SAML para logon único com o Citrix Files
Aviso Legal:
Este recurso será preterido se o ShareFile (agora Progress) descontinuar o suporte.
Você pode configurar o XenMobile® e o ShareFile para usar a Security Assertion Markup Language (SAML) para fornecer acesso de logon único (SSO) aos aplicativos móveis do Citrix Files. Esta funcionalidade inclui:
- Aplicativos Citrix Files habilitados para MAM SDK ou empacotados usando o MDX Toolkit
-
Clientes Citrix Files não empacotados, como o site, plug-in do Outlook ou clientes de sincronização
- Para aplicativos Citrix Files empacotados. Usuários que fazem logon no Citrix Files por meio do aplicativo móvel Citrix Files são redirecionados para o Secure Hub para autenticação de usuário e para adquirir um token SAML. Após a autenticação bem-sucedida, o aplicativo móvel Citrix Files envia o token SAML para o ShareFile. Após o logon inicial, os usuários podem acessar o aplicativo móvel Citrix Files por meio de SSO. Eles também podem anexar documentos do ShareFile a e-mails do Secure Mail sem fazer logon a cada vez.
- Para clientes Citrix Files não empacotados. Usuários que fazem logon no Citrix Files usando um navegador da web ou outro cliente Citrix Files são redirecionados para o XenMobile. O XenMobile autentica os usuários, que então adquirem um token SAML que é enviado para o ShareFile. Após o logon inicial, os usuários podem acessar os clientes Citrix Files por meio de SSO sem fazer logon a cada vez.
Para usar o XenMobile como um provedor de identidade SAML (IdP) para o ShareFile, você deve configurar o XenMobile para uso com contas Enterprise, conforme descrito neste artigo. Alternativamente, você pode configurar o XenMobile para funcionar apenas com conectores de zona de armazenamento. Para obter mais informações, consulte Usar o ShareFile com o XenMobile.
Para um diagrama de arquitetura de referência detalhado, consulte Arquitetura.
Pré-requisitos
Conclua os seguintes pré-requisitos antes de configurar o SSO com o XenMobile e os aplicativos Citrix Files:
-
O MAM SDK ou uma versão compatível do MDX Toolkit (para aplicativos móveis do Citrix Files).
Para obter mais informações, consulte Compatibilidade do XenMobile.
- Uma versão compatível dos aplicativos móveis do Citrix Files e do Secure Hub.
- Conta de administrador do ShareFile.
- Conectividade verificada entre o XenMobile e o ShareFile.
Configurar o acesso ao ShareFile
Antes de configurar o SAML para o ShareFile, forneça as informações de acesso ao ShareFile da seguinte forma:
-
No console da web do XenMobile, clique em “Configurar” > “ShareFile”. A página de configuração do “ShareFile” é exibida.
-
Configure estas definições:
-
Domínio: Digite o nome do seu subdomínio do ShareFile. Por exemplo:
example.sharefile.com. - Atribuir a grupos de entrega: Selecione ou pesquise os grupos de entrega que você deseja que possam usar o SSO com o ShareFile.
- Logon da Conta de Administrador do ShareFile
- Nome de usuário: Digite o nome de usuário do administrador do ShareFile. Este usuário deve ter privilégios de administrador.
- Senha: Digite a senha do administrador do ShareFile.
- Provisionamento de conta de usuário: Deixe esta configuração desabilitada. Use a Ferramenta de Gerenciamento de Usuários do ShareFile para provisionamento de usuários. Consulte Provisionar contas de usuário e grupos de distribuição.
-
Domínio: Digite o nome do seu subdomínio do ShareFile. Por exemplo:
-
Clique em “Testar Conexão” para verificar se o nome de usuário e a senha da conta de administrador do ShareFile autenticam na conta ShareFile especificada.
-
Clique em “Salvar”.
-
O XenMobile sincroniza com o ShareFile e atualiza as configurações do ShareFile “ShareFile Issuer/Entity ID” e “Login URL”.
-
A página “Configurar” > “ShareFile” mostra o “Nome interno do aplicativo”. Você precisará desse nome para concluir as etapas descritas posteriormente em Modificar as configurações de SSO do Citrix Files.com.
