Guide de configuration de l’authentification unique Citrix Content Collaboration pour les fournisseurs de double identité

Ce document aide à la configuration de l’utilisation à la fois Citrix Endpoint Management et ADFS (Active Directory Federated Services) en tant que fournisseur d’identité (IdP) pour un seul compte Citrix Content Collaboration. La configuration résultante permet au certificat de signature de jeton sur le serveur ADFS d’être le même que le certificat SAML sur le serveur Citrix Endpoint Management. Cela fournit un compte Citrix Content Collaboration unique pour :

  • Utilisez Citrix Endpoint Management comme IdP pour les applications MdX. Fournir une véritable expérience d’authentification unique (SSO) à partir d’un périphérique mobile à l’aide des applications Citrix Files MDX.
  • Utilisez ADFS comme IdP SAML pour SSO pour les applications Web.

Conditions préalables

  • Serveur Citrix Endpoint Management 10.x avec authentification unique entièrement fonctionnelle pour MDX configuré sur le compte Citrix Content Collaboration.
  • ADFS installé et configuré au sein de l’infrastructure.
  • Accès à un compte d’administrateur dans Citrix Content Collaboration avec la possibilité de configurer l’authentification unique.

Préparation du certificat de signature de jeton ADFS

Lors de la configuration d’ADFS pour SSO sur Citrix Content Collaboration, il est nécessaire de télécharger le certificat de signature de jeton ADFS dans le panneau de configuration Citrix Content Collaboration sans la clé privée. ADFS génère un certificat auto-signé à utiliser pour la signature de jetons et le décryptage de jetons avec une expiration d’un an. Toutefois, le certificat auto-signé contient une clé privée.

À la date d’un an, le certificat auto-signé est renouvelé à l’aide du renouvellement automatique du certificat 15 jours avant l’expiration et devient le certificat principal. Cela provoque l’échec de toutes les relations d’approbation SSO existantes. Pour cette configuration, la certification SAML de la console Citrix Endpoint Management est exportée avec une expiration de 3 ans. La période de validité du certificat est personnalisable et réduit la nécessité de renouveler le certificat de signature de jeton à la marque d’un an.

Générer le certificat SAML

  1. Connectez-vous à l’interface graphique de Citrix Gateway.
  2. Accédez à Gestion du trafic > SSL.
  3. Sous la section Mise en route, sélectionnez Assistant Certificat CA racine .

    double IdP 1

Vous êtes maintenant invité à créer la clé privée.

  1. Dans le champ Nom du fichier de la clé , indiquez un nom pour votre clé.
  2. Taille de la clé, 2048.
  3. Valeur de l’exposant public, 3.
  4. Cliquez sur Créer pour créer la clé.

    double IdP 2

L’étape suivante consiste à créer la demande de signature de certificat (CSR).

  1. Dans le champ Nom du fichier de demande , entrez un nom pour le CSR.
  2. Le nom de fichier clé et le format PEM sont prérenseignés.
  3. Définissez la méthode Digest sur SHA256 .
  4. Dans Champs de nom unique, fournissez des informations sur votre organisation.
  5. Dans les champs d’attribut, un mot de passe de contestation n’est pas nécessaire. Toutefois, le nom de la société peut être ajouté.
  6. Cliquez sur Créer pour terminer la demande CSR.

    double IdP 3 double IdP 4

La dernière étape consiste à créer le certificat SAML.

  1. Dans le champ Nom du fichier de certificat , entrez le nom de votre certificat.
  2. Le format de certificat est prérempli avec PEM .
  3. Le nom du fichier de demande de certificat reflète le CSR que vous avez créé à l’étape précédente.
  4. Le format de clé est par défaut PEM .
  5. Spécifiez la période de validité (en jours) pour laquelle le certificat doit être valide. Dans cet exemple, le certificat créé est un certificat de 3 ans. Entrez donc 1095.
  6. Le nom de fichier clé est prérempli à partir de la première étape.
  7. Cliquez sur Créer pour créer le certificat.

    double IdP 5

  8. Après avoir créé le certificat, vous pouvez quitter l’Assistant car vous n’avez pas besoin d’installer le certificat sur Citrix Gateway.
  9. Cliquez sur Annuler et cliquez sur OUI pour confirmer que vous souhaitez revenir à l’écran principal de l’interface graphique SSL.

Exporter le certificat SAML

Vous devez maintenant exporter le certificat et la clé nouvellement créés à partir de Citrix Gateway pour une utilisation sur le serveur Citrix Endpoint Management et sur ADFS. Pour Citrix Endpoint Management, vous avez besoin du fichier saml_dualidp.cer et du fichier saml_dualidp.key créés dans les étapes précédentes, car le certificat et la clé sont déjà correctement formatés pour Citrix Endpoint Management. Suivez les étapes pour enregistrer les fichiers dans un emplacement que nous pouvons ensuite utiliser pour les télécharger sur votre serveur Citrix Endpoint Management lors du remplacement de son certificat SAML intégré.

