Guide de configuration de l’authentification unique Citrix Content Collaboration pour les fournisseurs d’identités doubles

Ce document aide à configurer l’utilisation de Citrix Endpoint Management et d’Active Directory Federated Services (ADFS) en tant que fournisseur d’identité (IdP) pour un seul compte Citrix Content Collaboration. La configuration qui en résulte permet au certificat de signature du jeton sur le serveur ADFS d’être identique au certificat SAML sur le serveur Citrix Endpoint Management. Cela fournit un compte Citrix Content Collaboration unique pour :

• Utilisez Citrix Endpoint Management comme IdP pour les applications encapsulées dans MDX. Fournir une véritable expérience d’authentification unique (SSO) depuis un appareil mobile à l’aide des applications Citrix Files MDX.
• Utilisez ADFS comme IdP SAML pour l’authentification unique pour les applications Web.

Composants requis

• Serveur Citrix Endpoint Management 10.x avec authentification unique entièrement fonctionnelle pour MDX configuré sur le compte Citrix Content Collaboration.
• ADFS installé et configuré au sein de l’infrastructure.
• Accès à un compte administrateur au sein de Citrix Content Collaboration avec la possibilité de configurer l’authentification unique.

Préparation du certificat de signature du jeton ADFS

Lors de la configuration d’ADFS pour SSO sur Citrix Content Collaboration, il est nécessaire de télécharger le certificat de signature du jeton ADFS sur le panneau de configuration de Citrix Content Collaboration sans clé privée. ADFS génère un certificat autosigné à utiliser pour la signature et le déchiffrement des jetons avec un délai d’expiration d’un an. Toutefois, le certificat autosigné contient une clé privée.

Au bout d’un an, le certificat autosigné est renouvelé à l’aide du renouvellement automatique des certificats 15 jours avant son expiration et devient le certificat principal. Cela entraîne l’échec de toutes les relations de confiance SSO existantes. Pour cette configuration, la certification SAML de la console Citrix Endpoint Management est exportée avec un délai d’expiration de 3 ans. La période de validité du certificat est personnalisable et évite de devoir renouveler le certificat de signature du jeton au bout d’un an.

Générez le certificat SAML

1. Connectez-vous à l’interface graphique de NetScaler Gateway.
2. Accédez à Gestion du trafic > SSL.

3. Dans la section Mise en route, sélectionnez Root-CA Certificate Wizard.

   

Vous êtes maintenant invité à créer la clé privée.

1. Dans le champ Nom du fichier de la clé, donnez un nom à votre clé.
2. Taille de la clé :2048.
3. Valeur de l’exposant public, 3.

4. Cliquez sur Créer pour créer la clé.

   

L’étape suivante consiste à créer la demande de signature de certificat (CSR).

1. Dans le champ Nom du fichier de demande, entrez un nom pour le CSR.
2. Le nom de fichier clé et le format PEM sont préremplis.
3. Définissez la méthode Digest sur SHA256.
4. Dans les champs Nom distinctif, fournissez des informations sur votre organisation.
5. Dans les champs d’attributs, aucun mot de passe de défi n’est nécessaire. Toutefois, le nom de l’entreprise peut être ajouté.

6. Cliquez sur Créer pour terminer la demande CSR.

   4

La dernière étape consiste à créer le certificat SAML.

1. Dans le champ Nom du fichier de certificat, entrez le nom de votre certificat.
2. Le format de certificat est prérempli avec le format PEM.
3. Le nom du fichier de demande de certificat reflète le CSR que vous avez créé à l’étape précédente.
4. Le format de clé est PEMpar défaut.
5. Spécifiez la période de validité (en jours) pendant laquelle vous souhaitez que le certificat soit valide. Dans cet exemple, le certificat créé est un certificat de 3 ans. Entrez 1095.
6. Le nom de fichier clé est prérempli dès la première étape.

7. Cliquez sur Créer pour créer le certificat.

   

8. Après avoir créé le certificat, vous pouvez quitter l’assistant car vous n’avez pas besoin d’installer le certificat sur NetScaler Gateway.
9. Cliquez sur Annuler, puis sur OUI pour confirmer que vous souhaitez revenir à l’écran principal de l’interface graphique SSL.

Exporter le certificat SAML

Vous devez maintenant exporter le certificat et la clé nouvellement créés depuis NetScaler Gateway pour les utiliser sur le serveur Citrix Endpoint Management et sur ADFS. Pour Citrix Endpoint Management, vous avez besoin des fichiers saml_dualidp.cer et saml_dualidp.key créés lors des étapes précédentes, car le certificat et la clé sont déjà correctement formatés pour Citrix Endpoint Management. Suivez les étapes pour enregistrer les fichiers dans un emplacement que nous pourrons ensuite utiliser pour les télécharger sur votre serveur Citrix Endpoint Management lors du remplacement de son certificat SAML intégré.

