Documentation produit
Citrix Endpoint Management
Voir PDF

SAML pour l’authentification unique avec Citrix Files

March 1, 2024
Contributeur: 
C

Vous pouvez configurer Citrix Endpoint Management et ShareFile pour une utilisation avec SAML (Security Assertion Markup Language) afin de fournir l’accès SSO aux applications mobiles Citrix Files. Cette fonctionnalité comprend les éléments suivants :

  • Applications Citrix Files pour lesquelles le SDK MAM est activé ou qui sont encapsulées à l’aide de MDX Toolkit

  • Clients Citrix Files non encapsulés, tels que le site Web, Outlook Plug-in ou les clients de synchronisation

  • Pour les applications Citrix Files encapsulées : les utilisateurs qui se connectent à Citrix Files sont redirigés vers Citrix Secure Hub pour s’authentifier et acquérir un jeton SAML. Une fois l’authentification réussie, l’application mobile Citrix Files envoie le jeton SAML à ShareFile. Après la première ouverture de session, les utilisateurs peuvent accéder à l’application mobile Citrix Files via l’authentification unique. Ils peuvent également joindre des documents à partir de ShareFile à des messages Citrix Secure Mail sans ouvrir une session à chaque fois.
  • Pour les clients Citrix Files non encapsulés : les utilisateurs qui se connectent à Citrix Files à l’aide d’un navigateur Web ou d’un autre client Citrix Files sont redirigés vers Citrix Endpoint Management. Citrix Endpoint Management authentifie les utilisateurs, qui acquièrent alors un jeton SAML qui est envoyé à ShareFile. Après la première ouverture de session, les utilisateurs peuvent accéder aux clients Citrix Files via l’authentification unique sans se connecter à chaque fois.

Pour utiliser Citrix Endpoint Management en tant que fournisseur d’identité SAML pour ShareFile, vous devez configurer Citrix Endpoint Management de manière à l’utiliser avec des comptes Enterprise, comme décrit dans cet article. Vous pouvez également configurer Citrix Endpoint Management pour fonctionner uniquement avec des connecteurs StorageZone. Pour plus d’informations, consultez la section Utilisation de ShareFile avec Citrix Endpoint Management.

Pour un diagramme d’architecture de référence détaillé, voir Architecture.

Logiciels requis

Vous devez remplir les conditions suivantes pour pouvoir configurer l’authentification unique avec les applications Citrix Endpoint Management et Citrix Files :

  • SDK MAM ou une version compatible de l’outil MDX Toolkit (pour les applications mobiles Citrix Files)

    Pour de plus amples informations, consultez la section Compatibilité Citrix Endpoint Management.

  • Version compatible de Citrix Secure Hub et des applications mobiles Citrix Files.
  • Compte d’administrateur ShareFile.
  • Connexion vérifiée entre Citrix Endpoint Management et ShareFile.

Configurer l’accès à ShareFile

Avant de configurer SAML pour ShareFile, indiquez les informations d’accès à ShareFile comme suit :

  1. Dans la console Web Citrix Endpoint Management, cliquez sur Configurer > ShareFile. La page de configuration de ShareFile s’affiche.

    Paramètres de configuration de ShareFile

  2. Pour configurer ces paramètres :

    • Domaine : entrez votre nom de sous-domaine ShareFile. Par exemple : example.sharefile.com.
    • Attribuer aux groupes de mise à disposition : sélectionnez ou recherchez les groupes de mise à disposition que vous souhaitez autoriser à utiliser l’authentification unique avec ShareFile.
    • Connexion au compte administrateur ShareFile
    • Nom d’utilisateur : tapez le nom d’utilisateur administrateur ShareFile. Cet utilisateur doit disposer des privilèges d’administrateur.
    • Mot de passe : tapez le mot de passe d’administrateur ShareFile.
    • Provisioning du compte utilisateur : laissez ce paramètre désactivé. Utilisez l’outil de gestion des utilisateurs ShareFile pour provisionner des utilisateurs. Voir Provisionner des comptes d’utilisateurs et des groupes de distribution.

  3. Cliquez sur Tester la connexion pour vérifier que le nom d’utilisateur et le mot de passe du compte d’administrateur ShareFile s’authentifient sur le compte ShareFile spécifié.

  4. Cliquez sur Enregistrer.

    • Citrix Endpoint Management se synchronise avec ShareFile et met à jour les paramètres ID d’émetteur/d’entité ShareFile et l’URL de connexion de ShareFile.

    • La page Configurer > ShareFile affiche le champ Nom interne de l’application. Vous avez besoin de ce nom pour effectuer les étapes décrites plus loin dans Modifier les paramètres d’authentification unique de Citrix Files.com.

