SAML pour l’authentification unique avec Citrix Files

Important :

cet article s’applique uniquement aux environnements Endpoint Management qui ne sont pas compatibles avec Workspace. Dans un environnement compatible avec Workspace, Citrix Files est directement intégré à Citrix Workspace.

Vous pouvez configurer Endpoint Management et Citrix Files pour une utilisation avec SAML (Security Assertion Markup Language) afin de fournir l’accès SSO aux applications mobiles Citrix Files. Cette fonctionnalité inclut les applications Citrix Files qui sont encapsulées avec le MDX Toolkit ou MDX Service et les clients Citrix Files non encapsulés, telles que le site web, le plug-in Outlook ou les clients de synchronisation.

  • Pour les applications Citrix Files encapsulées. Les utilisateurs qui ouvrent une session sur Citrix Files via l’application mobile Citrix Files sont redirigés vers Secure Hub pour l’authentification utilisateur et pour acquérir un jeton SAML. Une fois l’authentification réussie, l’application mobile Citrix Files envoie le jeton SAML à Citrix Files. Après l’ouverture de session initiale, les utilisateurs peuvent accéder à l’application mobile Citrix Files via l’authentification unique. Ils peuvent également joindre des documents à partir de Citrix Files à des messages Secure Mail sans ouvrir une session à chaque fois.
  • Pour les clients Citrix Files non encapsulés. Les utilisateurs qui se connectent à Citrix Files à l’aide d’un navigateur Web ou d’un autre client Citrix Files sont redirigés vers Endpoint Management. Endpoint Management authentifie les utilisateurs, qui acquièrent alors un jeton SAML qui est envoyé à Citrix Files. Après la première ouverture de session, les utilisateurs peuvent accéder aux clients Citrix Files via l’authentification unique sans ouvrir une session à chaque fois.

Pour utiliser Endpoint Management en tant que fournisseur d’identité SAML pour Citrix Files, vous devez configurer Endpoint Management de manière à utiliser avec des comptes Enterprise, comme décrit dans cet article. Vous pouvez également configurer Endpoint Management pour fonctionner uniquement avec des connecteurs StorageZone. Pour de plus amples informations, consultez la section Utilisation de Citrix Files avec Endpoint Management.

Pour un diagramme d’architecture de référence détaillé, consultez la section Architecture.

Conditions préalables

Vous devez remplir les conditions suivantes pour pouvoir configurer l’authentification unique avec les applications Endpoint Management et Citrix Files :

  • MDX Service ou une version compatible de l’outil MDX Toolkit (pour les applications mobiles Citrix Files)

    Pour de plus amples informations, consultez la section Compatibilité Endpoint Management.

  • Une version compatible de Secure Hub et des applications mobiles Citrix Files
  • Compte administrateur Citrix Files
  • Connexion vérifiée entre Endpoint Management et Citrix Files

Configurer l’accès à Citrix Files

Avant de configurer SAML pour Citrix Files, indiquez les informations d’accès à Citrix Files comme suit :

  1. Dans la console Web Endpoint Management, cliquez sur Configurer > ShareFile. La page de configuration de ShareFile s’affiche.

    Écran de configuration de ShareFile

  2. Pour configurer ces paramètres :

    • Domaine : entrez votre nom de sous-domaine Citrix Files. Par exemple : example.sharefile.com.
    • Attribuer aux groupes de mise à disposition : sélectionnez ou recherchez les groupes de mise à disposition dont vous souhaitez qu’ils puissent utiliser l’authentification unique avec ShareFile.
    • Connexion au compte administrateur ShareFile
    • Nom d’utilisateur : tapez le nom d’utilisateur administrateur Citrix Files. Cet utilisateur doit disposer des privilèges d’administrateur.
    • Mot de passe : tapez le mot de passe d’administrateur Citrix Files.
    • Provisionnement du compte utilisateur : pour activer le provisionnement utilisateur dans Endpoint Management, activez ce paramètre. Pour utiliser l’outil de gestion des utilisateurs Citrix Files pour provisionner des utilisateurs, désactivez ce paramètre.

    Remarque :

    Si un utilisateur sans compte Citrix Files est inclus dans les rôles sélectionnés et que vous activez le Provisioning du compte utilisateur, Endpoint Management provisionne automatiquement un compte Citrix Files pour cet utilisateur. Citrix vous recommande d’utiliser un rôle contenant peu de membres pour tester la configuration. Cela permet d’éviter qu’un grand nombre d’utilisateurs ne disposent pas d’un compte Citrix Files.

