Guide de configuration de l’authentification unique Citrix Content Collaboration pour Citrix Gateway

Vous pouvez configurer Citrix Gateway ADC à l’aide de la fonctionnalité Citrix ADC AAA pour fonctionner en tant que fournisseur d’identité SAML.

Dans cette configuration, un utilisateur se connectant à Citrix Content Collaboration à l’aide d’un navigateur Web ou d’autres clients Citrix Files est redirigé vers un serveur virtuel sur Citrix Gateway avec une stratégie IP SAML activée pour l’authentification de l’utilisateur. Après une authentification réussie à l’aide de Citrix Gateway, l’utilisateur reçoit un jeton SAML valide pour se connecter à son compte Citrix Content Collaboration.

La configuration est requise pour que le certificat SP soit créé afin qu’il puisse être importé sur Citrix Gateway et le lier à votre serveur virtuel Citrix ADC AAA. Il est supposé aux fins de ce document que vous avez déjà créé les entrées DNS externes et internes appropriées pour acheminer les demandes d’authentification que Citrix Gateway écoute et qu’un certificat SSL a déjà été créé et installé sur Citrix Gateway pour la communication SSL/HTTPS.

Configurer Citrix Content Collaboration

  1. Connectez-vous à votre compte sur https://subdomain.sharefile.com à l’aide d’un compte utilisateur disposant de droits d’administrateur.
  2. Sélectionnez Paramètres > Paramètres d’administration.
  3. Sélectionnez Sécurité > Connexion et stratégie de sécurité, faites défiler l’écran vers le bas et sélectionnez l’option Configuration de l’authentification unique .
  4. Sous Paramètres de base, cochez Activer SAML.
  5. Dans le champ Émetteur/ID d’entité ShareFile, entrez : https://subdomain.sharefile.com/saml/acs
  6. Dans le champ URL de connexion, entrez l’URL vers laquelle les utilisateurs sont redirigés lors de l’utilisation de SAML. Exemple : https://aaavip.mycompany.com/saml/login
  7. Dans le champ URL de déconnexion, entrez l’URL de déconnexion qui expire la session des utilisateurs en sélectionnant l’option de déconnexion dans l’interface utilisateur Web. Exemple : https://aaavip.mycompany.com/cgi/tmlogout
  8. Pour le certificat X.509, vous devez exporter le certificat SSL à partir de votre appliance Citrix Gateway qui va répondre à votre trafic Citrix ADC AAA. Dans l’exemple ci-dessus, ce nom est référencé comme étant affecté au nom de domaine complet suivant : aaavip.mycompany.com.

Suivez les étapes ci-dessous pour exporter ce certificat.

  1. Connectez-vous à votre appliance Citrix Gateway à l’aide de l’utilitaire de configuration.
  2. Sélectionnez Gestion du trafic > SSL.
  3. Sur la droite, sous Outils, sélectionnez Gérer les certificats/clés/CSR.

    image de passerelle 1

  4. Dans la fenêtre Gérer les certificats, accédez au certificat que vous utilisez pour votre serveur virtuel Citrix ADC AAA. Sélectionnez le certificat et cliquez sur le bouton Télécharger. Enregistrez le certificat à l’emplacement de votre choix.
  5. Depuis l’emplacement téléchargé, cliquez avec le bouton droit sur le certificat et ouvrez-le avec un éditeur de texte tel que le Bloc-notes.
  6. Copiez l’intégralité du contenu du certificat dans votre presse-papiers.
  7. Revenez à votre compte Citrix Content Collaboration à l’aide du navigateur Web.
  8. Pour le certificat X.509, sélectionnez Modifier. Collez le contenu du certificat que vous avez copié dans votre presse-papiers dans la fenêtre.

