SAML pour l’authentification unique avec ShareFile

Vous pouvez configurer XenMobile et ShareFile pour utiliser SAML (Security Assertion Markup Language) afin de fournir l’accès SSO aux applications mobiles ShareFile. Cette fonctionnalité inclut les applications ShareFile qui sont wrappées avec le MDX toolkit et les clients ShareFile non wrappés, telles que le site web, le plug-in Outlook ou les clients de synchronisation.

  • Pour les applications ShareFile wrappées. Les utilisateurs qui ouvrent une session sur ShareFile via l’application mobile ShareFile sont redirigés vers Secure Hub pour l’authentification utilisateur et pour acquérir un jeton SAML. Une fois l’authentification réussie, l’application mobile ShareFile envoie le jeton SAML à ShareFile. Après l’ouverture de session initiale, les utilisateurs peuvent accéder à l’application mobile ShareFile via l’authentification unique. Ils peuvent également joindre des documents à partir de ShareFile à des messages Secure Mail sans ouvrir une session à chaque fois.
  • Pour les clients ShareFile non wrappés. Les utilisateurs qui ouvrent une session sur ShareFile à l’aide d’un navigateur Web ou d’un autre client ShareFile sont redirigés vers XenMobile. XenMobile authentifie les utilisateurs, qui acquièrent alors un jeton SAML qui est envoyé à ShareFile. Après la première ouverture de session, les utilisateurs peuvent accéder aux clients ShareFile via l’authentification unique sans ouvrir une session à chaque fois.

Pour utiliser XenMobile en tant que fournisseur d’identité SAML pour ShareFile, vous devez configurer XenMobile de manière à utiliser ShareFile Enterprise, comme décrit dans cet article. Vous pouvez également configurer XenMobile pour fonctionner uniquement avec des connecteurs StorageZone. Pour plus d’informations, consultez la section Utilisation de ShareFile avec XenMobile.

Pour un diagramme d’architecture de référence détaillé, voir Architecture.

Conditions préalables

Vous devez remplir les conditions suivantes pour pouvoir configurer l’authentification unique avec les applications XenMobile et ShareFile :

  • MDX Service ou une version compatible de l’outil MDX Toolkit (pour les applications mobiles ShareFile)

    Pour de plus amples informations, consultez la section Compatibilité XenMobile.

  • Une version compatible de Secure Hub et des applications mobiles ShareFile
  • Compte d’administrateur ShareFile.
  • Connexion vérifiée entre XenMobile et ShareFile.

Configurer l’accès à ShareFile

Avant de configurer SAML pour ShareFile, indiquez les informations d’accès à ShareFile comme suit :

  1. Dans la console Web XenMobile, cliquez sur Configurer > ShareFile. La page de configuration de ShareFile s’affiche.

    Image de l'écran de configuration de ShareFile

  2. Pour configurer ces paramètres :

    • Domaine : entrez votre nom de sous-domaine ShareFile. Par exemple : example.sharefile.com.
    • Attribuer aux groupes de mise à disposition : sélectionnez ou recherchez les groupes de mise à disposition dont vous souhaitez qu’ils puissent utiliser l’authentification unique avec ShareFile.
    • Connexion au compte administrateur ShareFile
    • Nom d’utilisateur : tapez le nom d’utilisateur administrateur ShareFile. Cet utilisateur doit disposer des privilèges d’administrateur.
    • Mot de passe : tapez le mot de passe d’administrateur ShareFile.
    • Provisionnement du compte utilisateur : pour activer le provisionnement utilisateur dans XenMobile, activez ce paramètre. Pour utiliser l’outil de gestion des utilisateurs ShareFile pour provisionner des utilisateurs, désactivez ce paramètre.

    Remarque :

    Si un utilisateur sans compte ShareFile est inclus dans les rôles sélectionnés et que vous activez le Provisioning du compte utilisateur, XenMobile provisionne automatiquement un compte ShareFile pour cet utilisateur. Citrix vous recommande d’utiliser un rôle contenant peu de membres pour tester la configuration. Cela permet d’éviter qu’un grand nombre d’utilisateurs ne disposent pas d’un compte ShareFile.

  3. Cliquez sur Tester la connexion pour vérifier que le nom d’utilisateur et le mot de passe du compte d’administrateur ShareFile s’authentifient sur le compte ShareFile spécifié.

  4. Cliquez sur Enregistrer. XenMobile se synchronise avec ShareFile et met à jour les paramètres ShareFile ID d’émetteur/d’entité ShareFile et URL de connexion.

Configurer SAML pour les applications ShareFile MDX wrappées

Les étapes suivantes s’appliquent aux applications et appareils iOS et Android.

