Product Documentation

Configuration de XenMobile et de l'application ShareFile pour l'authentification unique à l'aide de SAML

Oct 11, 2016

Vous pouvez configurer XenMobile et ShareFile pour utiliser Security Assertion Markup Language (SAML) afin de fournir un accès SSO (authentification unique) aux applications mobiles ShareFile qui sont wrappées avec le MDX Toolkit, ainsi qu'aux clients ShareFile non wrappés, tel que le site Web, le plug-in Outlook ou les clients de synchronisation.

  • Pour les applications ShareFile wrappées. Les utilisateurs qui ouvrent une session sur ShareFile via l'application mobile ShareFile sont redirigés vers Worx Home pour l'authentification utilisateur et pour acquérir un jeton SAML. Une fois l'authentification réussie, l'application mobile ShareFile envoie le jeton SAML à ShareFile. Après la première ouverture de session, les utilisateurs peuvent accéder à l'application mobile ShareFile via l'authentification unique et peuvent joindre des documents provenant de ShareFile à des e-mails WorxMail sans ouvrir une session à chaque fois.
  • Pour les clients ShareFile non wrappés. Les utilisateurs qui ouvrent une session sur ShareFile à l'aide d'un navigateur Web ou d'un autre client ShareFile sont redirigés vers XenMobile pour l'authentification utilisateur et pour acquérir un jeton SAML. Une fois l'authentification réussie, le jeton SAML est envoyé à ShareFile. Après la première ouverture de session, les utilisateurs peuvent accéder aux clients ShareFile via l'authentification unique sans ouvrir une session à chaque fois.

Pour accéder à un diagramme d’architecture de référence détaillé, consultez l’article Reference Architecture for On-Premises Deployments du guide de déploiement de XenMobile.

Conditions préalables

Vous devez remplir les conditions suivantes pour pouvoir configurer l'authentification unique avec les applications XenMobile et ShareFile :

  • MDX Toolkit version 9.0.4 ou version ultérieure (pour les applications mobiles ShareFile)
  • Applications mobiles ShareFile appropriées :
    • ShareFile pour iPhone version 3.0.x
    • ShareFile pour iPad version 2.2.x
    • ShareFile pour Android version 3.2.x
  • Worx Home 9.0 (pour applications mobiles ShareFile)

    Installez la version iOS ou Android appropriée.

  • Compte d'administrateur ShareFile

Assurez-vous que XenMobile et ShareFile peuvent se connecter. Pour de plus amples informations sur la vérification de la connectivité, consultez la section Réalisation de contrôles de connectivité.

Configurer l'accès à ShareFile

Avant de configurer SAML pour ShareFile, indiquez les informations d'accès à ShareFile comme suit :

  1. Dans la console Web XenMobile, cliquez sur Configurer > Paramètres. La page Paramètres s'affiche.


    Sélection de ShareFile

  2. Cliquez sur Plus, puis sous ShareFile, cliquez sur ShareFile. La page de configuration de ShareFile s'affiche.


    Page de configuration de ShareFile

  3. Configurez les paramètres suivants :
    • Domaine : tapez votre nom de sous-domaine ShareFile, par exemple exemple.sharefile.com.
    • Choisir des groupes de mise à disposition : sélectionnez ou recherchez les groupes de mise à disposition dont vous souhaitez qu'ils puissent utiliser l'authentification unique avec ShareFile.
    • Nom d'utilisateur : tapez le nom d'utilisateur administrateur ShareFile. Cet utilisateur doit disposer des privilèges d'administrateur.
    • Mot de passe : tapez le mot de passe d'administrateur ShareFile.
    • Provisioning du compte utilisateur : activez cette option si vous souhaitez activer le provisioning des utilisateurs dans XenMobile ; laissez-la désactivée si vous envisagez d'utiliser ShareFile User Management Tool.
      Remarque : si un utilisateur sans compte ShareFile est inclus dans les rôles sélectionnés, XenMobile provisionne automatiquement un compte ShareFile pour cet utilisateur si vous activez le Provisioning du compte utilisateur. Citrix vous recommande d'utiliser un rôle contenant peu de membres pour tester la configuration. Cela permet d'éviter qu'un grand nombre d'utilisateurs ne disposent pas d'un compte ShareFile.
  4. Cliquez sur Enregistrer.

Configurer SAML pour les applications ShareFile MDX wrappées

Les étapes suivantes s'appliquent aux applications et appareils iOS et Android.

