SAML pour l’authentification unique avec Citrix Files

Vous pouvez configurer XenMobile et Content Collaboration pour une utilisation avec SAML (Security Assertion Markup Language) afin de fournir l’accès SSO aux applications mobiles Citrix Files. Cette fonctionnalité inclut les applications Citrix Files qui sont encapsulées avec MDX Toolkit et les clients Citrix Files non encapsulés, tels que le site Web, Outlook Plug-in ou les clients de synchronisation.

  • Pour les applications Citrix Files encapsulées. Les utilisateurs qui ouvrent une session sur Citrix Files via l’application mobile Citrix Files sont redirigés vers Secure Hub pour l’authentification utilisateur et pour acquérir un jeton SAML. Une fois l’authentification réussie, l’application mobile Citrix Files envoie le jeton SAML à Content Collaboration. Après la première ouverture de session, les utilisateurs peuvent accéder à l’application mobile Citrix Files via l’authentification unique. Ils peuvent également joindre des documents de Content Collaboration aux e-mails Secure Mail sans se connecter à chaque fois.
  • Pour les clients Citrix Files non encapsulés. Les utilisateurs qui se connectent à Citrix Files à l’aide d’un navigateur Web ou d’un autre client Citrix Files sont redirigés vers XenMobile. XenMobile authentifie les utilisateurs, qui acquièrent ensuite un jeton SAML envoyé à Content Collaboration. Après la première ouverture de session, les utilisateurs peuvent accéder aux clients Citrix Files via l’authentification unique sans se connecter à chaque fois.

Pour utiliser XenMobile en tant que fournisseur d’identité SAML pour Content Collaboration, vous devez configurer XenMobile pour l’utilisation de comptes Enterprise, comme décrit dans cet article. Vous pouvez également configurer XenMobile pour fonctionner uniquement avec des connecteurs StorageZone. Pour de plus amples informations, consultez Utiliser Citrix Content Collaboration avec XenMobile.

Pour un diagramme d’architecture de référence détaillé, consultez la section Architecture.

Composants requis

Vous devez remplir les conditions suivantes pour pouvoir configurer l’authentification unique avec les applications XenMobile et Citrix Files :

  • MDX Service ou une version compatible de l’outil MDX Toolkit (pour les applications mobiles Citrix Files)

    Pour de plus amples informations, consultez Compatibilité XenMobile.

  • Version compatible de Secure Hub et des applications mobiles Citrix Files
  • Compte administrateur Content Collaboration
  • Connectivité vérifiée entre XenMobile et Content Collaboration

Configurer l’accès à Content Collaboration

Avant de configurer SAML pour Content Collaboration, fournissez les informations d’accès à Content Collaboration comme suit :

  1. Dans la console Web XenMobile, cliquez sur Configurer > ShareFile. La page de configuration de ShareFile s’affiche. Votre console peut afficher le terme Content Collaboration au lieu de ShareFile.

    Paramètres de configuration de Content Collaboration

  2. Pour configurer ces paramètres :

    • Domaine : entrez le nom de votre sous-domaine Content Collaboration. Par exemple : example.sharefile.com.
    • Attribuer aux groupes de mise à disposition : sélectionnez ou recherchez les groupes de mise à disposition que vous souhaitez autoriser à utiliser l’authentification unique avec Content Collaboration.
    • Connexion au compte administrateur ShareFile
    • Nom d’utilisateur : entrez le nom d’utilisateur de l’administrateur Content Collaboration. Cet utilisateur doit disposer des privilèges d’administrateur.
    • Mot de passe : entrez le mot de passe administrateur de Content Collaboration.
    • Provisionnement du compte utilisateur : pour activer le provisionnement utilisateur dans XenMobile, activez ce paramètre. Pour utiliser l’outil de gestion des utilisateurs Content Collaboration pour le provisioning des utilisateurs, laissez ce paramètre désactivé.

    Remarque :

    Si un utilisateur sans compte Content Collaboration est inclus dans les rôles sélectionnés et que vous activez le provisioning du compte utilisateur, XenMobile provisionne automatiquement un compte Content Collaboration pour cet utilisateur. Citrix vous recommande d’utiliser un rôle contenant peu de membres pour tester la configuration. Cela permet d’éviter qu’un grand nombre d’utilisateurs ne disposent d’aucun compte Content Collaboration.

  3. Cliquez sur Tester la connexion pour vérifier que le nom d’utilisateur et le mot de passe du compte administrateur Content Collaboration permettent de s’authentifier auprès du compte Content Collaboration spécifié.

  4. Cliquez sur Enregistrer.

    • XenMobile se synchronise avec Content Collaboration et met à jour les paramètres Content Collaboration ID d’émetteur/d’entité ShareFile et URL de connexion.

