Guide de configuration de l’authentification unique Citrix Content Collaboration pour Citrix Endpoint Management

Vous pouvez configurer le serveur Citrix Endpoint Management et NetScaler Gateway pour qu’ils fonctionnent en tant que fournisseur d’identité SAML (IdP) pour Citrix Content Collaboration. Dans cette configuration, un utilisateur qui se connecte à Citrix Content Collaboration à l’aide d’un navigateur Web ou d’autres clients Citrix Files est redirigé vers l’environnement Citrix Endpoint Management pour l’authentification des utilisateurs. Une fois l’authentification réussie par Citrix Endpoint Management, l’utilisateur reçoit un jeton SAML valide pour se connecter à son compte Citrix Content Collaboration.

Composants requis

Une configuration fonctionnelle de NetScaler Gateway et du serveur Citrix Endpoint Management, qui sont déjà configurés.

Configurer l’authentification unique SAML pour les applications Citrix Files MDX

Vous pouvez utiliser le serveur Citrix Endpoint Management Server ainsi que Secure Hub pour l’authentification unique (SSO) aux applications encapsulées dans Citrix Files MDX. Dans ce scénario, Secure Hub obtient un jeton SAML pour la connexion à Citrix Content Collaboration en utilisant le serveur Citrix Endpoint Management comme IdP.

1. Connectez-vous au serveur Citrix Endpoint Management à l’aide de l’URL https://<Citrix Endpoint Management Server>:4443
2. Accédez à Configurer > ShareFile.
3. Utilisez l’outil de gestion des utilisateurs Content Collaboration pour le provisioning des utilisateurs. Voir Provisionner des comptes d’utilisateurs et des groupes de distribution.

La configuration SAML pour les applications Citrix Files MDX est configurée. Si vous souhaitez uniquement autoriser l’accès à Citrix Content Collaboration à l’aide des applications encapsulées dans Citrix Files MDX, votre configuration est terminée. Toutefois, si vous souhaitez configurer l’accès pour des clients Citrix Files non MDX, continuez à utiliser le guide de configuration.

La configuration de Citrix Content Collaboration MDX SSO permet également de provisionner les utilisateurs sur le serveur Citrix Endpoint Management. Tous les utilisateurs qui font partie des rôles sélectionnés et ne possèdent pas de compte dans Citrix Content Collaboration sont automatiquement provisionnés par le serveur Citrix Endpoint Management en fonction de la façon dont ils accèdent pour la première fois à Citrix Content Collaboration. Pour en savoir plus sur la façon dont le serveur Citrix Endpoint Management approvisionne les utilisateurs de Citrix Content Collaboration, consultez l’article CTX200431du centre de connaissances.

Configurer NetScaler Gateway

La configuration suivante est requise sur NetScaler Gateway pour prendre en charge l’utilisation de Citrix Endpoint Management en tant que fournisseur d’identité SAML :

Désactiver la redirection vers la page d’accueil

Vous devez désactiver le comportement par défaut pour les demandes qui passent par le chemin /cginfra, afin que l’URL interne demandée d’origine soit diffusée à l’utilisateur au lieu de la page d’accueil configurée.

1. Modifiez les paramètres du serveur virtuel NetScaler Gateway utilisé pour les connexions à Citrix Endpoint Management. Accédez à Autres paramètres et désactivez la case à cocher intitulée Rediriger vers la page d’accueil :

   

2. Pour le paramètre ShareFile, ajoutez le nom et le port internes du serveur Citrix Endpoint Management. Par exemple : xms.citrix.lab:8443.
3. Pour le paramètre AppController, entrez l’adresse de votre serveur Citrix Endpoint Management. Cette configuration autorise les requêtes vers l’URL spécifiée via le chemin /cginfra.

Création d’une politique de session Citrix Content Collaboration et d’un profil de demande

1. Dans l’utilitaire de configuration Citrix Gateway, sélectionnez Citrix Gateway > Politiques > Session dans le volet de navigation de gauche.
2. Pour créer une politique de session, dans l’onglet Politiques, cliquez sur Ajouter… puis entrez ShareFile_Policy comme nom.
3. Pour créer une action, cliquez sur Ajouter… L’écran Créer un profil de session NetScaler Gateway s’ouvre.
4. Dans Nom, entrez ShareFile_Profile comme nom du profil de session.
5. Dans l’onglet Expérience client  :
   • Pour la page d’accueil, entrez aucun.
   • Pour le délai d’expiration de la session, entrez 1.
   • Activez l’ authentification unique pour les applications Web.
   • Pour l’ accès sans client, réglez surActivé.
   • Pour le cookie persistant d’accès sans client, définissez le paramètre surAutoriser.
   • Pour l’ index des informations d’identification, sélectionnez PRINCIPAL.