  3. Cliquez sur Tester la connexion pour vérifier que le nom d’utilisateur et le mot de passe du compte d’administrateur Citrix Files s’authentifient sur le compte Citrix Files spécifié.

  4. Cliquez sur Enregistrer. Endpoint Management se synchronise avec Citrix Files et met à jour les paramètres Citrix Files ID d’émetteur/d’entité Citrix Files et URL de connexion.

Configurer SAML pour les applications Citrix Files MDX encapsulées

Les étapes suivantes s’appliquent aux applications et appareils iOS et Android.

  1. Encapsulez l’application mobile Citrix Files avec MDX. Pour plus de détails, consultez Endpoint Management MDX Service.

  2. Dans la console Endpoint Management, chargez l’application mobile Citrix Files encapsulée. Pour plus d’informations sur le chargement des applications MDX, consultez la section Pour ajouter une application MDX à Endpoint Management.

  3. Vérifiez les paramètres SAML : ouvrez une session sur Citrix Files avec le nom d’utilisateur et le mot de passe administrateur que vous avez configurés ci-dessus.

  4. Assurez-vous que le même fuseau horaire est configuré pour Citrix Files et Endpoint Management. Assurez-vous que Endpoint Management indique l’heure appropriée par rapport au fuseau horaire configuré. Sinon, l’authentification unique peut échouer.

Valider l’application mobile Citrix Files

  1. Sur la machine utilisateur, installez et configurez Secure Hub.

  2. À partir du magasin d’applications, téléchargez et installez l’application mobile Citrix Files.

  3. Démarrez l’application mobile Citrix Files. Citrix Files démarre sans vous inviter à saisir un nom d’utilisateur ou un mot de passe.

Valider avec Secure Mail

  1. Sur la machine utilisateur, si cela n’a pas déjà été fait, installez et configurez Secure Hub.

  2. À partir du magasin d’applications, téléchargez, installez et configurez Secure Mail.

  3. Ouvrez un nouveau formulaire électronique et appuyez sur Joindre à partir de ShareFile. Les fichiers pouvant être joints à l’e-mail sont affichés sans vous inviter à saisir un nom d’utilisateur ou un mot de passe.

Configurer Citrix Gateway pour d’autres clients Citrix Files

Pour configurer l’accès des clients Citrix Files non encapsulés, tels que le site Web, le plug-in Outlook ou les clients de synchronisation, vous devez configurer Citrix Gateway pour prendre en charge l’utilisation de Endpoint Management en tant que fournisseur d’identité SAML de la manière suivante.

  • Désactivez la redirection vers la page d’accueil.
  • Créez une stratégie et un profil de session Citrix Files.
  • Configurez des stratégies sur le serveur virtuel Citrix Gateway.

Désactiver la redirection vers la page d’accueil

Désactivez le comportement par défaut pour les demandes qui passent par le chemin / cginfra. Cette action permet aux utilisateurs de voir l’URL interne demandée à la place de la page d’accueil configurée.

  1. Modifiez les paramètres du serveur virtuel Citrix Gateway qui est utilisé pour les ouvertures de session Endpoint Management. Dans Citrix Gateway, cliquez sur Other Settings, puis désactivez la case à cocher intitulée Redirect to Home Page.

    Écran de Citrix Gateway

  2. Sous ShareFile, tapez le nom de votre serveur interne Endpoint Management et le numéro de port.

  3. Sous AppController, tapez l’URL de votre serveur Endpoint Management.

    Cette configuration autorise les demandes pour l’URL indiquée via le chemin d’accès /cginfra.

Créez une stratégie et un profil de demande de session Citrix Files

Configurez ces paramètres pour créer une stratégie et un profil de demande de session Citrix Files :

  1. Dans l’utilitaire de configuration de Citrix Gateway, dans le volet de navigation de gauche, cliquez sur NetScaler Gateway > Policies > Session.

  2. Créez une stratégie de session. Dans l’onglet Policies, cliquez sur Add.

  3. Dans le champ Name, tapez ShareFile_Policy.

  4. Créez une action en cliquant sur le bouton +. La page Create NetScaler Gateway Session Profile s’affiche.

    Écran du profil de session de Citrix Gateway

    Pour configurer ces paramètres :

    • Name : tapez ShareFile_Profile.
    • Cliquez sur l’onglet Client Experience, puis configurez les paramètres suivants :
      • Home Page : tapez none.
      • Session Time-out (mins) : tapez 1.
      • Single Sign-on to Web Applications : sélectionnez ce paramètre.
      • Credential Index : dans la liste, cliquez sur PRIMARY.
    • Cliquez sur l’onglet Published Applications.