    image de passerelle 2

  9. Sélectionnez Save.

  10. Sous Paramètres facultatifs, sélectionnezExiger la connexion SSO sur yes si vous souhaitez que tous les utilisateurs employés soient tenus d’utiliser leurs informations d’identification AD pour se connecter.
  11. Sélectionnez la liste en regard de Certificat SSO initié parle SP. Dans la liste, sélectionnez HTTP Post (certificat 2048 bits).
  12. Cochez Oui pour forcer le certificat SSO initié par le SP à se régénérer.
  13. Cochez Oui pour activer l’authentification Web.
  14. Sous Contexte d’authentification initié par SP, choisissez Non spécifié.

    image de passerelle 3

  15. Cliquez sur le bouton Enregistrer en bas de l’écran.

Configurer Citrix Gateway

La configuration suivante est requise pour la prise en charge en tant que fournisseur d’identité SAML :

  • Stratégie d’authentification LDAP et serveur pour l’authentification de domaine
  • Certificat SSL avec DNS externe/interne configuré en fonction du nom de domaine complet présenté par le certificat (les certificats génériques sont pris en charge)
  • Certificat SP ShareFile
  • Politique et profil d’IdP SAML
  • Serveur virtuel Citrix ADC AAA

Aux fins de ce matériel, nous abordons la configuration LDAP, l’importation du certificat ShareFile SP sur Citrix Gateway, les paramètres d’IDP SAML et la configuration du serveur virtuel AAA Citrix ADC. Le certificat SSL et les configurations DNS doivent être en place avant l’installation.

Pour configurer l’authentification de domaine

Pour que les utilisateurs de domaine puissent se connecter à l’aide de leur adresse e-mail d’entreprise, vous devez configurer un serveur d’authentification LDAP et une stratégie sur Citrix Gateway et le lier à votre Citrix ADC AAA VIP. L’utilisation d’une configuration LDAP existante est également prise en charge.

  1. Dans l’utilitaire de configuration, sélectionnez Sécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies de base > Stratégie > LDAP dans le volet de navigation de gauche.
  2. Pour créer une stratégie LDAP, sous l’onglet Stratégies, cliquez sur Ajouter…, puis entrez ShareFile_LDAP_SSO_Policy comme nom. Dans le Type d’action, sélectionnez LDAP.
  3. Dans le champ Action, cliquez sur + pour ajouter un serveur. La fenêtre Créer un serveur LDAP d’authentification apparaît.
    • Dans le champ Nom, entrez ShareFile_LDAP_SSO_Server.
    • Sélectionnez la puce pour l’IP du serveur. Entrez l’adresse IP de l’un de vos contrôleurs de domaine AD. Vous pouvez également pointer vers une adresse IP de serveur virtuel pour la redondance si vous utilisez des contrôleurs de domaine d’équilibrage de charge.
    • Spécifiez le port que le NSIP utilise pour communiquer avec le contrôleur de domaine. Utilisez 389 pour LDAP ou 636 pour LDAP sécurisé.
    • Sous Paramètres de connexion, entrez le nom distinctif de base où résident les comptes d’utilisateurs dans AD que vous souhaitez autoriser l’authentification. Ex. OU=ShareFile, DC = domaine, DC = com.
    • Dans le champ DN de liaison administrateur, ajoutez un compte de domaine (à l’aide d’une adresse e-mail pour faciliter la configuration) qui a les droits de parcourir l’arborescence AD. Un compte de service est conseillé de sorte qu’il n’y ait aucun problème de connexion si le compte configuré a une expiration de mot de passe.
    • Cochez la case Lier le mot de passe DN et fournissez le mot de passe deux fois.
    • Sous Autres paramètres, entrez SamAccountName comme attribut de nom d’ouverture de session du serveur.
    • Sous le champ Attribut de groupe, entrez memberof.
    • Sous le champ Sous-attribut, entrez CN.
    • Cliquez sur Plus.
    • Faites défiler l’écran vers le bas et dans les champs Attribut, Attribut 1, entrez mail.

    passerelle image 4

    • Cliquez sur le bouton Créer pour compléter les paramètres du serveur LDAP.
    • Pour la configuration de stratégie LDAP, sélectionnez le serveur LDAP nouvellement créé dans le menu serveur, puis dans le champ Expression, tapez true.

    image de passerelle 5

Cliquez sur Créer pour terminer la stratégie LDAP et la configuration du serveur.

