Ajoutez &nssso=true à la fin de l’URL. Pa exemple : https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

Chaque fois que vous modifiez ou recréez l’application, le nom de l’application interne est mis à jour avec un numéro ajouté au nom. Vous devez également mettre à jour l’URL de connexion pour refléter le nom de l’application mis à jour. L’exemple suivant montre comment l’URL de connexion doit changer lorsque le nom de l’application interne passe de « ShareFile_SAML » à « ShareFile_SAML2 »

  1. Sous Paramètres facultatifs, activez la case à cocher Activer l’authentification Web .

    Citrix Endpoint Management 10

  2. Cliquez sur Enregistrer.

Valider votre configuration

  1. Accédez à https://subdomain.sharefile.com/saml/login. Vous êtes redirigé vers le formulaire de connexion Citrix Gateway.
  2. Connectez-vous avec des informations d’identification utilisateur valides pour l’environnement de serveur Citrix Gateway et Citrix Endpoint Management que vous avez configuré. Vos dossiers Citrix Files à l’adresse subdomain.sharefile.com s’affichent.
Guide de configuration de l’authentification unique Citrix Content Collaboration pour Citrix Endpoint Management