Product Documentation

XenMobileおよびShareFileアプリでのSAMLを使用するシングルサインオンの構成

Oct 25, 2016

XenMobileとShareFileを構成し、セキュリティアサーションマークアップランゲージ(SAML)を使用して、MDXツールキットでラップされたShareFile Mobileアプリはもちろん、Webサイト、Outlook Plug-in、SyncクライアントなどのラップされていないShareFileクライアントへのシングルサインオンアクセス(SSO)を提供することができます。

  • ラップされているShareFileアプリの場合。 ShareFile Mobileアプリを介してShareFileにログオンするユーザーは、ユーザー認証のためにWorx Homeにリダイレクトされ、SAMLトークンを取得します。 認証が成功した後で、ShareFile MobileアプリからShareFileにSAMLトークンが送信されます。 最初のログオンの後は、ユーザーはSSOを介してShareFile Mobileアプリにアクセスし、毎回ログオンしなくてもWorxMailのメールにShareFileからドキュメントを添付できます。
  • ラップされていないShareFileクライアントの場合。 WebブラウザーまたはほかのShareFileクライアントを介してShareFileにログオンするユーザーは、ユーザー認証のためにXenMobileにリダイレクトされ、SAMLトークンを取得します。 認証が成功した後で、SAMLトークンがShareFileに送信されます。 最初のログオンの後は、毎回ログオンしなくてもユーザーはSSOを介してShareFileクライアントにアクセスできます。

リファレンスアーキテクチャ図について詳しくは、『XenMobile展開ハンドブック』の「オンプレミス展開のリファレンスアーキテクチャ」を参照してください。

前提条件

XenMobileおよびShareFileアプリにSSOを構成する前に、以下の前提条件を満たす必要があります。

  • MDX Toolkit Version 9.0.4移行(ShareFile Mobileアプリ用)
  • 適切なShareFile Mobileアプリ:
    • ShareFile for iPhone Version 3.0.x
    • ShareFile for iPad Version 2.2.x
    • ShareFile for Android Version 3.2.x
  • Worx Home 9.0(ShareFile Mobileアプリケーション用) - 必要に応じて、iOSまたはAndroidバージョンをインストールします。
  • ShareFile管理者アカウント

XenMobileおよびShareFileに接続できることを確認します。

ShareFileアクセスを構成する

ShareFileのためにSAMLを設定する前に、以下のようにShareFileアクセス情報を入力します。

1. XenMobile Webコンソールで、[Configure]の[ShareFile]をクリックします。 [ShareFile]構成ページが開きます。

localized image

2. 次の設定を構成します。

  • Domain:ShareFileサブドメイン名を入力します。たとえば、「example.sharefile.com」です。
  • Assign to delivery groups:ShareFileと共にSSOを使用するデリバリーグループを選択または検索します。
  • ShareFile Administrator Account Logon
    • User name:ShareFile管理者のユーザー名を入力します。 このユーザーには管理特権が必要です。
    • Password:ShareFile管理者のパスワードを入力します。
    • User account provisioning:XenMobileでユーザープロビジョニングを有効にする場合はこのオプションをオンにします。ユーザープロビジョニングにShareFile User Management Toolを使用する計画である場合は無効のままにします。

注:選択した役割にShareFileアカウントを持たないユーザーが含まれる場合も、[User account provisioning]が有効であればそのユーザーに自動的にShareFileアカウントがプロビジョニングされます。 構成をテストするために、メンバーが少ない役割を使用することをお勧めします。 これにより、多くのユーザーがShareFileアカウントを持たない可能性を避けることができます。

3. [Save]をクリックします。

ラップされたShareFile MDXアプリケーション用のSAMLの設定

以下の手順がiOSおよびAndroidのアプリおよびデバイスに当てはまります。

1. MDX ToolkitでShareFile Mobileアプリをラップします。 MDX Toolkitによるアプリのラップについて詳しくは、「MDX Toolkitによるアプリケーションのラップ」を参照してください。

2. XenMobileコンソールで、ラップされたShareFile Mobileアプリをアップロードします。 MDXアプリケーションのアップロードについて詳しくは、「MDXアプリケーションをXenMobileに追加するには」を参照してください。