Pour importer le certificat SP sur Citrix Gateway

  1. Connectez-vous à votre compte sur https://subdomain.sharefile.com à l’aide d’un compte utilisateur disposant de droits d’administrateur.
  2. Cliquez sur le lien Paramètres > Paramètres d’administration situé à gauche ou au centre de la page. Sélectionnez Sécurité > Connexion et stratégie de sécurité, puis faites défiler jusqu’à Configuration d’authentification unique.
  3. Sous Paramètres facultatifs, en regard de Certificat SSO initié par le SP, HTTP Post (certificat 2048 bits) cliquez sur Afficher.
  4. Copiez l’intégralité du hachage du certificat dans votre presse-papiers et collez-le dans un lecteur de texte tel que le Bloc-notes.
  5. Observez la mise en forme et supprimez les espaces supplémentaires ou les retours chariot à la fin du fichier, puis enregistrez le fichier texte sous ShareFile_SAML.cer.
  6. Accédez à l’utilitaire de configuration Citrix Gateway.
  7. Sélectionnez Gestion du trafic > SSL > Certificats > Certificats d’autorité de certification.
  8. Cliquez sur Installer.
  9. Dans la fenêtre Installer le certificat, indiquez un nom de paire de clés de certificat.
  10. Sous la section Nom du fichier de certificat, sélectionnez le menu en regard de Parcourir et sélectionnez Local. Accédez à l’emplacement où vous avez enregistré le fichier ShareFile_SAML.cer.
  11. Une fois le fichier sélectionné, sélectionnez Installer.

Pour configurer la stratégie et le profil d’IdP SAML

Pour que vos utilisateurs reçoivent le jeton SAML pour se connecter à Citrix Content Collaboration, vous devez configurer une stratégie et un profil IdP SAML, qui sont liés au serveur virtuel Citrix ADC AAA auquel les utilisateurs fournissent leurs informations d’identification.

Les étapes suivantes décrivent ce processus :

  1. Ouvrez l’utilitaire de configuration Citrix Gateway et accédez à Sécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies avancées > IDP SAML.
  2. Sous l’onglet Stratégies, sélectionnez le bouton Ajouter.
  3. Dans la fenêtre Créer une stratégie d’authentification IDP SAML, indiquez un nom pour votre stratégie, par exemple ShareFile_SSO_Policy.
  4. À droite du champ Action, sélectionnez le signe + pour ajouter une nouvelle action/profil.
  5. Fournissez un nom tel que ShareFile_SSO_profile et supprimez la case à cocher Importer des métadonnées. Si vous exécutez une ancienne version de NetScaler, cette case à cocher peut ne pas exister.
  6. Dans le champ URL du service client d’assertion, entrez l’URL de votre compte Citrix Content Collaboration suivie de /saml/acs : Ex. https://subdomain.sharefile.com/saml/acs
  7. Dans le champ Nom du certificat IDP, accédez au certificat installé sur Citrix Gateway qui est utilisé pour sécuriser votre serveur virtuel d’authentification Citrix ADC AAA.
  8. Dans le champ Nom du certificat SP, sélectionnez le menu et accédez au certificat SP que vous avez importé précédemment et ajouté en tant que certificat d’autorité de certification.
  9. Pour l’ assertion de signe, laissez ASSERTION.
  10. Effacer Envoyer le mot de passe.
  11. Dans le champ Nom de l’émetteur, entrez l’URL de votre trafic Citrix ADC AAA. Exemple — https://aaavip.mycompany.com.
  12. Laissez l’ID du fournisseur de services vide.
  13. Effacer Rejeter les demandes non signées.
  14. Algorithme de signature, RSA-SHA256
  15. Méthode Digest, SHA256.
  16. Pour la liaison SAML, sélectionnez POST.
  17. Cliquez sur Plus.
  18. Sous le champ Audience, indiquez l’URL de votre compte Citrix Content Collaboration.
  19. Pour le temps d’inclinaison, entrez 5. Cela permet un décalage horaire de 5 minutes entre le client, Citrix Gateway et Citrix Content Collaboration.
  20. Pour Format d’ID de nom, sélectionnez Transient.
  21. Dans le champ Nom ID Expression, tapez ce qui suit : aaa.user.attribute(1). Si vous utilisez NetScaler 11.x, tapez http.req.user.attribute(1).