1. Dans NetScaler Gateway, sous Gestion du trafic > SSL, sous Outils, cliquez sur Gérer les certificats, les clés et les CSR.

2. Sur la page Gérer les certificats, cliquez sur Date de modification, pour afficher les fichiers les plus récents en haut de la page. Vous pouvez maintenant voir les 3 nouveaux fichiers créés lors des étapes précédentes. Si vous ne les voyez pas, vous pouvez afficher plus de 25 éléments par page.

   

3. Sélectionnez le fichier saml_dualidp.cer et choisissez Télécharger. Enregistrez à l’emplacement de votre choix.
4. Suivez l’étape précédente pour le fichier saml_dualidp.key .
5. Cliquez sur Retour pour revenir à la page précédente.

Ensuite, exportez le certificat et la clé dans un format de fichier compris par le serveur ADFS.

1. Dans la même section Outils que précédemment, sélectionnez l’option Exporter PKCS #12.
2. Dans le champ Choisir un fichier, entrez saml_dualidp.pfx.
3. Dans le champ Nom du fichier de certificat, sélectionnez Choisir un fichier, Date de modification, puis sélectionnez le fichier saml_dualidp.cer . Cliquez sur Ouvrir.
4. Dans le champ Nom de fichier clé, sélectionnez Choisir un fichier, Date de modification, puis sélectionnez le fichier saml_dualidp.key . Cliquez sur Ouvrir.
5. Fournissez un mot de passe d’exportation.
6. Fournissez le mot de passe PEM.
7. Cliquez sur OK pour terminer l’exportation.

Vous devez maintenant copier le fichier .pfx depuis NetScaler Gateway vers un emplacement réseau.

1. Dans le menu Outils, sélectionnez à nouveau l’option Gérer les certificats/clés/CSR.
2. Sélectionnez le fichier saml_dualidp.pfx que vous venez de créer, puis choisissez Télécharger.
3. Enregistrez le fichier dans un endroit accessible localement.
4. Fermez les fenêtres de NetScaler Gateway.

Le processus de création du certificat SAML est terminé.

Téléchargez le certificat de signature de jeton nouvellement créé vers ADFS

La première étape consiste à désactiver le transfert de certificats sur le serveur ADFS.

1. Créez une connexion distante à votre serveur ADFS.
2. Par défaut, ADFS permet à AutoCertificateRollover de renouveler le certificat autosigné au bout d’un an. Cette fonctionnalité doit être désactivée pour télécharger le certificat de signature de jeton nouvellement créé.
3. Exécutez PowerShell en tant qu’ administrateur sur le serveur ADFS.
4. Type : Get-ADFSProperties.
5. Pour désactiver AutoCertificateRollover : Set-ADFSProperties -AutoCertificateRollover $false

Vous devez ensuite importer le fichier saml_dualidp.pfx précédemment exporté sur le serveur ADFS afin que nous puissions l’utiliser comme certificat de signature de jeton.

1. Sur le serveur ADFS, cliquez avec le bouton droit de la souris, puis cliquez surDémarrer > Cliquez sur Exécuter > Tapez mmc, puis sélectionnez Entrée pour ouvrir un composant logiciel enfichable.
2. Cliquez sur Fichier > Ajouter/Supprimerun composant logiciel enfichable.
3. Dans la section Composants logiciels enfichables disponibles, sélectionnezCertificats, puis cliquez sur Ajouter.
4. Sélectionnez Compte d’ordinateur, puis cliquez sur Suivant.
5. Sélectionnez Ordinateur local, puis Terminer, cliquez sur OK.
6. Sous Console Root, ouvrez Certificats > Personnel > Certificats.
7. Cliquez avec le bouton droit sur le dossier Certificats et sélectionnez Toutes les tâches > Importer.
8. Dans l’écran de bienvenue, cliquez sur Suivant.
9. Accédez au fichier saml_dualidp.pfx que vous avez enregistré précédemment, puis cliquez sur Ouvrir.
10. Sélectionnez Suivant, saisissez le mot de passe de la clé privée, puis sélectionnez à nouveau Suivant .
11. Sélectionnez Placer tous les certificats dans le magasin suivant, Personnel, puis cliquez sur Suivant.
12. Cliquez sur Terminer pour terminer l’importation et fermer le composant logiciel enfichable MMC.

Vous devez maintenant modifier le certificat de signature du jeton dans ADFS.