  1. À l’aide du MDX Toolkit, wrappez l’application mobile ShareFile. Pour de plus amples informations sur le wrapping d’applications avec le MDX Toolkit, consultez la section Wrapping d’applications avec le MDX Toolkit.

  2. Dans la console XenMobile, chargez l’application mobile ShareFile wrappée. Pour plus d’informations sur le chargement des applications MDX, consultez la section Pour ajouter une application MDX à XenMobile.

  3. Vérifiez les paramètres SAML : ouvrez une session sur ShareFile avec le nom d’utilisateur et le mot de passe administrateur que vous avez configurés ci-dessus.

  4. Assurez-vous que le même fuseau horaire est configuré pour ShareFile et XenMobile. Assurez-vous que XenMobile indique l’heure appropriée par rapport au fuseau horaire configuré. Sinon, l’authentification unique peut échouer.

Valider l’application mobile ShareFile

  1. Sur la machine utilisateur, installez et configurez Secure Hub.

  2. À partir de XenMobile Store, téléchargez et installez l’application mobile ShareFile.

  3. Démarrez l’application mobile ShareFile. ShareFile démarre sans vous inviter à saisir un nom d’utilisateur ou un mot de passe.

Valider avec Secure Mail

  1. Sur la machine utilisateur, si cela n’a pas déjà été fait, installez et configurez Secure Hub.

  2. À partir de XenMobile Store, téléchargez, installez et configurez Secure Mail.

  3. Ouvrez un nouveau formulaire électronique et appuyez sur Joindre à partir de ShareFile. Les fichiers pouvant être joints à l’e-mail sont affichés sans vous inviter à saisir un nom d’utilisateur ou un mot de passe.

Configurer NetScaler Gateway pour les autres clients ShareFile

Pour configurer l’accès des clients ShareFile non wrappés, tels que le site Web, le plug-in Outlook ou les clients de synchronisation, vous devez configurer NetScaler Gateway pour prendre en charge l’utilisation de XenMobile en tant que fournisseur d’identité SAML de la manière suivante.

  • Désactivez la redirection vers la page d’accueil.
  • Créez une stratégie et un profil de session ShareFile.
  • Configurez des stratégies sur le serveur virtuel NetScaler Gateway.

Désactiver la redirection vers la page d’accueil

Désactivez le comportement par défaut pour les demandes qui passent par le chemin / cginfra. Cette action permet aux utilisateurs de voir l’URL interne demandée à la place de la page d’accueil configurée.

  1. Modifiez les paramètres du serveur virtuel NetScaler Gateway qui est utilisé pour les ouvertures de session XenMobile. Dans NetScaler, cliquez sur Other Settings, puis désactivez la case à cocher intitulée Redirect to Home Page.

    Image de l'écran de NetScaler

  2. Sous ShareFile, tapez le nom de votre serveur interne XenMobile et le numéro de port.

  3. Sous AppController, tapez l’URL de votre serveur XenMobile.

    Cette configuration autorise les demandes pour l’URL indiquée via le chemin d’accès /cginfra.

Créer une stratégie et un profil de demande de session ShareFile

Configurez ces paramètres pour créer une stratégie et un profil de demande de session ShareFile :

  1. Dans l’utilitaire de configuration de NetScaler Gateway, dans le volet de navigation de gauche, cliquez sur NetScaler Gateway > Policies > Session.

  2. Créez une stratégie de session. Dans l’onglet Policies, cliquez sur Add.

  3. Dans le champ Name, tapez ShareFile_Policy.

  4. Créez une action en cliquant sur le bouton +. La page Create NetScaler Gateway Session Profile s’affiche.

    Image de l'écran du profil de session de NetScaler Gateway

    Pour configurer ces paramètres :

    • Name : tapez ShareFile_Profile.
    • Cliquez sur l’onglet Client Experience, puis configurez les paramètres suivants :
      • Home Page : tapez none.
      • Session Time-out (mins) : tapez 1.
      • Single Sign-on to Web Applications : sélectionnez ce paramètre.
      • Credential Index : dans la liste, cliquez sur PRIMARY.
    • Cliquez sur l’onglet Published Applications.

    Image de l'écran du profil de session de NetScaler Gateway

    Pour configurer ces paramètres :

    • Proxy ICA : dans la liste, cliquez sur ON.
    • Web Interface Address : entrez l’URL de votre serveur XenMobile.
    • Single Sign-on Domain : tapez votre nom de domaine Active Directory.

      Lors de la configuration du profil de session de NetScaler Gateway, le suffixe de domaine pour Single Sign-on Domain doit correspondre à l’alias de domaine XenMobile défini dans LDAP.