    image de passerelle 6

  22. Cliquez sur Créer pour terminer la configuration du profil d’IdP SAML et revenir à la fenêtre de création de stratégie d’IdP SAML.
  23. Dans le champ Expression, ajoutez l’expression suivante : HTTP.REQ.URL.CONTAINS(“saml”)
  24. Cliquez sur Créer pour terminer la configuration de l’IdP SAML.

    image de passerelle 7

Pour configurer votre serveur virtuel Citrix ADC AAA

Lorsqu’un employé tente de se connecter, pour qu’il utilise ses informations d’identification d’entreprise, il est redirigé vers un serveur virtuel Citrix Gateway Citrix ADC AAA. Ce serveur virtuel écoute sur le port 443, qui nécessite un certificat SSL, en plus de la résolution DNS externe et interne à l’adresse IP hébergée sur Citrix Gateway. Les étapes suivantes nécessitent une préexistence, supposons que la résolution de nom DNS est déjà en place et que le certificat SSL est déjà installé sur votre appliance Citrix Gateway.

  1. Dans l’utilitaire de configuration, accédez à Sécurité > AAA — Trafic des applications > Serveurs virtuels et cliquez sur le bouton Ajouter.
  2. Dans la fenêtre Authentication Virtual Server, indiquez un nom et une adresse IP.
  3. Faites défiler l’écran vers le bas et assurez-vous que les cases à cocher Authentification et État sont cochées

    image de passerelle 8

  4. Cliquez sur Continuer.
  5. Dans la section Certificats, cliquez sur Aucun certificat de serveur.
  6. Dans la fenêtre Clé Cert du serveur, cliquez sur Lier.
  7. Sous Certificats SSL, choisissez votre certificat SSL Citrix ADC AAA et sélectionnez Insérer. Remarque : Il ne s’agit pas du certificat ShareFile SP
  8. Cliquez sur Lier, puis sur Continuer.
  9. Dans l’option Stratégies d’authentification avancées, cliquez sur Aucune stratégie d’authentification.
  10. Dans la page Liaison de stratégie, sélectionnez Stratégie, sélectionnez ShareFile_LDAP_SSO_Policy créé précédemment.
  11. Cliquez sur Sélectionner, puis sur Lier (en laissant les valeurs par défaut) pour revenir à l’écran Authentification Virtual Server.
  12. Sous Stratégies d’authentification avancées, cliquez sur Aucune stratégie d’IDP SAML.
  13. Sous Stratégies, sélectionnez votre SHAREFILE_SSO_POLICY. Cliquez sur Sélectionner.
  14. Dans la page Liaison de stratégie (laissez les valeurs par défaut), cliquez sur Lier, puis Fermer.
  15. Cliquez sur Continuer et Terminé .

Valider la configuration

  1. Accédez à https://subdomain.sharefile.com/saml/login. Vous êtes maintenant redirigé vers le formulaire de connexion Citrix Gateway.
  2. Connectez-vous à l’aide de vos informations d’identification utilisateur valides pour l’environnement que vous avez configuré. Vos dossiers apparaissent subdomain.sharefile.com maintenant.
Guide de configuration de l’authentification unique Citrix Content Collaboration pour Citrix Gateway