SAML para logon único com Citrix Files

Você pode configurar o XenMobile e o Citrix Content Collaboration para usar SAML (Security Assertion Markup Language) para fornecer acesso via logon único (SSO) a aplicativos móveis do Citrix Files. Essa funcionalidade inclui aplicativos do Citrix Files preparados com o MDX Toolkit e clientes Citrix Files não preparados, como o site da Web, o plug-in do Outlook ou os clientes de sincronização.

  • Para aplicativos Citrix Files preparados. Os usuários que fazem login no Citrix Files por meio do aplicativo móvel do Citrix Files são redirecionados para o Secure Hub para autenticação do usuário e para obter um token SAML. Após a autenticação bem-sucedida, o aplicativo móvel do Citrix Files envia o token SAML para o Content Collaboration. Após o logon inicial, os usuários podem acessar o aplicativo móvel do Citrix Files por meio de SSO. Eles também podem anexar documentos do Content Collaboration a emails do Secure Mail sem fazer login todas as vezes.
  • Para clientes Citrix Files não preparados. Os usuários que fazem login no Citrix Files usando um navegador da Web ou outro cliente Citrix Files são redirecionados para o XenMobile. O XenMobile autentica os usuários, que então adquirem um token SAML que é enviado para o Content Collaboration. Após o login inicial, os usuários podem acessar os clientes Citrix Files por meio de SSO sem fazer login toda vez.

Para usar o XenMobile como um provedor de identidade de SAML (IdP) para o Content Collaboration, você deve configurar o XenMobile para usar com contas da empresa, conforme descrito neste artigo. Como alternativa, você pode configurar o XenMobile para funcionar apenas com conectores de zona de armazenamento. Para obter mais informações, consulte Usar Citrix Content Collaboration com XenMobile.

Para um diagrama da arquitetura de referência detalhada, consulte Arquitetura.

Pré-requisitos

Conclua os pré-requisitos antes de configurar o SSO com aplicativos Citrix Files e XenMobile:

  • O MDX Service ou uma versão compatível do MDX Toolkit (para aplicativos móveis do Citrix Files).

    Para obter mais informações, consulte Compatibilidade do XenMobile.

  • Uma versão compatível de aplicativos móveis do Citrix Files e Secure Hub.
  • Conta de administrador do Content Collaboration.
  • Conectividade verificada entre o XenMobile e o Content Collaboration.

Configurar acesso ao Content Collaboration

Antes de configurar o SAML para Content Collaboration, forneça as informações de acesso ao Content Collaboration da seguinte forma:

  1. No console da Web do XenMobile, clique em Configurar > ShareFile. A página de configuração do ShareFile é exibida. Seu console pode mostrar o termo Content Collaboration em vez de ShareFile.

    Configurações do Content Collaboration

  2. Defina estas configurações:

    • Domínio: digite o nome do subdomínio do Content Collaboration. Por exemplo: example.sharefile.com.
    • Atribuir a grupos de entrega: selecione ou pesquise os grupos de entrega nos quais você deseja usar o SSO com o Content Collaboration.
    • Login de conta de administrador do ShareFile
    • Nome do usuário: digite o nome de usuário do administrador do Content Collaboration. Esse usuário deve ter privilégios de administrador.
    • Senha: digite a senha do administrador do Content Collaboration.
    • Provisionamento de conta de usuário: para habilitar o provisionamento de usuário no XenMobile, ative essa configuração. Para usar a Content Collaboration User Management Tool para provisionamento de usuários, deixe esta configuração desabilitada.

    Nota:

    Se um usuário sem uma conta do Content Collaboration for incluído nas funções selecionadas, e você habilitar o Provisionamento de conta de usuário, o XenMobile provisionará automaticamente uma conta do Content Collaboration para o usuário. A Citrix recomenda que você use uma função com uma pequena associação para testar a configuração. Isso evita a presença de muitos usuários sem contas do Content Collaboration.

  3. Clique em Testar conexão para verificar se o nome de usuário e a senha para a conta de administrador do Content Collaboration autenticam a conta especificada do Content Collaboration.

  4. Clique em Salvar.

    • O XenMobile sincroniza com o Content Collaboration e atualiza as configurações do Content Collaboration Emissor de ShareFile/ID de entidade e URL de Login.