   

6. Dans l’onglet Sécurité, définissez l’ action d’autorisation par défaut sur Autoriser.

   

7. Dans l’onglet Applications publiées  :
   • Pour le proxy ICA, sélectionnez ON.
   • Dans Adresse de l’interface Web, entrez l’URL de votre serveur Citrix Endpoint Management comme indiqué.
   • Dans Domaine d’authentification unique, entrez votre nom de domaine Active Directory.

   

   Lors de la configuration du profil de session NetScaler Gateway, le suffixe de domaine saisi dans le champ Single Sign-On Domain doit correspondre à l’alias de domaine Citrix Endpoint Management défini dans LDAP.

8. Cliquez sur Créer pour terminer la définition du profil de session.
9. Pour l’expressionShareFile_Policy, passez à **Classic Policy et cliquez sur Expression Editor.**

10. Spécifiez l’expression en utilisant lavaleur**NSC_FSRD et le nom d’ en-tête COOKIE.**

    

11. Cliquez sur Terminé, sur Créer, puis sur Fermer.

    

Configurer des stratégies sur le serveur virtuel NetScaler Gateway

1. Dans l’utilitaire de configuration de NetScaler Gateway, sélectionnez NetScaler Gateway > Virtual Servers dans le volet de navigation de gauche.
2. Dans le volet Détails, cliquez sur votre serveur virtuel Citrix Gateway, puis sur Modifier.
3. Accédez à Politiques configurées > Politiques de session et cliquez sur Ajouter une liaison.
4. Sélectionnez le ShareFile_Policy.

5. Modifiez le numéro de priorité généré automatiquement pour la politique insérée afin qu’il ait le numéro le plus bas (priorité la plus élevée) par rapport à toutes les autres politiques répertoriées.

   

6. Cliquez sur Done, puis enregistrez la configuration NetScaler Gateway actuelle.

Modifier les paramètres d’authentification unique

1. Connectez-vous à votre compte en tant qu’administrateur Citrix Content Collaboration.
2. Dans l’interface Web, accédez à Paramètres d’administration > Sécurité > Politique de connexion et de sécurité et faites défiler la page vers le bas jusqu’aux paramètres d’ authentification unique .

3. Modifiez l’URL de connexion.

   

   • Insérez le nom de domaine complet externe du serveur virtuel Citrix Gatewayplus /cginfra/https/ avant le nom de domaine complet du serveur CitrixEndpoint Management et :8443 après le nom de domaine complet.
   • Modifiez le paramètre &app=ShareFile_SAML_SP pour utiliser le nom interne de l’application. Le nom interne est ShareFile_SAML par défaut, mais à chaque modification apportée à votre configuration, le nom interne change pour ajouter un numéro (ShareFile_SAML2, ShareFile_SAML3, etc.).
   • Ajoutez &nssso=true à la fin de l’URL. Pa exemple : https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

Chaque fois que vous modifiez ou recréez l’application, le nom interne de l’application est mis à jour et un numéro est ajouté au nom. Vous devez également mettre à jour l’URL de connexion pour qu’elle reflète le nom de l’application mis à jour. L’exemple suivant montre comment l’URL de connexion doit changer lorsque le nom de l’application interne passe de « ShareFile_SAML » à « ShareFile_SAML2 »

1. Sous Paramètres facultatifs, cochez la case Activer l’authentification Web .

   

2. Cliquez sur Enregistrer.

Validez votre configuration

1. Accédez à https://subdomain.sharefile.com/saml/login. Vous êtes redirigé vers le formulaire de connexion NetScaler Gateway.

2. Connectez-vous à l’aide d’informations d’identification utilisateur valides pour l’environnement de serveur NetScaler Gateway et Citrix Endpoint Management que vous avez configuré. Vos dossiers Citrix Files à l’adresse subdomain.sharefile.com s’affichent.