  1. Dans Citrix Gateway, sous Gestion du trafic > SSL, sous Outils, cliquez sur Gérer les certificats/ Clés/CSR.
  2. Dans la page Gérer les certificats , cliquez sur Date de modification , qui affiche les fichiers les plus récents en haut. Vous voyez maintenant les 3 fichiers nouvellement créés à partir des étapes précédentes. Si vous ne les voyez pas, vous pouvez afficher plus de 25 éléments par page.

    double IdP 6

  3. Sélectionnez le fichier saml_dualidp.cer et choisissez Télécharger . Enregistrez dans l’emplacement de votre choix.
  4. Suivez l’étape précédente pour le fichier saml_dualidp.key .
  5. Cliquez sur Précédent pour revenir à la page précédente.

Ensuite, exportez le certificat et la clé dans un format de fichier que le serveur ADFS comprend.

  1. Dans la même section Outils que précédemment, sélectionnez l’option Exporter PKCS #12 .
  2. Dans le champ Choisir un fichier , entrez saml_dualidp.pfx .
  3. Dans le champ Nom du fichier de certificat , sélectionnez Choisir un fichier, Date de modification , puis sélectionnez le fichier saml_dualidp.cer . Cliquez sur Ouvrir.
  4. Dans le champ Nom du fichier clé , sélectionnez Choisir un fichier, Date de modification , puis sélectionnez le fichier saml_dualidp.key . Cliquez sur Ouvrir.
  5. Fournissez un mot de passe d’exportation.
  6. Fournissez la phrase secrète PEM.
  7. Cliquez sur OK pour terminer l’exportation.

Vous devez maintenant copier le fichier .pfx hors de Citrix Gateway et sur un emplacement réseau.

  1. Dans le menu Outils une fois de plus, sélectionnez l’option Gérer les certificats/ Clés/CSR .
  2. Sélectionnez le fichier saml_dualidp.pfx nouvellement créé, puis choisissez Télécharger .
  3. Enregistrez le fichier dans un endroit accessible localement.
  4. Fermez les fenêtres dans Citrix Gateway.

Le processus de création de certificat SAML est terminé.

Télécharger le certificat de signature de jeton nouvellement créé vers ADFS

La première étape consiste à désactiver le survol de certificat sur le serveur ADFS.

  1. Créez une connexion à distance à votre serveur ADFS.
  2. Par défaut, ADFS permet à AutoCertificateRollover de renouveler le certificat auto-signé à la marque d’un an. Cette fonctionnalité doit être désactivée pour télécharger le certificat de signature de jeton nouvellement créé.
  3. Exécutez PowerShell en tant qu’ administrateur sur le serveur ADFS.
  4. Type :Get-ADFSProperties``
  5. Pour désactiver AutoCertificateRollover :Set-ADFSProperties -AutoCertificateRollover $false

Vous devez ensuite importer le fichier saml_dualidp.pfx précédemment exporté sur le serveur ADFS afin que nous puissions l’utiliser comme certificat de signature de jeton.

  1. Sur le serveur ADFS, cliquez avec le bouton droit sur Start > Cliquez sur Exécuter > Tapez mmc, puis sélectionnez Entrée pour ouvrir un composant logiciel enfichable.
  2. Cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable.
  3. Dans la section Composants logiciels enfichables disponibles, sélectionnez Certificats, puis cliquez sur Ajouter.
  4. Sélectionnez Compte d’ordinateur, cliquez sur Suivant.
  5. Sélectionnez Ordinateur local , puis Terminer , cliquez sur OK .
  6. Sous Racine de la console, développez Certificats > Personnel > Certificats.
  7. Cliquez avec le bouton droit sur le dossier Certificats et sélectionnez Toutes les tâches > Importer.
  8. Dans l’écran de bienvenue, cliquez sur Suivant.
  9. Accédez au fichier saml_dualidp.pfx que vous avez enregistré précédemment, cliquez sur Ouvrir .
  10. Sélectionnez Suivant, tapez le mot de passe de la clé privée, puis sélectionnez à nouveau Suivant.
  11. Sélectionnez Placer tous les certificats dans le magasin suivant, Personal, puis cliquez sur Suivant .
  12. Cliquez sur Terminer pour terminer l’importation et fermer le composant logiciel enfichable MMC.

Vous devez maintenant modifier le certificat de signature de jeton dans ADFS.

