Guide de configuration de l’authentification unique Citrix Content Collaboration pour les fournisseurs d’identités doubles

Ce document aide à configurer l’utilisation à la fois de Citrix Endpoint Management et d’Active Directory Federated Services (ADFS) en tant que fournisseur d’identité (IdP) pour un seul compte Citrix Content Collaboration. La configuration résultante permet au certificat de signature de jeton sur le serveur ADFS d’être identique au certificat SAML sur le serveur Citrix Endpoint Management. Cela fournit un compte Citrix Content Collaboration unique pour :

• Utilisez Citrix Endpoint Management en tant qu’IdP pour les applications MDX. Fournir une véritable expérience d’authentification unique (SSO) à partir d’un périphérique mobile à l’aide d’applications Citrix Files MDX.
• Utilisez ADFS comme IdP SAML pour SSO aux webapps.

Conditions préalables

• Serveur Citrix Endpoint Management 10.x avec authentification unique pour MDX entièrement fonctionnelle configurée sur le compte Citrix Content Collaboration.
• ADFS installé et configuré au sein de l’infrastructure.
• Accès à un compte d’administrateur dans Citrix Content Collaboration avec la possibilité de configurer l’authentification unique.

Préparation du certificat de signature de jeton ADFS

Lors de la configuration d’ADFS pour SSO vers Citrix Content Collaboration, il est nécessaire de charger le certificat de signature de jeton ADFS vers le panneau de configuration Citrix Content Collaboration sans la clé privée. ADFS génère un certificat auto-signé à utiliser pour la signature de jetons et le déchiffrement de jetons avec une expiration d’un an. Toutefois, le certificat auto-signé contient une clé privée.

À la date d’un an, le certificat auto-signé est renouvelé à l’aide du transfert automatique de certificats 15 jours avant l’expiration et devient le certificat principal. Cela provoque l’échec de toutes les relations d’approbation SSO existantes. Pour cette configuration, la certification SAML de la console Citrix Endpoint Management est exportée avec une expiration de 3 ans. La période de validité du certificat est personnalisable et réduit la nécessité de renouveler le certificat de signature de jeton à la date d’un an.

Générer le certificat SAML

1. Connectez-vous à l’interface graphique Citrix Gateway.
2. Accédez à Gestion du trafic > SSL.

3. Sous la section Mise en route, sélectionnez Assistant Certificat Root-CA.

   

Vous êtes maintenant invité à créer la clé privée.

1. Dans le champ Nom du fichier clé, indiquez un nom pour votre clé.
2. Taille de la clé, 2048.
3. Valeur de l’exposant public, 3.

4. Cliquez sur Créer pour créer la clé.

   

L’étape suivante consiste à créer la demande de signature de certificat (CSR).

1. Dans le champ Nom de fichier de demande, entrez un nom pour le CSR.
2. Le nom de fichier clé et le format PEM sont pré-remplis.
3. Définissez la méthode Digest sur SHA256.
4. Dans Champs de nom unique, fournissez des informations sur votre organisation.
5. Dans Champs d’attribut, un mot de passe de défi n’est pas nécessaire. Toutefois, le nom de la société peut être ajouté.

6. Cliquez sur Créer pour terminer la demande CSR.

   

La dernière étape consiste à créer le certificat SAML.

1. Dans le champ Nom du fichier de certificat, entrez le nom de votre certificat.
2. Le format de certificat est pré-rempli avec PEM.
3. Le nom de fichier de demande de certificat reflète le CSR que vous avez créé à l’étape précédente.
4. Le format de clé est par défaut PEM.
5. Spécifiez la période de validité (en jours) pour laquelle le certificat doit être valide. Dans cet exemple, le certificat créé est un certificat de 3 ans, entrez donc 1095.
6. Le nom de fichier clé est pré-rempli dès la première étape.

7. Cliquez sur Créer pour créer le certificat.

   

8. Après avoir créé le certificat, vous pouvez quitter l’Assistant car vous n’avez pas besoin d’installer le certificat sur Citrix Gateway.
9. Cliquez sur Annuler et cliquez sur OUI pour confirmer que vous souhaitez revenir à l’écran principal de l’interface graphique SSL.

Exporter le certificat SAML

Vous devez maintenant exporter le certificat et la clé nouvellement créés hors Citrix Gateway pour une utilisation sur le serveur Citrix Endpoint Management et sur ADFS. Pour Citrix Endpoint Management, vous devez créer le fichier saml_dualidp.cer et le fichier saml_dualidp.key lors des étapes précédentes, car le certificat et la clé sont déjà correctement formatés pour Citrix Endpoint Management. Suivez les étapes pour enregistrer les fichiers dans un emplacement que nous pouvons ensuite utiliser pour les télécharger sur votre serveur Citrix Endpoint Management lors du remplacement de son certificat SAML intégré.

