适用于 Citrix Endpoint Management 的 Citrix Content Collaboration 单点登录配置指南

您可以将 Citrix Endpoint Management 服务器和 Citrix Gateway 配置为作为 CitCitrix Content Collaboration 的 SAML 身份提供程序 (IdP) 运行。在此配置中,使用 Web 浏览器或其他 Citrix Files 客户端登录到 Citrix Content Collaboration 的用户将被重定向到 Citrix Endpoint Management 环境进行用户身份验证。Citrix Endpoint Management 成功进行身份验证后,用户将收到一个 SAML 令牌,该令牌对登录其 Citrix Content Collaboration 帐户有效。

必备条件

Citrix Gateway 和 Citrix Endpoint Management 服务器的工作配置(已配置)。

为 Citrix Files MDX 应用程序配置 SAML 单点登录

您可以将 Citrix Endpoint Management 服务器和 Secure Hub 一起使用来单点登录 (SSO) 到 Citrix Files MDX 包装的应用程序。在这种情况下,Secure Hub 将使用 Citrix Endpoint Management 服务器作为 IdP 获取 Citrix 内容协作登录的 SAML 令牌。

  1. 使用 URL https://<Citrix Endpoint Management Server>:4443 登录到 Citrix Endpoint Management 服务器
  2. 转到配置 > ShareFile
  3. 使用 Citrix Content Collaboration 用户管理工具进行用户预配。请参阅 预配用户帐户和通讯组

已配置 Citrix Files MDX 应用程序的 SAML 配置。如果只想允许使用 Citrix Files MDX 打包的应用程序访问 Citrix Content Collaboration,则您的配置已完成。但是,如果要为非 MDX Citrix Files 客户端配置访问权限,请继续使用配置指南。

配置 Citrix Content Collaboration MDX SSO 还可以在 Citrix Endpoint Management 服务器中启用用户置备。作为所选角色一部分且在 Citrix Content Collaboration 中没有帐户的任何用户都会根据用户首次访问 Citrix Content Collaboration 的方式由 Citrix Endpoint Management 服务器自动预配。要了解有关 Citrix Endpoint Management 服务器如何配置 Citrix Content Collaboration 用户的详细信息,请参阅知识中心文章 CTX200431

配置 Citrix Gateway

要支持将 Citrix Endpoint Management 用作 SAML 身份提供程序,Citrix Gateway 上需要进行以下配置:

禁用主页重定向

对于通过 /cginfra 路径发出的请求,您必须禁用默认行为,以便将原始请求的内部 URL 提供给用户,而不是配置的主页。

  1. 编辑用于 Citrix Endpoint Management 登录的 Citrix Gateway 虚拟服务器的设置。转到“其他设置”并清除标记为“重定向到主页”的复选框:

    Citrix Endpoint Management

  2. 对于 ShareFile 设置,请添加 Citrix Endpoint Management 服务器的内部服务器名称和端口。例如:xms.citrix.lab:8443
  3. 对于应用程序控制器设置,请输入您的 Citrix Endpoint Management 服务器的地址。此配置授权通过 /cginfra 路径向指定 URL 发出请求。

创建 Citrix Content Collaboration 会话策略和请求配置文件

  1. 在 Citrix Gateway 配置实用程序中,选择左侧导航窗格中的 Citrix Gateway > 策略 > 会话
  2. 要创建会话策略,请在策略选项卡上单击添加…,然后输入 ShareFile_Policy 作为名称。
  3. 要创建操作,请单击添加… 此时将打开“创建 Citrix Gateway”会话配置文件屏幕。
  4. 名称中,输入 ShareFile_Profile 作为会话配置文件名称。
  5. 在“客户端体验”选项卡上:
    • 对于主页,请输入
    • 对于会话超时,请输入 1
    • 启用单点登录到 Web 应用程序
    • 对于无客户端访问,设置为
    • 对于无客户端访问持久 Cookie,设置为允许
    • 对于凭据索引,请选择 PRIMARY

    Citrix Endpoint Management 2

  6. 在“安全”选项卡上,将“默认授权操作”设置为“允许”。

    Citrix Endpoint Management 3

  7. 在“已发布的应用程序”选项卡上:
    • 对于 ICA 代理,选择
    • Web Interface 地址中,输入您的 Citrix Endpoint Management 服务器 URL,如图所示。
    • 单点登录域中,输入您的 Active Directory 域名。

    Citrix Endpoint Management 4

    配置 Citrix Gateway 会话配置文件时,在单点登录域字段中输入的域后缀必须与 LDAP 中定义的 Citrix Endpoint Management 域别名匹配。

  8. 单击创建完成定义会话配置文件。
  9. 对于 ShareFile_Policy 表达式,切换到经典策略,然后单击表达式编辑器
  10. 使用 NSC_FSRD标头名称 COOKIE 指定表达式。

    Citrix Endpoint Management 5

  11. 单击完成,单击创建,然后单击关闭

    Citrix Endpoint Management 6

在 Citrix Gateway 虚拟服务器上配置策略

  1. 在 Citrix Gateway 配置实用程序中,选择左侧导航窗格中的 Citrix Gateway > 虚拟服务器
  2. 在“详细信息”窗格中,单击您的 Citrix Gateway 虚拟服务器,然后单击“编辑”。
  3. 转到配置的策略 > 会话策略,然后单击添加绑定
  4. 选择 ShareFile_Policy
  5. 编辑插入策略的自动生成的优先级编号,使其具有与列出的任何其他策略相比最低的数字(最高优先级)。

    Citrix Endpoint Management 7

  6. 单击 Done(完成),然后保存运行的 Citrix Gateway 配置。

修改单点登录设置

  1. 以 Citrix Content Collaboration 管理员身份登录到您的帐户。
  2. 在 Web 界面中,导航到“管理设置”>“安全”>“登录和安全策略”,然后向下滚动到单点登录设置。
  3. 编辑登录 URL

    Citrix Endpoint Management 9

    • 在 Citrix Endpoint Management 服务器 FQDN 之前插入 Citrix Gateway 虚拟服务器 plus /cginfra/https/ 的外部 FQDN,并在 FQDN 之后插入 :8443
    • 更改参数 &app=ShareFile_SAML_SP 以使用应用程序的内部名称。默认情况下,内部名称是 ShareFile_SAML,但每次更改配置时,内部名称都会更改为附加一个数字(ShareFile_SAML2、ShareFile_SAML3 等)。
    • &nssso=true 添加到 URL 末尾。例如:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

每次编辑或重新创建应用程序时,内部应用程序名称都会更新,并在名称后附加一个数字。您还必须更新登录 URL 以反映更新后的应用程序名称。以下示例显示当内部应用程序名称从“ShareFile_SAML”更改为“ShareFile_SAML2”时,登录 URL 需要如何更改

  1. 在“可选设置”下,单击“启用 Web 身份验证”复选框。

    Citrix Endpoint Management 10

  2. 单击保存

验证您的配置

  1. 转到 https://subdomain.sharefile.com/saml/login。您将被重定向到 Citrix Gateway 登录表单。
  2. 使用对您配置的 Citrix Gateway 和 Citrix Endpoint Management 服务器环境有效的用户凭据登录。此时将在 subdomain.sharefile.com 下显示您的 Citrix Files 文件夹。
适用于 Citrix Endpoint Management 的 Citrix Content Collaboration 单点登录配置指南