SAML para login único com o ShareFile

Você pode configurar o XenMobile e o ShareFile para usar a SAML (Security Assertion Markup Language) para fornecer acesso via logon único (SSO) a aplicativos do ShareFile Mobile. Essa funcionalidade inclui aplicativos do ShareFile preparados com o MDX Toolkit e clientes ShareFile não preparados, como o site da Web, o plug-in do Outlook ou os clientes de sincronização.

  • Para aplicativos ShareFile preparados. Os usuários que fazem login no ShareFile por meio do aplicativo móvel do ShareFile são redirecionados para o Secure Hub para autenticação do usuário e para obter um token SAML. Após a autenticação bem-sucedida, o aplicativo móvel do ShareFile envia o token SAML para o ShareFile. Após o logon inicial, os usuários podem acessar o aplicativo móvel do ShareFile por meio de SSO. Eles também podem anexar documentos do ShareFile a emails do Secure Mail sem fazer login todas as vezes.
  • Para clientes ShareFile não preparados. Os usuários que fazem login no ShareFile usando um navegador da Web ou outro cliente ShareFile são redirecionados para o XenMobile. O XenMobile autentica os usuários, que então adquirem um token SAML que é enviado para o ShareFile. Após o login inicial, os usuários podem acessar os clientes ShareFile por meio de SSO sem fazer login toda vez.

Para usar o XenMobile como um provedor de identidade de SAML (IdP) para o ShareFile, você deve configurar o XenMobile para usar o ShareFile Enterprise, conforme descrito neste artigo. Como alternativa, você pode configurar o XenMobile para funcionar apenas com os StorageZone Connectors. Para obter mais informações, consulte Uso do ShareFile com o XenMobile.

Para um diagrama da arquitetura de referência detalhada, consulte Arquitetura.

Pré-requisitos

Conclua os pré-requisitos antes de configurar o SSO com aplicativos XenMobile e ShareFile:

  • O MDX Service ou uma versão compatível do MDX Toolkit (para aplicativos do ShareFile Mobile).

    Para obter mais informações, consulte Compatibilidade com o XenMobile.

  • Uma versão compatível de aplicativos do ShareFile Mobile e do Secure Hub.
  • Conta de administrador do ShareFile.
  • Conectividade verificada entre o XenMobile e o ShareFile.

Configurar o acesso ao ShareFile

Antes de configurar SAML para ShareFile, forneça as informações de acesso ao ShareFile da seguinte maneira:

  1. No console da Web do XenMobile, clique em Configurar > ShareFile. A página de configuração do ShareFile é exibida.

    Imagem da tela de configuração do ShareFile

  2. Defina estas configurações:

    • Domínio: digite seu nome de subdomínio do ShareFile. Por exemplo: example.sharefile.com.
    • Atribuir a grupos de entrega: selecione ou pesquise os grupos de entrega nos quais você deseja usar o SSO com o ShareFile.
    • Login de conta de administrador do ShareFile
    • Nome de usuário: digite o nome de usuário do administrador do ShareFile. Esse usuário deve ter privilégios de administrador.
    • Senha: digite a senha de administrador do ShareFile.
    • Provisionamento de conta de usuário: para habilitar o provisionamento de usuário no XenMobile, ative essa configuração. Para usar a ShareFile User Management Tool para provisionamento de usuários, deixe esta configuração desabilitada.

    Nota:

    Se um usuário sem uma conta do ShareFile for incluído nas funções selecionadas, e você habilitar o Provisionamento de conta de usuário, o XenMobile provisionará automaticamente uma conta do ShareFile para o usuário. A Citrix recomenda que você use uma função com uma pequena associação para testar a configuração. Isso evita a presença de muitos usuários sem contas do ShareFile.

  3. Clique em Testar conexão para verificar se o nome de usuário e a senha para a conta de administrador do ShareFile autenticam a conta especificada do ShareFile.

  4. Clique em Salvar. O XenMobile sincroniza com o ShareFile e atualiza as configurações do ShareFile Emissor de ShareFile/ID de entidade e URL de Login.

Configurar SAML para aplicativos ShareFile MDX preparados

As etapas a seguir se aplicam aos aplicativos e dispositivos iOS e Android.