1. Dans Citrix Gateway, sous Gestion du trafic > SSL, sous Outils, cliquez sur Gérer les certificats/ clés/CSR.

2. Dans la page Gérer les certificats, cliquez sur Date de modification, qui affiche les fichiers les plus récents en haut. Vous voyez maintenant les 3 fichiers nouvellement créés à partir des étapes précédentes. Si vous ne les voyez pas, vous pouvez afficher plus de 25 éléments par page.

   

3. Sélectionnez le fichier saml_dualidp.cer et choisissez Télécharger. Enregistrer dans l’emplacement de votre choix.
4. Suivez l’étape précédente pour le fichier saml_dualidp.key.
5. Cliquez sur Précédent pour revenir à la page précédente.

Ensuite, exportez le certificat et la clé dans un format de fichier que le serveur ADFS comprend.

1. Dans la même section Outils que précédemment, sélectionnez l’option Exporter PKCS #12.
2. Dans le champ Choisir un fichier, entrez saml_dualidp.pfx.
3. Dans le champ Nom du fichier de certificat, sélectionnez Choisir un fichier, Date de modification, puis sélectionnez le fichier saml_dualidp.cer. Cliquez sur Ouvrir.
4. Dans le champ Nom du fichier clé, sélectionnez Choisir un fichier, Date de modification, puis sélectionnez le fichier saml_dualidp.key. Cliquez sur Ouvrir.
5. Fournissez un mot de passe d’exportation.
6. Fournissez la phrase secrète PEM.
7. Cliquez sur OK pour terminer l’exportation.

Vous devez maintenant copier le fichier .pfx depuis Citrix Gateway et sur un emplacement réseau.

1. Dans le menu Outils, sélectionnez à nouveau l’option Gérer les certificats/ clés/CSR.
2. Sélectionnez le fichier saml_dualidp.pfx nouvellement créé, puis choisissez Télécharger.
3. Enregistrez le fichier dans un endroit accessible localement.
4. Fermez les fenêtres dans Citrix Gateway.

Le processus de création du certificat SAML est terminé.

Télécharger le certificat de signature de jeton nouvellement créé dans ADFS

La première étape consiste à désactiver le survol de certificat sur le serveur ADFS.

1. Créez une connexion distante à votre serveur ADFS.
2. Par défaut, ADFS permet à AutoCertificateOllover de renouveler le certificat auto-signé à la date d’un an. Cette fonctionnalité doit être désactivée pour télécharger le certificat de signature de jeton nouvellement créé.
3. Exécutez PowerShell en tant qu’administrateur sur le serveur ADFS.
4. Type : Get-ADFSProperties.
5. Pour désactiver AutoCertificateOllover : Set-ADFSProperties -AutoCertificateRollover $false

Vous devez ensuite importer le fichier saml_dualidp.pfx précédemment exporté sur le serveur ADFS afin que nous puissions l’utiliser comme certificat de signature de jeton.

1. Sur le serveur ADFS, cliquez avec le bouton droit sur Starte > Cliquez sur Exécuter > Tapez mmc, puis sélectionnez Entrée pour ouvrir un composant logiciel enfichable.
2. Cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable.
3. Dans la section Composants logiciels enfichables disponibles, sélectionnez Certificats, puis cliquez sur Ajouter.
4. Sélectionnez Compte d’ordinateur, cliquez sur Suivant.
5. Sélectionnez Ordinateur local, puis Terminer, cliquez sur OK.
6. Sous Racine de console, développez Certificats > Personnel > Certificats.
7. Cliquez avec le bouton droit sur le dossier Certificats et sélectionnez Toutes les tâches > Importer
8. Dans l’écran de bienvenue, cliquez sur Suivant.
9. Accédez au fichier saml_dualidp.pfx que vous avez enregistré précédemment, cliquez sur Ouvrir.
10. Sélectionnez Suivant, tapez le mot de passe de la clé privée, sélectionnez à nouveau Suivant .
11. Sélectionnez Placer tous les certificats dans le magasin suivant, Personnel et cliquez sur Suivant.
12. Cliquez sur Terminer pour terminer l’importation et fermer le composant logiciel enfichable MMC.

Vous devez maintenant modifier le certificat de signature de jeton dans ADFS.