Configurer SAML pour les applications Citrix Files MDX encapsulées

Vous n’avez pas besoin d’utiliser NetScaler Gateway pour la configuration de l’authentification unique avec des applications Citrix Files préparées avec le SDK MAM. Pour configurer l’accès aux clients Citrix Files non encapsulés, tels que le site Web, Outlook Plug-in ou les clients de synchronisation, consultez Configurer NetScaler Gateway pour d’autres clients Citrix Files.

Pour configurer SAML pour les applications MDX Citrix Files encapsulées :

  1. Téléchargez les clients ShareFile pour Citrix Endpoint Management. Voir la page des téléchargements Citrix.com.

  2. Préparez l’application mobile Citrix Files avec le SDK MAM. Pour de plus amples informations, consultez la section Présentation du SDK MAM.

  3. Dans la console Citrix Endpoint Management, chargez l’application mobile Citrix Files préparée. Pour plus d’informations sur le chargement des applications MDX, consultez la section Pour ajouter une application MDX à Citrix Endpoint Management.

  4. Vérifiez les paramètres SAML : ouvrez une session sur ShareFile avec le nom d’utilisateur et le mot de passe administrateur que vous avez configurés plus tôt.

  5. Vérifiez que ShareFile et Citrix Endpoint Management sont configurés pour le même fuseau horaire. Assurez-vous que Citrix Endpoint Management indique l’heure appropriée par rapport au fuseau horaire configuré. Sinon, l’authentification unique peut échouer.

Valider l’application mobile Citrix Files

  1. Sur la machine utilisateur, installez et configurez Citrix Secure Hub.

  2. À partir du magasin d’applications, téléchargez et installez l’application mobile Citrix Files.

  3. Démarrez l’application mobile Citrix Files. Citrix Files démarre sans vous inviter à saisir un nom d’utilisateur ou un mot de passe.

Valider avec Citrix Secure Mail

  1. Sur la machine utilisateur, si cela n’a pas déjà été fait, installez et configurez Citrix Secure Hub.

  2. À partir du magasin d’applications, téléchargez, installez et configurez Citrix Secure Mail.

  3. Ouvrez un nouveau formulaire électronique et appuyez sur Joindre à partir de ShareFile. Les fichiers pouvant être joints à l’e-mail sont affichés sans vous inviter à saisir un nom d’utilisateur ou un mot de passe.

Configurer NetScaler Gateway pour d’autres clients Citrix Files

Pour configurer l’accès des clients Citrix Files non encapsulés, tels que le site Web, le plug-in Outlook ou les clients de synchronisation, vous devez configurer NetScaler Gateway pour prendre en charge l’utilisation de Citrix Endpoint Management en tant que fournisseur d’identité SAML de la manière suivante.

  • Désactivez la redirection vers la page d’accueil.
  • Créez une stratégie et un profil de session Citrix Files.
  • Configurez des stratégies sur le serveur virtuel NetScaler Gateway.

Désactiver la redirection vers la page d’accueil

Désactivez le comportement par défaut pour les demandes qui passent par le chemin / cginfra. Cette action permet aux utilisateurs de voir l’URL interne demandée à la place de la page d’accueil configurée.

  1. Modifiez les paramètres du serveur virtuel NetScaler Gateway qui est utilisé pour les ouvertures de session Citrix Endpoint Management. Dans NetScaler Gateway, cliquez sur Other Settings, puis désactivez la case à cocher intitulée Redirect to Home Page.

    Écran NetScaler Gateway

  2. Sous ShareFile (à présent renommé ShareFile), entrez le nom et le numéro de port de votre serveur interne Citrix Endpoint Management.

  3. Sous Citrix Endpoint Management, tapez votre URL Citrix Endpoint Management.

    Cette configuration autorise les demandes pour l’URL indiquée via le chemin d’accès /cginfra.

Créez une stratégie et un profil de demande de session Citrix Files

Configurez ces paramètres pour créer une stratégie et un profil de demande de session Citrix Files :

  1. Dans l’utilitaire de configuration de NetScaler Gateway, dans le volet de navigation de gauche, cliquez sur NetScaler Gateway > Policies > Session.

  2. Créez une stratégie de session. Dans l’onglet Policies, cliquez sur Add.

  3. Dans le champ Name, tapez ShareFile_Policy.

  4. Créez une action en cliquant sur le bouton +. La page Create NetScaler Gateway Session Profile s’affiche.

    Écran du profil de session de NetScaler Gateway

    Pour configurer ces paramètres :

    • Name : tapez ShareFile_Profile.
    • Cliquez sur l’onglet Client Experience, puis configurez les paramètres suivants :
      • Home Page : tapez none.
      • Session Time-out (mins) : tapez 1.
      • Single Sign-on to Web Applications : sélectionnez ce paramètre.
      • Credential Index : dans la liste, cliquez sur PRIMARY.
    • Cliquez sur l’onglet Published Applications.