    • A página Configurar > ShareFile mostra o Nome interno do aplicativo. Você precisa desse nome para concluir as etapas descritas posteriormente em Modificar as configurações de SSO do Citrix Files.com.

Configurar SAML para aplicativos Citrix Files MDX preparados

As etapas a seguir se aplicam aos aplicativos e dispositivos iOS e Android.

  1. Com o MDX Toolkit, prepare o aplicativo móvel do Citrix Files. Para obter mais informações sobre como preparar aplicativos com o MDX Toolkit, consulte Preparação de aplicativos com o MDX Toolkit.

  2. No console XenMobile, carregue o aplicativo móvel preparado do Citrix Files. Para obter informações sobre como carregar aplicativos MDX, consulte Para adicionar um aplicativo MDX ao XenMobile.

  3. Verifique as configurações de SAML: faça login no Content Collaboration com o nome de usuário e a senha de administrador que você configurou acima.

  4. Verifique se o Content Collaboration e o XenMobile estão configurados para o mesmo fuso horário. Certifique-se de que o XenMobile mostre a hora correta para o fuso horário configurado. Caso contrário, o SSO pode falhar.

Validar o aplicativo móvel do Citrix Files

  1. No dispositivo do usuário, instale e configure o Secure Hub.

  2. Na XenMobile Store, baixe e instale o aplicativo móvel do Citrix Files.

  3. Inicie o aplicativo móvel do Citrix Files. O Citrix Files é iniciado sem solicitar nome de usuário ou senha.

Validar com Secure Mail

  1. No dispositivo do usuário, caso ainda não tenha sido feito, instale e configure o Secure Hub.

  2. Na XenMobile Store, baixe, instale e configure o Secure Mail.

  3. Abra um novo formulário de email e toque em Anexar do Citrix Files. Os arquivos disponíveis para serem anexados ao email são mostrados sem a necessidade de informar nome do usuário ou senha.

Configurar o Citrix Gateway para outros clientes Citrix Gateway

Para configurar o acesso aos clientes do Citrix Files não preparados, como site da Web, plug-in do Outlook ou clientes de sincronização, configure o Citrix Gateway para dar suporte ao uso do XenMobile como um provedor de identidade SAML da maneira a seguir.

  • Desative o redirecionamento de página inicial.
  • Crie um perfil e uma política de sessão Citrix Files.
  • Configure políticas no servidor virtual do Citrix Gateway.

Desative o redirecionamento de página inicial

Desative o comportamento padrão para solicitações que chegam pelo caminho /cginfra. Essa ação permite que os usuários vejam a URL interna solicitada original em vez da página inicial configurada.

  1. Edite as configurações do servidor virtual do Citrix Gateway usado para logins no XenMobile. No Citrix ADC, acesse Other Settings e desmarque a caixa de seleção Redirect to Home Page.

    Tela do Citrix ADC

  2. Em ShareFile (agora chamado de Content Collaboration), digite o nome e o número da porta do servidor interno do XenMobile.

  3. Em Citrix Endpoint Management, digite sua URL do XenMobile. Sua versão do Citrix Gateway pode se referir ao nome de produto mais antigo, App Controller.

    Essa configuração autoriza as solicitações da URL inserida por meio do caminho /cginfra.

Criar uma política de sessão e um perfil de solicitação do Citrix Files

Defina estas configurações para criar uma política de sessão e um perfil de solicitação do Citrix Files:

  1. No utilitário de configuração do Citrix Gateway, no painel de navegação esquerdo, clique em NetScaler Gateway > Policies > Session.

  2. Crie uma política de sessão. Na guia Policies, clique em Add.

  3. No campo Name, digite ShareFile_Policy.

  4. Crie uma ação clicando no botão +. A página Create NetScaler Session Profile é exibida.

    Tela de perfil de sessão do Citrix Gateway

    Defina estas configurações:

    • Name: digite ShareFile_Profile.
    • Clique na guia Client Experience e defina estas configurações:
      • Home Page: digite none.
      • Session Time-out (mins): digite 1.
      • Single Sign-on to Web Applications: selecione esta configuração.
      • Credential Index: clique em PRIMARY.
    • Clique na guia Published Applications.