  1. À l'aide du MDX Toolkit, wrappez l'application mobile ShareFile. Pour de plus amples informations sur le wrapping d'applications avec le MDX Toolkit, consultez la section Wrapping d'applications avec le MDX Toolkit.
  2. Dans XenMobile, chargez l'application mobile ShareFile wrappée. Pour plus d'informations sur le chargement des applications MDX, consultez la section Pour ajouter une application MDX à XenMobile.
  3. Vérifiez les paramètres SAML en ouvrant une session sur ShareFile avec le nom d'utilisateur et le mot de passe administrateur que vous avez configurés dans Configurer l'accès à ShareFile.
  4. Assurez-vous que le même fuseau horaire est configuré pour ShareFile et XenMobile.
    Remarque : des fuseaux horaires différents peuvent se traduire par des horodatages incohérents, ce qui entraîne l'échec de l'authentification unique.

Valider l'application mobile ShareFile

  1. Sur la machine utilisateur, si cela n'a pas déjà été fait, installez et configurez Worx Home.
  2. À partir de Worx Store, téléchargez et installez l'application mobile ShareFile.
  3. Démarrez l'application mobile ShareFile.

    ShareFile démarre sans vous inviter à saisir un nom d’utilisateur ou un mot de passe.

Valider avec WorxMail

  1. Sur la machine utilisateur, si cela n'a pas déjà été fait, installez et configurez Worx Home.
  2. À partir de Worx Store, téléchargez, installez et configurez WorxMail.
  3. Ouvrez un nouveau formulaire électronique et appuyez sur Joindre à partir de ShareFile.

    Les fichiers pouvant être joints à l'e-mail sont affichés sans vous inviter à saisir un nom d’utilisateur ou un mot de passe.

Configurer NetScaler Gateway pour les autres clients ShareFile

Si vous voulez configurer l'accès des clients ShareFile non wrappés, tels que le site Web, le plug-in Outlook ou les clients de synchronisation, vous devez configurer NetScaler Gateway pour prendre en charge l'utilisation de XenMobile en tant que fournisseur d’identité SAML de la manière suivante :
  • Désactivez la redirection vers la page d'accueil.
  • Créez une stratégie et un profil de session ShareFile.
  • Configurez des stratégies sur le serveur virtuel NetScaler Gateway.

Désactiver la redirection vers la page d'accueil

Vous devez désactiver le comportement par défaut pour les demandes qui passent par le chemin d’accès /cginfra de manière à ce que l'utilisateur accède à l'URL interne demandée au lieu de la page d'accueil configurée.
  1. Modifiez les paramètres du serveur virtuel NetScaler Gateway qui est utilisé pour les ouvertures de session XenMobile. Dans NetScaler 10.5, cliquez sur Other Settings, puis désactivez la case à cocher intitulée Redirect to Home Page.


    Rediriger la page d'accueil

  2. Sous ShareFile, tapez le nom de votre serveur interne XenMobile et le numéro de port.
  3. Sous AppController, tapez l'URL de votre serveur XenMobile.

    Cette configuration autorise les demandes pour l’URL indiquée via le chemin d'accès /cginfra.

Créer une stratégie et un profil de demande de session ShareFile

Configurez les paramètres suivants pour créer une stratégie et un profil de demande de session ShareFile :
  1. Dans l'utilitaire de configuration de NetScaler Gateway, dans le volet de navigation de gauche, cliquez sur NetScaler Gateway > Policies > Session.
  2. Créez une stratégie de session. Dans l’onglet Policies, cliquez sur Add.
  3. Dans le champ Name, tapez ShareFile_Policy.
  4. Créez une action en cliquant sur le bouton +.

    L'écran Create NetScaler Gateway Session Profile s'affiche. Configurez les paramètres suivants :


    Configurer la stratégie de session NetScaler Gateway - expérience client

    1. Name : tapez ShareFile_Profile.
    2. Cliquez sur l'onglet Client Experience, puis configurez les paramètres suivants :
      1. Home Page : tapez none.
      2. Session Time-out (mins) : tapez 1.
      3. Single Sign-on to Web Applications : sélectionnez ce paramètre.
      4. Credential Index : dans la liste, cliquez sur PRIMARY.
    3. Cliquez sur l'onglet Published Applications, puis configurez les paramètres suivants :


      Configurer le profil de session de NetScaler Gateway - applications publiées

      1. Proxy ICA : dans la liste, sélectionnez ON.
      2. Web Interface Address : entrez l'URL de votre serveur XenMobile.
      3. Single Sign-on Domain : tapez votre nom de domaine Active Directory.
        Remarque : lors de la configuration du profil de session de NetScaler Gateway, le suffixe de domaine pour Single Sign-on Domain doit correspondre à l'alias de domaine XenMobile défini dans LDAP.
  5. Cliquez sur Create pour définir le profil de session.
  6. Cliquez sur Expression Editor, puis configurez les paramètres suivants :


    Configurer le profil de session de NetScaler Gateway - ajouter une expression

    1. Value : tapez NSC_FSRD.
    2. Header Name : tapez COOKIE.
    3. Cliquez sur Done.
  7. Cliquez sur Create, puis sur Close.