    Écran du profil de session de NetScaler Gateway

    Pour configurer ces paramètres :

    • ICA Proxy : dans la liste, cliquez sur On.
    • Web Interface Address : entrez l’URL de Citrix Endpoint Management Server.

    • Single Sign-on Domain : tapez votre nom de domaine Active Directory.

      Lors de la configuration du profil de session de NetScaler Gateway, le suffixe de domaine pour Single Sign-on Domain doit correspondre à l’alias de domaine Citrix Endpoint Management défini dans LDAP.

  5. Cliquez sur Create pour définir le profil de session.

  6. Cliquez sur Expression Editor.

    Écran du profil de session de NetScaler Gateway

    Pour configurer ces paramètres :

    • Value : tapez NSC_FSRD.
    • Header Name : tapez COOKIE.

  7. Cliquez sur Create, puis cliquez sur Close.

    Écran du profil de session de NetScaler Gateway

Configurer des stratégies sur le serveur virtuel NetScaler Gateway

Configurez les paramètres suivants sur le serveur virtuel NetScaler Gateway.

  1. Dans l’utilitaire de configuration de NetScaler Gateway, dans le volet de navigation de gauche, cliquez sur NetScaler Gateway > Virtual Servers.

  2. Dans le panneau Details, cliquez sur votre serveur virtuel NetScaler Gateway.

  3. Cliquez sur Modifier.

  4. Cliquez sur Configured policies > Session policies, puis sur Add binding.

  5. Sélectionnez ShareFile_Policy.

  6. Modifiez le numéro de priorité (Priority) généré automatiquement pour la stratégie sélectionnée de manière à lui attribuer la priorité la plus élevée (le plus petit nombre) par rapport aux autres stratégies indiquées. Par exemple :

    Écran Policy Binding du serveur virtuel VPN

  7. Cliquez sur Done, puis enregistrez la configuration NetScaler Gateway actuelle.

Modifier les paramètres d’authentification unique de Citrix Files.com

Apportez les modifications suivantes pour les applications MDX et non-MDX Citrix Files.

Important :

Un nouveau numéro est ajouté au nom de l’application interne :

  • Chaque fois que vous modifiez ou recréez l’application Citrix Files
  • Chaque fois que vous modifiez les paramètres ShareFile dans Citrix Endpoint Management

Par conséquent, vous devez également mettre à jour l’URL de connexion dans le site Web Citrix Files pour refléter le nom d’application mis à jour.

  1. Ouvrez une session sur votre compte ShareFile (https://<subdomain>.sharefile.com) en tant qu’administrateur.

  2. Dans l’interface Web ShareFile, cliquez sur Admin, puis sélectionnez Configurer le Single Sign-On.

  3. Modifiez l’URL de connexion comme suit :

    Voici un exemple d’URL de connexion avant les modifications : https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Exemple d’URL de connexion

    • Insérez le nom de domaine complet (FQDN) externe du serveur virtuel de NetScaler Gateway et /cginfra/https/ devant le nom de domaine complet du serveur Citrix Endpoint Management, puis ajoutez 8443 après le nom de domaine complet de Citrix Endpoint Management.

      Voici un exemple d’URL modifiée: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    • Remplacez le paramètre &app=ShareFile_SAML_SP par le nom de l’application Citrix Files interne. Le nom interne est ShareFile_SAML par défaut. Toutefois, chaque fois que vous modifiez votre configuration, un numéro est ajouté au nom interne (ShareFile_SAML_2, ShareFile_SAML_3, etc.). Vous pouvez rechercher le nom interne de l’application sur la page Configurer > ShareFile.

      Voici un exemple d’URL modifiée: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Ajoutez &nssso=true à la fin de l’URL.

      Voici un exemple de l’URL finale : https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. Sous Paramètres facultatifs, sélectionnez la case à cocher Activer l’authentification Web.

    Écran Paramètres facultatifs

Valider la configuration

Procédez comme suit pour valider la configuration.

  1. Pointez votre navigateur sur https://<subdomain>sharefile.com/saml/login.

    Vous êtes redirigé vers l’écran d’ouverture de session de NetScaler Gateway. Si vous n’êtes pas redirigé, vérifiez les paramètres de configuration précédents.

  2. Entrez le nom d’utilisateur et le mot de passe pour l’environnement NetScaler Gateway et Citrix Endpoint Management que vous avez configuré.

    Vos dossiers Citrix Files à l’adresse <subdomain>.sharefile.com s’affichent. Si vos dossiers Citrix Files n’apparaissent pas, assurez-vous que les informations d’identification saisies pour l’ouverture de session sont correctes.

SAML pour l’authentification unique avec Citrix Files
March 1, 2024
Contributeur: 
C
March 1, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.