  1. Com o MDX Toolkit, prepare o aplicativo do ShareFile Mobile. Para obter mais informações sobre como preparar aplicativos com o MDX Toolkit, consulte Preparação de aplicativos com o MDX Toolkit.

  2. No console XenMobile, carregue o aplicativo preparado do ShareFile Mobile. Para obter informações sobre como carregar aplicativos MDX, consulte Para adicionar um aplicativo MDX ao XenMobile.

  3. Verifique as configurações de SAML: faça login no ShareFile com o nome de usuário e a senha do administrador que você configurou acima.

  4. Verifique se o ShareFile e o XenMobile estão configurados para o mesmo fuso horário. Certifique-se de que o XenMobile mostre a hora correta para o fuso horário configurado. Caso contrário, o SSO pode falhar.

Validar o aplicativo móvel do ShareFile

  1. No dispositivo do usuário, instale e configure o Secure Hub.

  2. Na XenMobile Store, baixe e instale o aplicativo do ShareFile Mobile.

  3. Inicie o aplicativo do ShareFile Mobile. O ShareFile é iniciado sem a necessidade de informar o nome do usuário ou a senha.

Validar com Secure Mail

  1. No dispositivo do usuário, caso ainda não tenha sido feito, instale e configure o Secure Hub.

  2. Na XenMobile Store, baixe, instale e configure o Secure Mail.

  3. Abra um novo formulário de email e toque em Anexar do ShareFile. Os arquivos disponíveis para serem anexados ao email são mostrados sem a necessidade de informar nome do usuário ou senha.

Configurar o NetScaler Gateway para outros clientes do ShareFile

Para configurar o acesso aos clientes do ShareFile não preparados, como site da Web, plug-in do Outlook ou clientes de sincronização, configure o NetScaler Gateway para dar suporte ao uso do XenMobile como um provedor de identidade SAML da seguinte maneira:

  • Desative o redirecionamento de página inicial.
  • Crie uma política de sessão e um perfil do ShareFile.
  • Configure políticas no servidor virtual do NetScaler Gateway.

Desative o redirecionamento de página inicial

Desative o comportamento padrão para solicitações que chegam pelo caminho /cginfra. Essa ação permite que os usuários vejam a URL interna solicitada original em vez da página inicial configurada.

  1. Edite as configurações do servidor virtual do NetScaler Gateway usado para logins no XenMobile. No NetScaler, acesse Other Settings e desmarque a caixa de seleção Redirect to Home Page.

    Imagem da tela do NetScaler

  2. Em ShareFile, digite o nome e o número da porta do servidor interno do XenMobile.

  3. Em AppController, digite sua URL do XenMobile.

    Essa configuração autoriza as solicitações da URL inserida por meio do caminho /cginfra.

Criar uma política de sessão e um perfil de solicitação do ShareFile

Defina estas configurações para criar uma política de sessão e um perfil de solicitação do ShareFile:

  1. No utilitário de configuração do NetScaler Gateway, no painel de navegação esquerdo, clique em NetScaler Gateway > Policies > Session.

  2. Crie uma política de sessão. Na guia Policies, clique em Add.

  3. No campo Name, digite ShareFile_Policy.

  4. Crie uma ação clicando no botão +. A página Create NetScaler Gateway Session Profile é exibida.

    Imagem da tela do perfil da sessão do NetScaler Gateway

    Defina estas configurações:

    • Name: digite ShareFile_Profile.
    • Clique na guia Client Experience e defina estas configurações:
      • Home Page: digite none.
      • Session Time-out (mins): digite 1.
      • Single Sign-on to Web Applications: selecione esta configuração.
      • Credential Index: clique em PRIMARY.
    • Clique na guia Published Applications.

    Imagem da tela do perfil da sessão do NetScaler Gateway

    Defina estas configurações:

    • ICA Proxy: clique em ON.
    • Web Interface Address: digite sua URL do XenMobile Server.
    • Single Sign-on Domain: digite o nome do domínio do Active Directory.