-
Configurar SAML para aplicativos MDX empacotados do Citrix Files
Você não precisa usar o Citrix Gateway para configuração de logon único com aplicativos MDX empacotados do Citrix Files. Para configurar o acesso para clientes Citrix Files não empacotados, como o site, plug-in do Outlook ou os clientes de sincronização, consulte Configurar o Citrix Gateway para Outros Clientes Citrix Files.
As etapas a seguir se aplicam a aplicativos e dispositivos iOS e Android. Para configurar o SAML para aplicativos MDX empacotados do Citrix Files:
-
Com o MDX Toolkit, empacote o aplicativo móvel Citrix Files. Para obter mais informações sobre como empacotar aplicativos com o MDX Toolkit, consulte Empacotar aplicativos com o MDX Toolkit.
-
No console do XenMobile, carregue o aplicativo móvel Citrix Files empacotado. Para obter informações sobre como carregar aplicativos MDX, consulte Para adicionar um aplicativo MDX ao XenMobile.
-
Verifique as configurações do SAML: Faça logon no ShareFile com o nome de usuário e a senha de administrador que você configurou anteriormente.
-
Verifique se o ShareFile e o XenMobile estão configurados para o mesmo fuso horário. Certifique-se de que o XenMobile mostre a hora correta para o fuso horário configurado. Caso contrário, o SSO pode falhar.
Validar o aplicativo móvel Citrix Files
-
No dispositivo do usuário, instale e configure o Secure Hub.
-
Na XenMobile Store, baixe e instale o aplicativo móvel Citrix Files.
-
Inicie o aplicativo móvel Citrix Files. O Citrix Files inicia sem solicitar nome de usuário ou senha.
Validar com o Secure Mail
-
No dispositivo do usuário, se ainda não tiver sido feito, instale e configure o Secure Hub.
-
Na XenMobile Store, baixe, instale e configure o Secure Mail.
-
Abra um novo formulário de e-mail e toque em “Anexar do Citrix Files”. Os arquivos disponíveis para anexar ao e-mail são mostrados sem pedir nome de usuário ou senha.
Configurar o Citrix Gateway para Outros Clientes Citrix Files
Para configurar o acesso para clientes Citrix Files não empacotados, como o site, plug-in do Outlook ou os clientes de sincronização: Configure o Citrix Gateway para suportar o uso do XenMobile como um provedor de identidade SAML da seguinte forma.
- Desabilitar o redirecionamento da página inicial.
- Criar uma política e perfil de sessão do Citrix Files.
- Configurar políticas no servidor virtual do Citrix Gateway.
Desabilitar o redirecionamento da página inicial
Desabilite o comportamento padrão para solicitações que vêm através do caminho /cginfra. Essa ação permite que os usuários vejam a URL interna original solicitada em vez da página inicial configurada.
-
Edite as configurações do servidor virtual do Citrix Gateway que é usado para logons do XenMobile. No Citrix ADC, vá para “Outras Configurações” e desmarque a caixa de seleção “Redirecionar para a Página Inicial”.
-
Em “ShareFile” (agora chamado ShareFile), digite o nome do seu servidor interno XenMobile e o número da porta.
-
Em “Citrix Endpoint Management™”, digite a URL do seu XenMobile. Sua versão do Citrix Gateway pode se referir ao nome do produto mais antigo AppController.
Esta configuração autoriza solicitações para a URL que você inseriu através do caminho /cginfra.
Criar uma política de sessão e perfil de solicitação do Citrix Files
Configure estas definições para criar uma política de sessão e perfil de solicitação do Citrix Files:
-
No utilitário de configuração do Citrix Gateway, no painel de navegação esquerdo, clique em “Citrix Gateway” > “Políticas” > “Sessão”.
-
Crie uma política de sessão. Na guia “Políticas”, clique em “Adicionar”.
-
No campo “Nome”, digite ShareFile_Policy.
-
Crie uma ação clicando no botão ”+”. A página “Criar Perfil de Sessão” é exibida.
Configure estas definições:
- Nome: Digite ShareFile_Profile.
- Clique na guia “Experiência do Cliente” e configure estas definições:
- Página Inicial: Digite none.