    Configurer le profil de session de NetScaler Gateway - terminé

Configurer des stratégies sur le serveur virtuel NetScaler Gateway

Configurez les paramètres suivants sur le serveur virtuel NetScaler Gateway.

  1. Dans l'utilitaire de configuration de NetScaler Gateway, dans le volet de navigation de gauche, cliquez sur NetScaler Gateway > Virtual Servers.
  2. Dans le panneau Détails, cliquez sur votre serveur virtuel NetScaler Gateway.
  3. Cliquez sur Modifier.
  4. Cliquez sur Configured policies > Session policies, puis sur Add binding.
  5. Sélectionnez ShareFile_Policy.
  6. Modifiez le numéro de priorité (Priority) généré automatiquement pour la stratégie sélectionnée de manière à lui attribuer la priorité la plus élevée (le plus petit nombre) par rapport aux autres stratégies indiquées, comme illustré sur la figure suivante.


    Ajouter une liaison au serveur virtuel NetScaler Gateway

  7. Cliquez sur Terminé, puis enregistrez la configuration NetScaler actuelle.

Configurer SAML pour les applications ShareFile non MDX

Procédez comme suit pour trouver le nom d'application interne pour votre configuration de ShareFile.

  1. Ouvrez une session sur l'outil d'administration de XenMobile en accédant à la page suivante : https://:4443/OCA/admin/. Assurez-vous de saisir « OCA » en majuscules.
  2. Dans la liste View, cliquez sur Configuration.


    Ouvrez une session sur l'outil de configuration XenMobile

  3. Cliquez sur Applications > Applications et notez le nom de l'application (Application Name) correspondant à l'application avec le nom d'affichage (Display Name) « ShareFile ».


    Rechercher le nom de l'application ShareFile

Modifier les paramètres d’authentification unique de ShareFile.com

  1. Ouvrez une session sur votre compte ShareFile (https://.sharefile.com) en tant qu'administrateur.
  2. Dans l'interface Web ShareFile, cliquez sur Admin, puis sélectionnez Configurer le Single Sign-On.
  3. Modifiez URL de connexion comme suit :

    URL de connexion doit ressembler à ceci : https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.


    Modifier l'URL de connexion

    1. Insérez le nom de domaine complet (FQDN) externe du serveur virtuel de NetScaler Gateway et « /cginfra/https/ » devant le nom de domaine complet du serveur XenMobile, puis ajoutez « 8443 » après le nom de domaine complet de XenMobile.

      L'URL doit maintenant ressembler à ce qui suit : https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    2. Remplacez le paramètre &app=ShareFile_SAML_SP par le nom interne de l'application ShareFile indiqué à l'étape 3 dans Configurer SAML pour les applications ShareFile non MDX. Le nom interne est ShareFile_SAML par défaut ; cependant, chaque fois que vous modifiez votre configuration, un nombre est ajouté au nom interne (ShareFile_SAML_2, ShareFile_SAML_3, etc.).

      L'URL doit maintenant ressembler à ce qui suit : https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    3. Ajoutez « &nssso=true » à la fin de l'URL.

      L'URL modifiée doit maintenant ressembler à ce qui suit : https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

      Important : chaque fois que vous modifiez ou recréez l'application ShareFile ou que vous modifiez les paramètres ShareFile dans la console XenMobile, un nombre est ajouté au nom d'application interne, ce qui signifie que vous devez également mettre à jour l'URL de connexion sur le site Web de ShareFile pour tenir compte du nouveau nom de l’application.
  4. Sous Paramètres facultatifs, sélectionnez la case à cocher Activer l'authentification Web.


    Paramètres facultatifs

  5. Cliquez sur Enregistrer.

Valider la configuration

Procédez comme suit pour valider la configuration.

  1. Dans votre navigateur, accédez à https://sharefile.com/saml/login.

    Vous êtes redirigé vers l'écran d'ouverture de session de NetScaler Gateway. Si vous n'êtes pas redirigé, vérifiez les paramètres de configuration précédents.

  2. Entrez le nom d'utilisateur et le mot de passe pour l'environnement NetScaler Gateway et XenMobile que vous avez configuré.

    Vos dossiers ShareFile à l'adresse .ShareFile.com s'affichent. Si vos dossiers ShareFile n'apparaissent pas, assurez-vous que les informations d'identification saisies pour l'ouverture de session sont correctes.