3. 「ShareFileアクセスを構成する」で構成した管理者のユーザー名とパスワードでShareFileにログオンしてSAML設定を検証します。

4. ShareFileおよびXenMobileが同じタイムゾーンで構成されていることを確認します。

注:構成したタイムゾーンに関して、XenMobileに正しい時刻が表示されていることを確認します。 正しい時刻が表示されていない場合は、SSOエラーが発生している可能性があります。

ShareFile Mobileアプリを検証する

1. まだ行っていない場合は、ユーザーデバイスにWorx Homeをインストールして構成します。

2. Worx StoreからShareFile Mobileアプリをダウンロードしてインストールします。

3. ShareFile Mobileアプリを開始します。 ユーザー名やパスワードの入力を求められずにShareFileが開始されます。

WorxMailで検証する

1. まだ行っていない場合は、ユーザーデバイスにWorx Homeをインストールして構成します。

2. Worx StoreからWorxMailをダウンロード、インストール、および設定します。

3. 新規メールを開いて[ShareFileから添付]をタップします。 メールに添付できるファイルがユーザー名とパスワードを入力しなくても表示されます。

ほかのShareFileクライアントのためにNetScaler Gatewayを構成する

Webサイト、Outlook Plug-in、SyncクライアントなどのラップされていないShareFileクライアントへのアクセスを構成するには、以下のようにNetScaler Gatewayを構成して、SAML IDプロバイダーとしてのXenMobileの使用をサポートする必要があります。

  • ホームページのリダイレクトを無効にする。
  • ShareFileのセッションポリシーとプロファイルを作成する。
  • NetScaler Gateway仮想サーバーにポリシーを構成する。

ホームページのリダイレクトを無効にする

構成されたホームページの代わりに本来要求された内部URLをユーザーが見られるように、/cginfraパスから送られる要求に対するデフォルトの動作を無効にする必要があります。

1. XenMobileのログオンに使用されるNetScaler Gateway仮想サーバーの設定を編集します。 NetScaler 10.5で、[Other Settings]に移動して[Redirect to Home Page]チェックボックスをオフにします。

localized image

2. [ShareFile]の下にXenMobileの内部サーバー名およびポート番号を入力します。

3. [AppController]の下にXenMobileのURLを入力します。

この構成により、/cginfraパスを介して入力したURLに対する要求が承認されます。

ShareFileのセッションポリシーと要求プロファイルを作成する

以下の設定を構成してShareFileセッションポリシーと要求プロファイルを作成します。

1. NetScaler Gateway構成ユーティリティの左側のナビゲーションペインで、[NetScaler Gateway]、[Policies]、[Session]の順にクリックします。

2. 新しいセッションポリシーを作成します。 [Policies]タブで[Add]をクリックします。

3. [Name]ボックスに「ShareFile_Policy」と入力します。

4. [+]をクリックして新しい操作を作成します。 [Create NetScaler Gateway Session Profile]ページが開きます。 

localized image

次の設定を構成します。

  • Name:「ShareFile_Profile」と入力します。
  • [Client Experience]タブをクリックし、以下の設定を構成します。
    • Home Page:「none」と入力します。
    • Session Time-out (mins):「1」と入力します。
    • Single Sign-on to Web Applications:この設定を選択します。
    • Credential Index:一覧で[PRIMARY]をクリックします。
  • [Published Applications]タブをクリックします。
localized image

次の設定を構成します。

  • o   ICA Proxy:一覧で[ON]を選択します。
  • o   Web Interface Address:XenMobileサーバーのURLを入力します。
  • o   Single Sign-on Domain:Active Directoryドメイン名を入力します。