    Écran du profil de session de Citrix Gateway

    Pour configurer ces paramètres :

    • Proxy ICA : dans la liste, cliquez sur ON.
    • Web Interface Address : entrez l’URL de Endpoint Management Server.
    • Single Sign-on Domain : tapez votre nom de domaine Active Directory.

      Lors de la configuration du profil de session de Citrix Gateway, le suffixe de domaine pour Single Sign-on Domain doit correspondre à l’alias de domaine Endpoint Management défini dans LDAP.

  5. Cliquez sur Create pour définir le profil de session.

  6. Cliquez sur Expression Editor.

    Écran du profil de session de Citrix Gateway

    Pour configurer ces paramètres :

    • Value : tapez NSC_FSRD.
    • Header Name : tapez COOKIE.
  7. Cliquez sur Create, puis cliquez sur Close.

    Écran du profil de session de Citrix Gateway

Configurer des stratégies sur le serveur virtuel Citrix Gateway

Configurez les paramètres suivants sur le serveur virtuel Citrix Gateway.

  1. Dans l’utilitaire de configuration de Citrix Gateway, dans le volet de navigation de gauche, cliquez sur NetScaler Gateway > Virtual Servers.

  2. Dans le panneau Details, cliquez sur votre serveur virtuel Citrix Gateway.

  3. Cliquez sur Edit.

  4. Cliquez sur Configured policies > Session policies, puis sur Add binding.

  5. Sélectionnez ShareFile_Policy.

  6. Modifiez le numéro de priorité (Priority) généré automatiquement pour la stratégie sélectionnée de manière à lui attribuer la priorité la plus élevée (le plus petit nombre) par rapport aux autres stratégies indiquées. Par exemple :

    Écran Policy Binding du serveur virtuel VPN

  7. Cliquez sur Done, puis enregistrez la configuration Citrix Gateway actuelle.

Modifier les paramètres d’authentification unique de Citrix Files.com

Apportez les modifications suivantes pour les applications MDX et non-MDX Citrix Files.

Important :

Chaque fois que vous modifiez ou recréez l’application Citrix Files ou que vous modifiez les paramètres de Citrix Files dans Endpoint Management, un nouveau numéro est ajouté au nom de l’application interne. Par conséquent, vous devez également mettre à jour l’URL de connexion dans le site Web Citrix Files pour refléter le nom d’application mis à jour.

ShareFile n’envoie plus l’en-tête du référent sur Chrome ou FireFox. Pour plus d’informations, veuillez consulter la section Release Notes, ShareFile Web Application v19.17.

  1. Connectez-vous à votre compte Citrix Files (https://<subdomain>.sharefile.com) en tant qu’administrateur Citrix Files.

  2. Dans l’interface Web Citrix Files, cliquez sur Admin, puis sélectionnez Configurer le Single Sign-On.

  3. Modifiez URL de connexion comme suit :

    Voici un exemple d’URL de connexion avant les modifications : https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Exemple d'URL de connexion

    • Insérez le nom de domaine complet (FQDN) externe du serveur virtuel de Citrix Gateway et /cginfra/https/ devant le nom de domaine complet du serveur Endpoint Management, puis ajoutez 8443 après le nom de domaine complet de Endpoint Management.

      Voici un exemple d’URL modifiée: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    • Remplacez le paramètre &app=ShareFile_SAML_SP par le nom de l’application Citrix Files interne. Le nom interne est ShareFile_SAML par défaut. Toutefois, chaque fois que vous modifiez votre configuration, un numéro est ajouté au nom interne (ShareFile_SAML_2, ShareFile_SAML_3, etc.).

      Voici un exemple d’URL modifiée: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Ajoutez &nssso=true à la fin de l’URL.

      Voici un exemple de l’URL finale : https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. Sous Paramètres facultatifs, sélectionnez la case à cocher Activer l’authentification Web.

    Écran Paramètres facultatifs

Valider la configuration

Procédez comme suit pour valider la configuration.

  1. Pointez votre navigateur sur https://<subdomain>sharefile.com/saml/login.

    Vous êtes redirigé vers l’écran d’ouverture de session de Citrix Gateway. Si vous n’êtes pas redirigé, vérifiez les paramètres de configuration précédents.

  2. Entrez le nom d’utilisateur et le mot de passe pour l’environnement Citrix Gateway et Endpoint Management que vous avez configuré.

    Vos dossiers Citrix Files à l’adresse <subdomain>.sharefile.com s’affichent. Si vos dossiers Citrix Files n’apparaissent pas, assurez-vous que les informations d’identification saisies pour l’ouverture de session sont correctes.