    • La page Configurer > ShareFile affiche le champ Nom interne de l’application. Vous avez besoin de ce nom pour effectuer les étapes décrites plus loin dans la section Modifier les paramètres d’authentification unique de Citrix Files.com.

Configurer SAML pour les applications Citrix Files MDX encapsulées

Les étapes suivantes s’appliquent aux applications et appareils iOS et Android.

  1. À l’aide du MDX Toolkit, encapsulez l’application mobile Citrix Files. Pour de plus amples informations sur l’encapsulation d’applications avec le MDX Toolkit, consultez la section Encapsulation des applications avec le MDX Toolkit.

  2. Dans la console XenMobile, chargez l’application mobile Citrix Files encapsulée. Pour plus d’informations sur le chargement des applications MDX, consultez la section Pour ajouter une application MDX à XenMobile.

  3. Vérifiez les paramètres SAML : ouvrez une session Content Collaboration avec le nom d’utilisateur et le mot de passe administrateur que vous avez configurés ci-dessus.

  4. Vérifiez que Content Collaboration et XenMobile sont configurés pour le même fuseau horaire. Assurez-vous que XenMobile indique l’heure appropriée par rapport au fuseau horaire configuré. Sinon, l’authentification unique peut échouer.

Valider l’application mobile Citrix Files

  1. Sur la machine utilisateur, installez et configurez Secure Hub.

  2. À partir de XenMobile Store, téléchargez et installez l’application mobile Citrix Files.

  3. Démarrez l’application mobile Citrix Files. Citrix Files démarre sans vous inviter à saisir un nom d’utilisateur ou un mot de passe.

Valider avec Secure Mail

  1. Sur la machine utilisateur, si cela n’a pas déjà été fait, installez et configurez Secure Hub.

  2. À partir de XenMobile Store, téléchargez, installez et configurez Secure Mail.

  3. Ouvrez un nouveau formulaire électronique et appuyez sur Joindre à partir de Citrix Files. Les fichiers pouvant être joints à l’e-mail sont affichés sans vous inviter à saisir un nom d’utilisateur ou un mot de passe.

Configurer Citrix Gateway pour d’autres clients Citrix Files

Pour configurer l’accès des clients Citrix Files non encapsulés, tels que le site Web, le plug-in Outlook ou les clients de synchronisation, vous devez configurer Citrix Gateway pour prendre en charge l’utilisation de XenMobile en tant que fournisseur d’identité SAML de la manière suivante.

  • Désactivez la redirection vers la page d’accueil.
  • Créez une stratégie et un profil de session Citrix Files.
  • Configurez des stratégies sur le serveur virtuel Citrix Gateway.

Désactiver la redirection vers la page d’accueil

Désactivez le comportement par défaut pour les demandes qui passent par le chemin / cginfra. Cette action permet aux utilisateurs de voir l’URL interne demandée à la place de la page d’accueil configurée.

  1. Modifiez les paramètres du serveur virtuel Citrix Gateway qui est utilisé pour les ouvertures de session XenMobile. Dans Citrix ADC, cliquez sur Other Settings, puis désactivez la case à cocher intitulée Redirect to Home Page.

    Écran Citrix ADC

  2. Sous ShareFile (à présent renommé Content Collaboration), entrez le nom et le numéro de port de votre serveur interne XenMobile.

  3. Sous Citrix Endpoint Management, tapez votre URL XenMobile. Votre version de Citrix Gateway peut faire référence à l’ancien nom de produit AppController.

    Cette configuration autorise les demandes pour l’URL indiquée via le chemin d’accès /cginfra.

Créez une stratégie et un profil de demande de session Citrix Files

Configurez ces paramètres pour créer une stratégie et un profil de demande de session Citrix Files :

  1. Dans l’utilitaire de configuration de Citrix Gateway, dans le volet de navigation de gauche, cliquez sur NetScaler Gateway > Policies > Session.

  2. Créez une stratégie de session. Dans l’onglet Policies, cliquez sur Add.

  3. Dans le champ Name, tapez ShareFile_Policy.

  4. Créez une action en cliquant sur le bouton +. La page Create NetScaler Session Profile s’affiche.

    Écran du profil de session de Citrix Gateway

    Pour configurer ces paramètres :

    • Name : tapez ShareFile_Profile.
    • Cliquez sur l’onglet Client Experience, puis configurez les paramètres suivants :
      • Home Page : tapez none.
      • Session Time-out (mins) : tapez 1.
      • Single Sign-on to Web Applications : sélectionnez ce paramètre.
      • Credential Index : dans la liste, cliquez sur PRIMARY.
    • Cliquez sur l’onglet Published Applications.

