Documentation produit
Citrix Endpoint Management
Voir PDF

SAML pour l’authentification unique avec Citrix Files

November 19, 2021
Contributeur: 
C C

Important :

cet article s’applique uniquement aux environnements Endpoint Management qui ne sont pas compatibles avec Workspace. Dans un environnement compatible avec Workspace, Content Collaboration est directement intégré à Citrix Workspace.

Vous pouvez configurer Endpoint Management et Content Collaboration pour une utilisation avec SAML (Security Assertion Markup Language) afin de fournir l’accès SSO aux applications mobiles Citrix Files. Cette fonctionnalité comprend les éléments suivants :

  • Applications Citrix Files pour lesquelles le SDK MAM est activé ou qui sont encapsulées à l’aide de MDX Toolkit

  • Clients Citrix Files non encapsulés, tels que le site Web, Outlook Plug-in ou les clients de synchronisation

  • Pour les applications Citrix Files encapsulées : les utilisateurs qui se connectent à Citrix Files sont redirigés vers Secure Hub pour s’authentifier et acquérir un jeton SAML. Une fois l’authentification réussie, l’application mobile Citrix Files envoie le jeton SAML à Content Collaboration. Après la première ouverture de session, les utilisateurs peuvent accéder à l’application mobile Citrix Files via l’authentification unique. Ils peuvent également joindre des documents de Content Collaboration aux e-mails Secure Mail sans se connecter à chaque fois.
  • Pour les clients Citrix Files non encapsulés : les utilisateurs qui se connectent à Citrix Files à l’aide d’un navigateur Web ou d’un autre client Citrix Files sont redirigés vers Endpoint Management. Endpoint Management authentifie les utilisateurs, qui acquièrent ensuite un jeton SAML envoyé à Content Collaboration. Après la première ouverture de session, les utilisateurs peuvent accéder aux clients Citrix Files via l’authentification unique sans se connecter à chaque fois.

Pour utiliser Endpoint Management en tant que fournisseur d’identité SAML pour Content Collaboration, vous devez configurer Endpoint Management pour l’utilisation de comptes Enterprise, comme décrit dans cet article. Vous pouvez également configurer Endpoint Management pour fonctionner uniquement avec des connecteurs StorageZone. Pour de plus amples informations, consultez Utilisation de Content Collaboration avec Endpoint Management.

Pour un diagramme d’architecture de référence détaillé, voir Architecture.

Conditions préalables

Vous devez remplir les conditions suivantes pour pouvoir configurer l’authentification unique avec les applications Endpoint Management et Citrix Files :

  • SDK MAM ou une version compatible de l’outil MDX Toolkit (pour les applications mobiles Citrix Files)

    Pour de plus amples informations, consultez la section Compatibilité Endpoint Management.

  • Version compatible de Secure Hub et des applications mobiles Citrix Files
  • Compte administrateur Content Collaboration
  • Connectivité vérifiée entre Endpoint Management et Content Collaboration

Configurer l’accès à Content Collaboration

Avant de configurer SAML pour Content Collaboration, fournissez les informations d’accès à Content Collaboration comme suit :

  1. Dans la console Web Endpoint Management, cliquez sur Configurer > Content Collaboration. La page de configuration Content Collaboration s’affiche.

    Paramètres de configuration de Content Collaboration

  2. Pour configurer ces paramètres :

    • Domaine : entrez le nom de votre sous-domaine Content Collaboration. Par exemple : example.sharefile.com.
    • Attribuer aux groupes de mise à disposition : sélectionnez ou recherchez les groupes de mise à disposition que vous souhaitez autoriser à utiliser l’authentification unique avec ShareFile.
    • Connexion au compte administrateur Content Collaboration
    • Nom d’utilisateur : entrez le nom d’utilisateur de l’administrateur Content Collaboration. Cet utilisateur doit disposer des privilèges d’administrateur.
    • Mot de passe : entrez le mot de passe administrateur de Content Collaboration.
    • Provisioning du compte utilisateur : laissez ce paramètre désactivé. Utilisez l’outil de gestion des utilisateurs Content Collaboration pour le provisioning des utilisateurs. Voir Provisionner des comptes d’utilisateurs et des groupes de distribution.

  3. Cliquez sur Tester la connexion pour vérifier que le nom d’utilisateur et le mot de passe du compte administrateur Content Collaboration permettent de s’authentifier auprès du compte Content Collaboration spécifié.

  4. Cliquez sur Enregistrer.

    • Endpoint Management se synchronise avec Content Collaboration et met à jour les paramètres Content Collaboration ID d’émetteur/d’entité ShareFile et URL de connexion .

    • La page Configurer > Content Collaboration affiche le champ Nom interne de l’application. Vous avez besoin de ce nom pour effectuer les étapes décrites plus loin dans Modifier les paramètres d’authentification unique de Citrix Files.com.