    Tela de perfil de sessão do Citrix Gateway

    Defina estas configurações:

    • ICA Proxy: clique em ON.
    • Web Interface Address: digite sua URL do XenMobile Server.
    • Single Sign-on Domain: digite o nome do domínio do Active Directory.

      Durante a configuração do Citrix Gateway Session Profile, o sufixo de domínio para Single Sign-on Domain deve corresponder ao alias de domínio do XenMobile definido no LDAP.

  5. Clique em Create para definir o perfil de sessão.

  6. Clique em Expression Editor.

    Tela de perfil de sessão do Citrix Gateway

    Defina estas configurações:

    • Value: digite NSC_FSRD.
    • Header Name: digite COOKIE.
  7. Clique em Create e em Close.

    Tela de perfil de sessão do Citrix Gateway

Configurar políticas no servidor virtual do Citrix Gateway

Defina estas configurações no servidor virtual do Citrix Gateway.

  1. No utilitário de configuração do Citrix Gateway, no painel de navegação esquerdo, clique em NetScaler Gateway > Virtual Servers.

  2. No painel Details, clique em seu servidor virtual do Citrix Gateway.

  3. Clique em Edit.

  4. Clique em Configured policies > Session policies e em Add binding.

  5. Selecione ShareFile_Policy.

  6. Edite o número de Priority gerado automaticamente para a política selecionada, para que ele tenha a prioridade mais alta (o menor número) em relação às outras políticas listadas. Por exemplo:

    Tela de vinculação da política de sessão do servidor virtual de VPN

  7. Clique em Done e salve a configuração do Citrix ADC em execução.

Modificar as configurações de SSO do Citrix Files.com

Faça as seguintes alterações para aplicativos Citrix Files MDX e não-MDX.

Importante:

Toda vez que você edita ou recria o aplicativo Citrix Files ou altera as configurações do Content Collaboration no XenMobile, um novo número é anexado ao nome do aplicativo interno. Como resultado, você também deve atualizar a URL de Login no site do Citrix Files para refletir o nome do aplicativo atualizado.

O Content Collaboration não envia mais um cabeçalho referenciador no Chrome ou FireFox. Para obter informações, consulte Notas de versão, Aplicativo Web ShareFile v19.17.

  1. Faça login na sua conta do Content Collaboration (https://<subdomain>.sharefile.com) como administrador do Content Collaboration.

  2. Na interface da Web do Content Collaboration, clique em Administrador e selecione Configurar logon único.

  3. Edite a URL de login da seguinte maneira:

    Aqui está um exemplo de URL de login antes das edições: https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1.

    Exemplo de URL de login

    • Insira o FQDN externo do servidor virtual do Citrix Gateway mais /cginfra/https/ na frente do FQDN do XenMobile Server e adicione 8443 após o FQDN do XenMobile.

      Aqui está uma amostra de um URL editado: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=SHareFile_SAML_SP&reqtype=1

    • Altere o parâmetro &app=ShareFile_SAML_SP para o nome do aplicativo do Citrix Files interno. O nome interno é ShareFile_SAML por padrão. No entanto, toda vez que você altera sua configuração, um número é anexado ao nome interno (ShareFile_SAML_2, ShareFile_SAML_3 e assim por diante). Você pode procurar o nome interno do aplicativo na página Configurar > ShareFile.

      Aqui está uma amostra de um URL editado: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • Adicione &nssso=true ao final da URL.

      Aqui está uma amostra da URL final: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true.

  4. Em Configurações opcionais, marque a caixa de seleção Ativar autenticação da Web.

    Tela de configurações opcionais

Validar a configuração

Siga os procedimentos a seguir para validar a configuração.

  1. Aponte seu navegador para https://<subdomain>sharefile.com/saml/login.

    Você será redirecionado para o formulário de logon do Citrix Gateway. Se você não for redirecionado, verifique as definições de configuração anteriores.

  2. Insira o nome do usuário e a senha do Citrix Gateway e do ambiente do XenMobile configurado.

    As suas pastas do Citrix Files no <subdomain>.sharefile.com são exibidas. Se você não vir as pastas do Citrix Files, verifique se inseriu as credenciais de login corretas.