1. Sur le serveur ADFS, depuis le tableau de bord du gestionnaire de serveur, sélectionnez Outils > Gestion ADFS.
2. Sur le côté gauche de la console de gestion ADFS, ouvrez Service > Certificats.
3. Dans le menu Actions, sélectionnez Ajouter un certificat de signature de jeton, puis sélectionnez le certificatde signature de jeton que vous venez d’importer.
4. Le certificat de signature par jeton récemment ajouté est ajouté en tant que certificat secondaire. Vous devez en faire le principal.
5. Développez le service, puis sélectionnez Certificats.
6. Cliquez sur le certificat de signature du jeton secondaire .
7. Dans le volet Actions sur la droite, sélectionnez Définir comme principal. Cliquez sur Oui à l’invite de confirmation.

Configuration de Citrix Endpoint Management

Pour utiliser le même certificat sur Citrix Endpoint Management, il suffit d’effectuer deux actions.

Sauvegarder le certificat SAML de Citrix Endpoint Management

1. Connectez-vous au serveur Citrix Endpoint Management, cliquez sur l’icône en forme d’engrenage en haut à droite, puis sous Paramètres, sélectionnez Certificats.
2. Sélectionnez le certificat SAML, puis cliquez sur Exporter.
3. Choisissez d’exporter également la clé privée, puis cliquez sur OK.
4. Conservez le certificat en lieu sûr.

Installation d’un nouveau certificat SAML

1. Connectez-vous au serveur Citrix Endpoint Management, cliquez sur l’icône en forme d’engrenage, puis sous Paramètres, cliquez sur Certificats.
2. Cliquez sur Importer, puis sélectionnez les options suivantes :
   • Importation : Certificat
   • Utiliser en tant que : SAML
   • Importation de certificats : recherchez le fichier saml_dualidp.cer précédemment exporté sur votre poste de travail ou votre réseau.
   • Fichier de clé privée : recherchez sur votre poste de travail le fichier saml_dualidp.key précédemment exporté.
   • Mot de passe : entrez le mot de passe de la clé privée.
   • Description : entrez suffisamment de détails pour que les autres puissent connaître sa fonction.

3. Cliquez sur Importer pour terminer.

   

4. Sur le serveur Citrix Endpoint Management, cliquez sur Configurer, puis sur ShareFile.
5. Si vous disposez d’une configuration précédente, cliquez sur Enregistrer en bas à droite de l’écran. Cette étape met à jour le compte Citrix Content Collaboration avec le certificat X.509 créé lors des étapes précédentes. Il remplace également les paramètres de configuration SSO actuels, qui sont modifiés au cours des étapes décrites dans la section suivante.
6. Si Citrix Content Collaboration n’a pas encore été configuré, dans le champ Domaine, entrez votre compte Citrix Content Collaboration.
7. Sélectionnez un groupe de mise à disposition ayant accès à l’application Citrix Files MDX.
8. Indiquez votre nom d’utilisateur Citrix Content Collaboration. Il s’agit d’un compte utilisateur administratif local.
9. Entrez le mot de passe Citrix Content Collaboration (et non votre mot de passe Active Directory).
10. Laissez le provisionnement du compte utilisateur désactivé (en particulier si vous utilisez l’outil de gestion des utilisateurs).

11. Cliquez sur Enregistrer pour terminer la configuration de Citrix Content Collaboration sur Citrix Endpoint Management.

    

Vérification de la configuration de l’authentification unique de Citrix Content Collaboration

Une fois que Citrix Endpoint Management et ADFS ont été configurés pour Citrix Content Collaboration, suivez les étapes ci-dessous pour valider les paramètres SSO.

1. Connectez-vous à votre compte Citrix Content Collaboration à l’aide de l’interface utilisateur Web, cliquez sur Admin, puis sur la page Configurer l’authentification unique .
2. ID de l’émetteur/de l’entité : il doit être identique au nom de l’identifiant dans la configuration ADFS.
3. URL de connexion : URL de connexion à ADFS (exemple : https://adfs.company.com/adfs/ls).
4. URL de déconnexion : URL de déconnexion vers ADFS (exemple :). https://adfs.company.com/adfs/ls/?wa=wsignout1.0 Cela doit être ajouté en tant que point de déconnexion sur ADFS, si ce n’est déjà fait.
5. Activer l’authentification Web : Oui

6. Contexte d’authentification initié par le SP : sélectionnez l’option Nom d’utilisateur et mot de passe pour l’authentification par formulaire ou Authentification intégrée (en fonction de la configuration de votre serveur ADFS).

   

Tester

Réinscrivez votre appareil à Citrix Endpoint Management, téléchargez l’application et vérifiez si MDX SSO fonctionne. Vous pouvez également effectuer des tests à l’aide de l’authentification initiée par le SP : https://[subdomain].sharefile.com/saml/login.