1. Sur le serveur ADFS, dans le Tableau de bord du Gestionnaire de serveur, sélectionnez Outils > Gestion ADFS.
2. Sur le côté gauche de la console de gestion ADFS, développez Service > Certificats.
3. Dans le menu Actions, sélectionnez Ajouter un certificat de signature de jeton, puis sélectionnez le certificatde signature de jeton nouvellement importé.
4. Le certificat de signature de jeton nouvellement ajouté est ajouté en tant que certificat secondaire. Vous devez en faire le primaire.
5. Développez Service, puis sélectionnez Certificats.
6. Cliquez sur le certificat de signature de jeton secondaire.
7. Dans le volet Actions à droite, sélectionnez Définir comme principal. Cliquez sur Oui à l’invite de confirmation.

Configuration de Citrix Endpoint Management

Pour utiliser le même certificat sur Citrix Endpoint Management, vous devez seulement effectuer deux actions.

Sauvegarde du certificat SAML Citrix Endpoint Management

1. Connectez-vous au serveur Citrix Endpoint Management, cliquez sur l’icône en forme d’engrenage en haut à droite, puis sous Paramètres, sélectionnez Certificats.
2. Mettez en surbrillance le certificat SAML, puis cliquez sur Exporter.
3. Choisissez également d’exporter la clé privée, puis cliquez sur OK.
4. Stockez le certificat dans un emplacement sûr.

Installer un nouveau certificat SAML

1. Connectez-vous au serveur Citrix Endpoint Management, cliquez sur l’icône en forme d’engrenage, puis sous Paramètres, cliquez sur Certificats.
2. Cliquez sur Importer, puis sélectionnez les options suivantes :
   • Importer : Certificat
   • Utiliser comme : SAML
   • Importation de certificat : recherchez le fichier saml_dualidp.cer précédemment exporté sur votre poste de travail ou votre réseau.
   • Fichier de clé privée : recherchez le fichier saml_dualidp.key précédemment exporté sur votre poste de travail.
   • Mot de passe : entrez le mot de passe de la clé privée.
   • Description : entrez suffisamment de détails pour que d’autres connaissent sa fonction.

3. Cliquez sur Importer pour terminer.

   

4. Sur le serveur Citrix Endpoint Management, cliquez sur Configurer, puis sur ShareFile.
5. Si vous avez une configuration précédente, cliquez sur Enregistrer en bas à droite de l’écran. Cette étape met à jour le compte Citrix Content Collaboration avec le certificat X.509 qui a été créé lors des étapes précédentes. Il remplace également les paramètres de configuration SSO actuels, qui sont modifiés dans les étapes décrites dans la section suivante.
6. Si Citrix Content Collaboration n’a pas encore été configuré, dans le champ Domaine, entrez votre compte Citrix Content Collaboration.
7. Sélectionnez un groupe de mise à disposition qui a accès à l’application Citrix Files MDX.
8. Indiquez votre nom d’utilisateur Citrix Content Collaboration. Il s’agit d’un compte d’utilisateur administratif local.
9. Entrez le mot de passe Citrix Content Collaboration (pas votre mot de passe Active Directory).
10. Laissez le Provisioning du compte d’utilisateur désactivé (en particulier si vous utilisez User Management Tool).

11. Cliquez sur Enregistrer pour terminer la configuration de Citrix Content Collaboration sur Citrix Endpoint Management.

    

Vérification de la configuration de l’authentification unique Citrix Content Collaboration

Une fois Citrix Endpoint Management et ADFS configurés pour Citrix Content Collaboration, suivez les étapes ci-dessous pour valider les paramètres SSO.

1. Connectez-vous à votre compte Citrix Content Collaboration à l’aide de l’interface utilisateur Web, cliquez sur Admin, puis sur Configurer la page Single Sign-On .
2. ID émetteur/entité : il doit être identique au nom de l’identificateur dans la configuration ADFS.
3. URL de connexion : URL de connexion à ADFS (exemple : https://adfs.company.com/adfs/ls).
4. URL de déconnexion : URL de déconnexion vers ADFS (exemple : https://adfs.company.com/adfs/ls/?wa=wsignout1.0). Cela doit être ajouté en tant que point de déconnexion sur ADFS, si ce n’est déjà fait.
5. Activer l’authentification Web : Oui

6. Contexte d’authentification initié par SP : sélectionnez l’option Nom d’utilisateur et mot de passe pour l’authentification par formulaires, ou Authentification intégrée (en fonction de la configuration de votre serveur ADFS).

   

Test

Réinscrivez votre appareil à Citrix Endpoint Management, téléchargez l’application et vérifiez si l’SSO MDX fonctionne. Vous pouvez également effectuer des tests à l’aide de l’authentification initiée par le SP : https://[subdomain].sharefile.com/saml/login.