Configurer SAML pour les applications Citrix Files MDX encapsulées

Vous n’avez pas besoin d’utiliser Citrix Gateway pour la configuration de l’authentification unique avec des applications Citrix Files préparées avec le SDK MAM. Pour configurer l’accès aux clients Citrix Files non encapsulés, tels que le site Web, Outlook Plug-in ou les clients de synchronisation, consultez Configurer Citrix Gateway pour d’autres clients Citrix Files.

Pour configurer SAML pour les applications MDX Citrix Files encapsulées :

  1. Téléchargez les clients Citrix Content Collaboration pour Endpoint Management. Voir la page des téléchargements Citrix.com.

  2. Préparez l’application mobile Citrix Files avec le SDK MAM. Pour de plus amples informations, consultez la section Présentation du SDK MAM.

  3. Dans la console Endpoint Management, chargez l’application mobile Citrix Files préparée. Pour plus d’informations sur le chargement des applications MDX, consultez la section Pour ajouter une application MDX à Endpoint Management.

  4. Vérifiez les paramètres SAML : ouvrez une session Content Collaboration avec le nom d’utilisateur et le mot de passe administrateur que vous avez configurés auparavant.

  5. Vérifiez que Content Collaboration et Endpoint Management sont configurés pour le même fuseau horaire. Assurez-vous que Endpoint Management indique l’heure appropriée par rapport au fuseau horaire configuré. Sinon, l’authentification unique peut échouer.

Valider l’application mobile Citrix Files

  1. Sur la machine utilisateur, installez et configurez Secure Hub.

  2. À partir du magasin d’applications, téléchargez et installez l’application mobile Citrix Files.

  3. Démarrez l’application mobile Citrix Files. Citrix Files démarre sans vous inviter à saisir un nom d’utilisateur ou un mot de passe.

Valider avec Secure Mail

  1. Sur la machine utilisateur, si cela n’a pas déjà été fait, installez et configurez Secure Hub.

  2. À partir du magasin d’applications, téléchargez, installez et configurez Secure Mail.

  3. Ouvrez un nouveau formulaire électronique et appuyez sur Joindre à partir de ShareFile. Les fichiers pouvant être joints à l’e-mail sont affichés sans vous inviter à saisir un nom d’utilisateur ou un mot de passe.

Configurer Citrix Gateway pour d’autres clients Citrix Files

Pour configurer l’accès des clients Citrix Files non encapsulés, tels que le site Web, le plug-in Outlook ou les clients de synchronisation, vous devez configurer Citrix Gateway pour prendre en charge l’utilisation de Endpoint Management en tant que fournisseur d’identité SAML de la manière suivante.

  • Désactivez la redirection vers la page d’accueil.
  • Créez une stratégie et un profil de session Citrix Files.
  • Configurez des stratégies sur le serveur virtuel Citrix Gateway.

Désactiver la redirection vers la page d’accueil

Désactivez le comportement par défaut pour les demandes qui passent par le chemin / cginfra. Cette action permet aux utilisateurs de voir l’URL interne demandée à la place de la page d’accueil configurée.

  1. Modifiez les paramètres du serveur virtuel Citrix Gateway qui est utilisé pour les ouvertures de session Endpoint Management. Dans Citrix Gateway, cliquez sur Other Settings, puis désactivez la case à cocher intitulée Redirect to Home Page.

    Écran de Citrix Gateway

  2. Sous ShareFile (à présent renommé Content Collaboration), entrez le nom et le numéro de port de votre serveur interne Endpoint Management.

  3. Sous Citrix Endpoint Management, tapez votre URL Endpoint Management.

    Cette configuration autorise les demandes pour l’URL indiquée via le chemin d’accès /cginfra.

Créez une stratégie et un profil de demande de session Citrix Files

Configurez ces paramètres pour créer une stratégie et un profil de demande de session Citrix Files :

  1. Dans l’utilitaire de configuration de Citrix Gateway, dans le volet de navigation de gauche, cliquez sur NetScaler Gateway > Policies > Session.

  2. Créez une stratégie de session. Dans l’onglet Policies, cliquez sur Add.

  3. Dans le champ Name, tapez ShareFile_Policy.

  4. Créez une action en cliquant sur le bouton +. La page Create NetScaler Gateway Session Profile s’affiche.

    Écran du profil de session de Citrix Gateway

    Pour configurer ces paramètres :

    • Name : tapez ShareFile_Profile.
    • Cliquez sur l’onglet Client Experience, puis configurez les paramètres suivants :
      • Home Page : tapez none.
      • Session Time-out (mins) : tapez 1.
      • Single Sign-on to Web Applications : sélectionnez ce paramètre.
      • Credential Index : dans la liste, cliquez sur PRIMARY.
    • Cliquez sur l’onglet Published Applications.