- Tempo Limite da Sessão (min): Digite 1.
- Logon Único para Aplicativos Web: Selecione esta configuração.
- Índice de Credenciais: Clique em “PRIMÁRIO”.
- Clique na guia “Aplicativos Publicados”.
Configure estas definições:
- Proxy ICA®: Clique em “ATIVADO”.
- Endereço da Interface Web: Digite a URL do seu XenMobile Server.
-
Domínio de Logon Único: Digite o nome do seu domínio do Active Directory.
Ao configurar o Perfil de Sessão do Citrix Gateway, o sufixo de domínio para “Domínio de Logon Único” deve corresponder ao alias de domínio do XenMobile definido no LDAP.
-
Clique em “Criar” para definir o perfil de sessão.
-
Clique em “Editor de Expressão”.
Configure estas definições:
- Valor: Digite NSC_FSRD.
- Nome do Cabeçalho: Digite COOKIE.
-
Clique em “Criar” e depois em “Fechar”.
Configurar políticas no servidor virtual do Citrix Gateway
Configure estas definições no servidor virtual do Citrix Gateway.
-
No utilitário de configuração do Citrix Gateway, no painel de navegação esquerdo, clique em “Citrix Gateway” > “Servidores Virtuais”.
-
No painel “Detalhes”, clique no seu servidor virtual do Citrix Gateway.
-
Clique em “Editar”.
-
Clique em “Políticas configuradas” > “Políticas de sessão” e depois clique em “Adicionar vinculação”.
-
Selecione ShareFile_Policy.
-
Edite o número de “Prioridade” gerado automaticamente para a política selecionada para que ela tenha a maior prioridade (o menor número) em relação a quaisquer outras políticas listadas. Por exemplo:
-
Clique em “Concluído” e salve a configuração em execução do Citrix ADC.
Modificar as configurações de SSO do Citrix Files.com
Faça as seguintes alterações para aplicativos Citrix Files MDX e não MDX.
Importante:
Um novo número é anexado ao nome interno do aplicativo:
- Cada vez que você edita ou recria o aplicativo Citrix Files
- Cada vez que você altera as configurações do ShareFile no XenMobile
Como resultado, você também deve atualizar a URL de Logon no site do Citrix Files para refletir o nome do aplicativo atualizado.
-
Faça logon na sua conta ShareFile (
https://<subdomain>.sharefile.com) como administrador do ShareFile. -
Na interface web do ShareFile, clique em “Admin” e selecione “Configurar Logon Único”.
-
Edite a “URL de Logon” da seguinte forma:
Aqui está uma amostra da “URL de Logon” antes das edições:
https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.
-
Insira o FQDN externo do servidor virtual do Citrix Gateway mais
/cginfra/https/na frente do FQDN do XenMobile Server e adicione 8443 após o FQDN do XenMobile.Aqui está uma amostra de uma URL editada:
https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=SHareFile_SAML_SP&reqtype=1 -
Altere o parâmetro
&app=ShareFile_SAML_SPpara o nome interno do aplicativo Citrix Files. O nome interno éShareFile_SAMLpor padrão. No entanto, cada vez que você altera sua configuração, um número é anexado ao nome interno (ShareFile_SAML_2,ShareFile_SAML_3, e assim por diante). Você pode consultar o “Nome interno do aplicativo” na página “Configurar” > “ShareFile”.Aqui está uma amostra de uma URL editada:
https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1 -
Adicione
&nssso=trueao final da URL.Aqui está uma amostra da URL final:
https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.
-
-
Em “Configurações Opcionais”, selecione a caixa de seleção “Habilitar Autenticação Web”.
Validar a configuração
Faça o seguinte para validar a configuração.
-
Aponte seu navegador para
https://<subdomain>sharefile.com/saml/login.Você será redirecionado para o formulário de logon do Citrix Gateway. Se você não for redirecionado, verifique as configurações anteriores.
-
Insira o nome de usuário e a senha para o ambiente Citrix Gateway e XenMobile que você configurou.
Suas pastas do Citrix Files em
<subdomain>.sharefile.comaparecem. Se você não vir suas pastas do Citrix Files, certifique-se de ter inserido as credenciais de logon corretas.