注:WNetScaler Gatewayセッションプロファイルを構成するとき、[Single Sign-on Domain]に入力するドメインサフィックスをLDAPに定義するXenMobileドメインエイリアスと一致させる必要があります。

5. [Create]をクリックしてセッションプロファイルを定義します。

6. [Expression Editor]をクリックします。

localized image

次の設定を構成します。

  • Value:「NSC_FSRD」と入力します。
  • Header Name:「COOKIE」と入力します。
  • [Done]をクリックします。

7. [Create]をクリックして[Close]をクリックします。

localized image

NetScaler Gateway仮想サーバーにポリシーを構成する

以下の設定をNetScaler Gateway仮想サーバーに構成します。

NetScaler Gateway構成ユーティリティの左側のナビゲーションペインで、[NetScaler Gateway]の[Virtual Servers]をクリックします。

2. [Details]ペインでNetScaler Gateway仮想サーバーをクリックします。

3. [Edit]をクリックします。

4. [Configured policies]の[Session policies]をクリックし、[Add binding]をクリックします。

5. [ShareFile_Policy]を選択します。

6. 以下の図に示すように、このポリシーの優先順位が一覧表示されるほかのポリシーよりも高くなるように、選択したポリシーに対して自動生成される[Priority]の番号を最も小さい数に変更します。

localized image

7. [Done]をクリックして、NetScaler構成を保存します。

非MDX ShareFileアプリに対してSAMLを構成する

以下の手順に従って、ShareFile構成のための内部アプリ名を見つけます。

1. 「https://:4443/OCA/admin/」にアクセスしてXenMobile管理ツールにログオンします。 「OCA」は必ず大文字で入力してください。

2. [View]の一覧で、[Configuration]をクリックします。

localized image

3. [Applications]の[Applications]をクリックし、[Display Name]が「ShareFile」のアプリの[Application Name]を記録します。

localized image

ShareFile.comのSSO設定を変更する

1. ShareFileアカウント(https://.sharefile.com)にShareFile管理者としてログオンします。

2. ShareFileのWebインターフェイスで[管理]をクリックし、[シングルサインオンの構成]を選択します。

3. [ログインURL]を以下のように編集します。

[ログインURL]は「https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1」のように表示されているはずです。

localized image
  • NetScaler Gateway仮想サーバーの外部FQDNおよび「/cginfra/https/」をXenMobileサーバーのFQDNの前に挿入し、XenMobileサーバーのFQDNの後に「8443」を追加します。

これで、URLは「https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1」のようになるはずです。

  • パラメーター&app=ShareFile_SAML_SPを、「非MDX ShareFileアプリに対してSAMLを構成する」の手順3で確認したShareFile内部アプリ名に変更します。 デフォルトで内部名は「ShareFile_SAML」ですが、構成を変更するたびに数字が内部名に付加されます(ShareFile_SAML_2、ShareFile_SAML_3など)。

これで、URLは「https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1」のようになるはずです。

  • 「&nssso=true」をURLの最後に追加します。

これで、変更したURLは「https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true」のようになるはずです。

重要:XenMobileコンソールでShareFileアプリを編集または再作成したりShareFile設定を変更したりするたびに、内部アプリ名に新しい番号が付加されます。これは、ShareFile WebサイトでログインURLも更新して、更新されたアプリ名を反映する必要があるということを意味します。

4. [オプション設定]の下の[Web認証の有効化]チェックボックスをオンにします。

localized image

構成を検証する

以下の操作を実行して構成を検証します。

1. ブラウザーでhttps://sharefile.com/saml/loginにアクセスします。

NetScaler Gatewayのログオンフォームにリダイレクトされます。 リダイレクトされない場合は前の構成設定を検証します。

2. NetScaler Gatewayおよび構成したXenMobile環境のユーザー名とパスワードを入力します。

.sharefile.comにあるShareFileフォルダーが表示されます。 ShareFileフォルダーが表示されない場合は、正しいログオン資格情報を入力したかどうか確認します。