  1. Sur le serveur ADFS, dans le tableau de bord du Gestionnaire de serveur, sélectionnez Outils > Gestion ADFS.
  2. Sur le côté gauche de la console de gestion ADFS, développez Service > Certificats.
  3. Dans le menu Actions , sélectionnez Ajouter un certificat de signature de jeton , puis sélectionnez le certificat de signature de jeton nouvellement importé.
  4. Le certificat de signature de jeton nouvellement ajouté est ajouté en tant que certificat secondaire. Vous devez en faire le primaire.
  5. Développez Service , puis sélectionnez Certificats .
  6. Cliquez sur le certificat de signature de jeton secondaire .
  7. Dans le volet Actions de droite, sélectionnez Définir comme principal . Cliquez sur Oui à l’invite de confirmation.

Configuration de Citrix Endpoint Management

Pour utiliser le même certificat sur Citrix Endpoint Management, il vous suffit d’effectuer deux actions.

Certificat SAML de sauvegarde Citrix Endpoint Management

  1. Connectez-vous au serveur Citrix Endpoint Management, cliquez sur l’icône en forme de roue dentée en haut à droite, puis sous Paramètres, sélectionnez Certificats.
  2. Mettez en surbrillance le certificat SAML, puis cliquez sur Exporter.
  3. Choisissez d’exporter également la clé privée, puis cliquez sur OK.
  4. Stockez le certificat dans un endroit sûr.

Installer un nouveau certificat SAML

  1. Connectez-vous au serveur Citrix Endpoint Management, cliquez sur l’icône d’engrenage, puis sous Paramètres , cliquez sur Certificats .
  2. Cliquez sur Importer, puis sélectionnez les options suivantes :
    • Importer : Certificat
    • Utiliser comme : SAML
    • Importation de certificat : parcourez votre poste de travail ou votre réseau pour rechercher le fichier saml_dualidp.cer précédemment exporté.
    • Fichier de clé privée : parcourez votre poste de travail pour trouver le fichier saml_dualidp.key précédemment exporté.
    • Mot de passe : entrez le mot de passe de la clé privée.
    • Description : entrez suffisamment de détails pour que les autres connaissent sa fonction.
  3. Cliquez sur Importer pour terminer.

    double IdP 7

  4. Sur le serveur Citrix Endpoint Management, cliquez sur Configurer, puis ShareFile.
  5. Si vous avez une configuration précédente, cliquez sur Enregistrer en bas à droite de l’écran. Cette étape met à jour le compte Citrix Content Collaboration avec le certificat X.509 créé lors des étapes précédentes. Il remplace également les paramètres de configuration SSO actuels, qui sont modifiés dans les étapes décrites dans la section suivante.
  6. Si Citrix Content Collaboration n’a pas encore été configuré, dans le champ Domaine , entrez votre compte Citrix Content Collaboration.
  7. Sélectionnez un groupe de mise à disposition qui a accès à l’application Citrix Files MDX.
  8. Indiquez votre nom d’utilisateur Citrix Content Collaboration. Il s’agit d’un compte d’utilisateur administratif local.
  9. Entrez le mot de passe Citrix Content Collaboration (pas votre mot de passe Active Directory).
  10. Laissez le Provisioning du compte d’utilisateur désactivé (en particulier si vous utilisez User Management Tool).
  11. Cliquez sur Enregistrer pour terminer la configuration Citrix Content Collaboration sur Citrix Endpoint Management.

    double IdP 8

Vérification de la configuration de l’authentification unique Citrix Content Collaboration

Une fois que Citrix Endpoint Management et ADFS ont été configurés pour Citrix Content Collaboration, suivez les étapes ci-dessous pour valider les paramètres d’authentification unique.

  1. Connectez-vous à votre compte Citrix Content Collaboration à l’aide de l’interface utilisateur Web, cliquez sur Admin, puis sur Configurer Single Sign-Onpage.
  2. Identifiant de l’émetteur/entité : ce nom doit être identique au nom d’identification dans la configuration ADFS.
  3. URL de connexion : URL de connexion à ADFS (exemple :https://adfs.company.com/adfs/ls ).
  4. URL de déconnexion : URL de déconnexion vers ADFS (exemple :https://adfs.company.com/adfs/ls/?wa=wsignout1.0 ). Cela doit être ajouté en tant que point de déconnexion sur ADFS, si ce n’est déjà fait.
  5. Activer l’authentification Web : Oui
  6. Contexte d’authentification initié par le SP : sélectionnez l’option Nom d’utilisateur et mot de passe pour l’authentification par formulaires ou Authentification intégrée (en fonction de la configuration de votre serveur ADFS).

    double IdP 9

Test

Réinscrivez votre appareil à Citrix Endpoint Management, téléchargez l’application et vérifiez si MDX SSO fonctionne. Vous pouvez également effectuer des tests à l’aide de l’authentification initiée par le SP :https://[subdomain].sharefile.com/saml/login.