  5. Cliquez sur Create pour définir le profil de session.

  6. Cliquez sur Expression Editor.

    Image de l'écran du profil de session de NetScaler Gateway

    Pour configurer ces paramètres :

    • Value : tapez NSC_FSRD.
    • Header Name : tapez COOKIE.
  7. Cliquez sur Create, puis cliquez sur Close.

    Image de l'écran du profil de session de NetScaler Gateway

Configurer des stratégies sur le serveur virtuel NetScaler Gateway

Configurez les paramètres suivants sur le serveur virtuel NetScaler Gateway.

  1. Dans l’utilitaire de configuration de NetScaler Gateway, dans le volet de navigation de gauche, cliquez sur NetScaler Gateway > Virtual Servers.

  2. Dans le panneau Details, cliquez sur votre serveur virtuel NetScaler Gateway.

  3. Cliquez sur Edit.

  4. Cliquez sur Configured policies > Session policies, puis sur Add binding.

  5. Sélectionnez ShareFile_Policy.

  6. Modifiez le numéro de priorité (Priority) généré automatiquement pour la stratégie sélectionnée de manière à lui attribuer la priorité la plus élevée (le plus petit nombre) par rapport aux autres stratégies indiquées. Par exemple :

    Image de l'écran Policy Binding du serveur virtuel VPN

  7. Cliquez sur Done, puis enregistrez la configuration NetScaler actuelle.

Configurer SAML pour les applications ShareFile non MDX

Procédez comme suit pour trouver le nom d’application interne pour votre configuration de ShareFile.

  1. Ouvrez une session sur l’outil d’administration de XenMobile en accédant à la page suivante https://<XenMobile server>:4443/OCA/admin/. Assurez-vous de saisir « OCA » en majuscules.

  2. Dans la liste View, cliquez sur Configuration.

    Image de l'écran d'ouverture de session de l'administrateur

  3. Cliquez sur Applications > Applications et notez le nom de l’application (Application Name) correspondant à l’application avec le nom d’affichage (Display Name) ShareFile.

    Image de l'écran Applications gérées

Modifier les paramètres d’authentification unique de ShareFile.com

Apportez les modifications suivantes pour les applications MDX et non-MDX ShareFile.

Important :

Chaque fois que vous modifiez ou recréez l’application ShareFile ou que vous modifiez les paramètres de ShareFile dans XenMobile, un nouveau numéro est ajouté au nom de l’application interne. Par conséquent, vous devez également mettre à jour l’URL de connexion dans le site Web ShareFile pour refléter le nom d’application mis à jour.

  1. Ouvrez une session sur votre compte ShareFile (https://<subdomain>.sharefile.com) en tant qu’administrateur.

  2. Dans l’interface Web ShareFile, cliquez sur Admin, puis sélectionnez Configurer le Single Sign-On.

  3. Modifiez URL de connexion comme suit :

    Voici un exemple d’URL de connexion avant les modifications : https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Image de l'exemple d'URL de connexion

    • Insérez le nom de domaine complet (FQDN) externe du serveur virtuel de NetScaler Gateway et /cginfra/https/ devant le nom de domaine complet de XenMobile Server, puis ajoutez 8443 après le nom de domaine complet de XenMobile.

      Voici un exemple d’URL modifiée: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    • Remplacez le paramètre &app=ShareFile_SAML_SP par le nom de l’application ShareFile interne. Le nom interne est ShareFile_SAML par défaut. Toutefois, chaque fois que vous modifiez votre configuration, un numéro est ajouté au nom interne (ShareFile_SAML_2, ShareFile_SAML_3, etc.).

      Voici un exemple d’URL modifiée: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Ajoutez &nssso=true à la fin de l’URL.

      Voici un exemple de l’URL finale : https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. Sous Paramètres facultatifs, sélectionnez la case à cocher Activer l’authentification Web.

    Écran des paramètres facultatifs

Valider la configuration

Procédez comme suit pour valider la configuration.

  1. Pointez votre navigateur sur https://<subdomain>sharefile.com/saml/login.

    Vous êtes redirigé vers l’écran d’ouverture de session de NetScaler Gateway. Si vous n’êtes pas redirigé, vérifiez les paramètres de configuration précédents.

  2. Entrez le nom d’utilisateur et le mot de passe pour l’environnement NetScaler Gateway et XenMobile que vous avez configuré.

    Vos dossiers ShareFile sur <subdomain>.sharefile.com apparaissent. Si vos dossiers ShareFile n’apparaissent pas, assurez-vous que les informations d’identification saisies pour l’ouverture de session sont correctes.