    Écran du profil de session de Citrix Gateway

    Pour configurer ces paramètres :

    • Proxy ICA : dans la liste, cliquez sur ON.
    • Web Interface Address : entrez l’URL de votre serveur XenMobile.
    • Single Sign-on Domain : tapez votre nom de domaine Active Directory.

      Lors de la configuration du profil de session de Citrix Gateway, le suffixe de domaine pour Single Sign-on Domain doit correspondre à l’alias de domaine XenMobile défini dans LDAP.

  5. Cliquez sur Create pour définir le profil de session.

  6. Cliquez sur Expression Editor.

    Écran du profil de session de Citrix Gateway

    Pour configurer ces paramètres :

    • Value : tapez NSC_FSRD.
    • Header Name : tapez COOKIE.
  7. Cliquez sur Create, puis cliquez sur Close.

    Écran du profil de session de Citrix Gateway

Configurer des stratégies sur le serveur virtuel Citrix Gateway

Configurez les paramètres suivants sur le serveur virtuel Citrix Gateway.

  1. Dans l’utilitaire de configuration de Citrix Gateway, dans le volet de navigation de gauche, cliquez sur NetScaler Gateway > Virtual Servers.

  2. Dans le panneau Details, cliquez sur votre serveur virtuel Citrix Gateway.

  3. Cliquez sur Modifier.

  4. Cliquez sur Configured policies > Session policies, puis sur Add binding.

  5. Sélectionnez ShareFile_Policy.

  6. Modifiez le numéro de priorité (Priority) généré automatiquement pour la stratégie sélectionnée de manière à lui attribuer la priorité la plus élevée (le plus petit nombre) par rapport aux autres stratégies indiquées. Par exemple :

    Écran Policy Binding du serveur virtuel VPN

  7. Cliquez sur Done, puis enregistrez la configuration Citrix ADC actuelle.

Modifier les paramètres d’authentification unique de Citrix Files.com

Apportez les modifications suivantes pour les applications MDX et non-MDX Citrix Files.

Important :

Chaque fois que vous modifiez ou recréez l’application Citrix Files ou que vous modifiez les paramètres de Content Collaboration dans XenMobile, un nouveau numéro est ajouté au nom de l’application interne. Par conséquent, vous devez également mettre à jour l’URL de connexion dans le site Web Citrix Files pour refléter le nom d’application mis à jour.

Content Collaboration n’envoie plus d’en-tête de référent sur Chrome ou FireFox. Pour de plus amples informations, consultez la section Notes de publication, application Web ShareFile v19.17.

  1. Connectez-vous à votre compte Content Collaboration (https://<subdomain>.sharefile.com) en tant qu’administrateur Content Collaboration.

  2. Dans l’interface Web Content Collaboration, cliquez sur Admin, puis sélectionnez Configurer le Single Sign-On.

  3. Modifiez l’URL de connexion comme suit :

    Voici un exemple d’URL de connexion avant les modifications : https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Exemple d'URL de connexion

    • Insérez le nom de domaine complet (FQDN) externe du serveur virtuel de Citrix Gateway et /cginfra/https/ devant le nom de domaine complet de XenMobile Server, puis ajoutez 8443 après le nom de domaine complet de XenMobile.

      Voici un exemple d’URL modifiée: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=SHareFile_SAML_SP&reqtype=1

    • Remplacez le paramètre &app=ShareFile_SAML_SP par le nom de l’application Citrix Files interne. Le nom interne est ShareFile_SAML par défaut. Toutefois, chaque fois que vous modifiez votre configuration, un numéro est ajouté au nom interne (ShareFile_SAML_2, ShareFile_SAML_3, etc.). Vous pouvez rechercher le nom interne de l’application sur la page Configurer > ShareFile.

      Voici un exemple d’URL modifiée: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Ajoutez &nssso=true à la fin de l’URL.

      Voici un exemple de l’URL finale : https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. Sous Paramètres facultatifs, sélectionnez la case à cocher Activer l’authentification Web.

    Écran Paramètres facultatifs

Valider la configuration

Procédez comme suit pour valider la configuration.

  1. Pointez votre navigateur sur https://<subdomain>sharefile.com/saml/login.

    Vous êtes redirigé vers l’écran d’ouverture de session de Citrix Gateway. Si vous n’êtes pas redirigé, vérifiez les paramètres de configuration précédents.

  2. Entrez le nom d’utilisateur et le mot de passe pour l’environnement Citrix Gateway et XenMobile que vous avez configuré.

    Vos dossiers Citrix Files à l’adresse <subdomain>.sharefile.com s’affichent. Si vos dossiers Citrix Files n’apparaissent pas, assurez-vous que les informations d’identification saisies pour l’ouverture de session sont correctes.