      Durante a configuração do NetScaler Gateway Session Profile, o sufixo de domínio para Single Sign-on Domain deve corresponder ao alias de domínio do XenMobile definido no LDAP.

  5. Clique em Create para definir o perfil de sessão.

  6. Clique em Expression Editor.

    Imagem da tela do perfil da sessão do NetScaler Gateway

    Defina estas configurações:

    • Value: digite NSC_FSRD.
    • Header Name: digite COOKIE.
  7. Clique em Create e em Close.

    Imagem da tela do perfil da sessão do NetScaler Gateway

Configure políticas no servidor virtual do NetScaler Gateway

Defina estas configurações no servidor virtual do NetScaler Gateway.

  1. No utilitário de configuração do NetScaler Gateway, no painel de navegação esquerdo, clique em NetScaler Gateway > Virtual Servers.

  2. No painel Details, clique em seu servidor virtual do NetScaler Gateway.

  3. Clique em Edit.

  4. Clique em Configured policies > Session policies e em Add binding.

  5. Selecione ShareFile_Policy.

  6. Edite o número de Priority gerado automaticamente para a política selecionada, para que ele tenha a prioridade mais alta (o menor número) em relação às outras políticas listadas. Por exemplo:

    Imagem da tela de vinculação da política de sessão do servidor virtual de VPN

  7. Clique em Done e salve a configuração do NetScaler em execução.

Configurar SAML para aplicativos ShareFile não MDX

Use as etapas abaixo para encontrar o nome do aplicativo interno para sua configuração do ShareFile.

  1. Faça login na ferramenta de administrador do XenMobile usando a URL https://<XenMobile server>:4443/OCA/admin/. Não se esqueça de inserir “OCA” em letras maiúsculas.

  2. Na lista Exibir, clique em Configuração.

    Imagem da tela de login do administrador

  3. Clique em Aplicativos > Aplicativos e anote o Nome do aplicativo com o Nome de exibição ShareFile.

    Imagem da tela Aplicativos gerenciados

Modificar as configurações de SSO do ShareFile.com

Faça as seguintes alterações para aplicativos ShareFile MDX e não-MDX.

Importante:

Toda vez que você edita ou recria o aplicativo ShareFile ou altera as configurações do ShareFile no XenMobile, um novo número é anexado ao nome do aplicativo interno. Como resultado, você também deve atualizar a URL de Login no site do ShareFile para refletir o nome do aplicativo atualizado.

  1. Faça login na sua conta do ShareFile (https://<subdomain>.sharefile.com) como administrador do ShareFile.

  2. Na interface da Web do ShareFile, clique em Administrador e selecione Configurar logon único.

  3. Edite a URL de login da seguinte maneira:

    Aqui está um exemplo de URL de login antes das edições: https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Imagem da URL de login de amostra

    • Insira o FQDN externo do servidor virtual do NetScaler Gateway mais /cginfra/https/ na frente do FQDN do XenMobile Server e adicione 8443 após o FQDN do XenMobile.

      Aqui está uma amostra de uma URL editada: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    • Altere o parâmetro &app=ShareFile_SAML_SP para o nome do aplicativo interno do ShareFile. O nome interno é ShareFile_SAML por padrão. No entanto, toda vez que você altera sua configuração, um número é anexado ao nome interno (ShareFile_SAML_2, ShareFile_SAML_3 e assim por diante).

      Aqui está uma amostra de um URL editado: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Adicione &nssso=true ao final da URL.

      Aqui está uma amostra da URL final: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. Em Configurações opcionais, marque a caixa de seleção Ativar autenticação da Web.

    Imagem da tela de configurações opcionais

Validar a configuração

Siga os procedimentos a seguir para validar a configuração.

  1. Aponte seu navegador para https://<subdomain>sharefile.com/saml/login.

    Você será redirecionado para o formulário de logon do NetScaler Gateway. Se você não for redirecionado, verifique as definições de configuração anteriores.

  2. Insira o nome do usuário e a senha do NetScaler Gateway e do ambiente do XenMobile configurado.

    Suas pastas do ShareFile em <subdomain>.sharefile.com aparecem. Se você não vir as pastas do ShareFile, verifique se inseriu as credenciais de login corretas.