    Écran du profil de session de Citrix Gateway

    Pour configurer ces paramètres :

    • ICA Proxy : dans la liste, cliquez sur On.
    • Web Interface Address : entrez l’URL de Endpoint Management Server.

    • Single Sign-on Domain : tapez votre nom de domaine Active Directory.

      Lors de la configuration du profil de session de Citrix Gateway, le suffixe de domaine pour Single Sign-on Domain doit correspondre à l’alias de domaine Endpoint Management défini dans LDAP.

  5. Cliquez sur Create pour définir le profil de session.

  6. Cliquez sur Expression Editor.

    Écran du profil de session de Citrix Gateway

    Pour configurer ces paramètres :

    • Value : tapez NSC_FSRD.
    • Header Name : tapez COOKIE.

  7. Cliquez sur Create, puis cliquez sur Close.

    Écran du profil de session de Citrix Gateway

Configurer des stratégies sur le serveur virtuel Citrix Gateway

Configurez les paramètres suivants sur le serveur virtuel Citrix Gateway.

  1. Dans l’utilitaire de configuration de Citrix Gateway, dans le volet de navigation de gauche, cliquez sur NetScaler Gateway > Virtual Servers.

  2. Dans le panneau Details, cliquez sur votre serveur virtuel Citrix Gateway.

  3. Cliquez sur Modifier.

  4. Cliquez sur Configured policies > Session policies, puis sur Add binding.

  5. Sélectionnez ShareFile_Policy.

  6. Modifiez le numéro de priorité (Priority) généré automatiquement pour la stratégie sélectionnée de manière à lui attribuer la priorité la plus élevée (le plus petit nombre) par rapport aux autres stratégies indiquées. Par exemple :

    Écran Policy Binding du serveur virtuel VPN

  7. Cliquez sur Done, puis enregistrez la configuration Citrix Gateway actuelle.

Modifier les paramètres d’authentification unique de Citrix Files.com

Apportez les modifications suivantes pour les applications MDX et non-MDX Citrix Files.

Important :

Un nouveau numéro est ajouté au nom de l’application interne :

  • Chaque fois que vous modifiez ou recréez l’application Citrix Files
  • Chaque fois que vous modifiez les paramètres de Content Collaboration dans Endpoint Management

Par conséquent, vous devez également mettre à jour l’URL de connexion dans le site Web Citrix Files pour refléter le nom d’application mis à jour.

  1. Connectez-vous à votre compte Content Collaboration (https://<subdomain>.sharefile.com) en tant qu’administrateur Content Collaboration.

  2. Dans l’interface Web Content Collaboration, cliquez sur Admin, puis sélectionnez Configurer le Single Sign-On.

  3. Modifiez l’URL de connexion comme suit :

    Voici un exemple d’URL de connexion avant les modifications : https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Exemple d'URL de connexion

    • Insérez le nom de domaine complet (FQDN) externe du serveur virtuel de Citrix Gateway et /cginfra/https/ devant le nom de domaine complet du serveur Endpoint Management, puis ajoutez 8443 après le nom de domaine complet de Endpoint Management.

      Voici un exemple d’URL modifiée: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    • Remplacez le paramètre &app=ShareFile_SAML_SP par le nom de l’application Citrix Files interne. Le nom interne est ShareFile_SAML par défaut. Toutefois, chaque fois que vous modifiez votre configuration, un numéro est ajouté au nom interne (ShareFile_SAML_2, ShareFile_SAML_3, etc.). Vous pouvez rechercher le nom interne de l’application sur la page Configurer > Content Collaboration.

      Voici un exemple d’URL modifiée: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Ajoutez &nssso=true à la fin de l’URL.

      Voici un exemple de l’URL finale : https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. Sous Paramètres facultatifs, sélectionnez la case à cocher Activer l’authentification Web.

    Écran Paramètres facultatifs

Valider la configuration

Procédez comme suit pour valider la configuration.

  1. Pointez votre navigateur sur https://<subdomain>sharefile.com/saml/login.

    Vous êtes redirigé vers l’écran d’ouverture de session de Citrix Gateway. Si vous n’êtes pas redirigé, vérifiez les paramètres de configuration précédents.

  2. Entrez le nom d’utilisateur et le mot de passe pour l’environnement Citrix Gateway et Endpoint Management que vous avez configuré.

    Vos dossiers Citrix Files à l’adresse <subdomain>.sharefile.com s’affichent. Si vos dossiers Citrix Files n’apparaissent pas, assurez-vous que les informations d’identification saisies pour l’ouverture de session sont correctes.

SAML pour l’authentification unique avec Citrix Files
November 19, 2021
Contributeur: 
C C
November 19, 2021
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.