适用于双身份提供商的 Citrix Content Collaboration 单点登录配置指南

本文档帮助配置将 Citrix Endpoint Management 和 Active Directory 联合服务 (ADFS) 作为单个 Citrix Content Collaboration 帐户的身份提供程序 (IdP)。生成的配置允许 ADFS 服务器上的令牌签名证书与 Citrix Endpoint Management 服务器上的 SAML 证书相同。这将提供一个 Citrix Content Collaboration 帐户,用于:

  • 将 Citrix Endpoint Management 用作 MDX 包装应用程序的 IdP。使用 Citrix Files MDX 应用程序从移动设备提供真正的单点登录 (SSO) 体验。
  • 使用 ADFS 作为 SSO 到网络应用程序的 SAML IdP。

必备条件

  • Citrix Endpoint Management 10.x 服务器,该服务器配置为 Citrix Content Collaboration 帐户,该服务器具有完全功能的 MDX 单点登录功能。
  • 在基础架构中安装和配置 ADFS。
  • 访问 Citrix Content Collaboration 中的管理员帐户,并能够配置单点登录。

准备 ADFS 令牌签名证书

将 SSO 的 ADFS 配置为 Citrix Content Collaboration 时,需要在没有私钥的情况下将 ADFS 令牌签名证书上载到 Citrix Content Collaboration 控制面板。ADFS 生成了一个自签名证书,用于令牌签名和令牌解密,有效期为 1 年。但是,自签名证书确实包含私钥。

在第一年,自签名证书在到期前 15 天使用证书自动滚动进行续订,并成为主证书。这会导致所有现有 SSO 信任关系失败。对于此配置,从 Citrix Endpoint Management 控制台导出的 SAML 证书的有效期为 3 年。证书有效期是可自定义的,缓解了在第一年续订令牌签名证书的需要。

生成 SAML 证书

  1. 登录到 Citrix Gateway GUI。
  2. 导航到 流量管理 > SSL
  3. 在“入门”部分下,选择“根 CA 证书向导”

    双 IdP 1

现在系统会提示您创建私钥。

  1. 密钥文件名 字段中,提供密钥的名称。
  2. 密钥大小:2048。
  3. 公共指数值,3。
  4. 单击 建创建密钥。

    双 IdP 2

下一步是创建证书签名请求 (CSR)。

  1. 在“请求文件名”字段中,输入 CSR 的名称。
  2. 钥文件名PEM 格式已预先填充。
  3. 摘要方法 设置为 SHA256
  4. 在可 分辨名称字段中,提供有关组织的信息。
  5. 属性字段中,不需要质询密码。但是,可以添加 公司名称
  6. 单击 创建 以完成 CSR 请求。

    双 IdP 3 双 IdP 4

最后一步是创建 SAML 证书。

  1. 在“证书文件名”字段中,输入证书的名称。
  2. 证书格式 预填充 PEM
  3. 证书请求文件名 反映了您在上一步中创建的 CSR。
  4. 密钥格式 默认为 PEM
  5. 指定希望证书有 效的有效期 (以天为单位)。在此示例中,创建的证书是一个 3 年证书,因此输入 1095
  6. 从第一步开始预填充密 钥文件名
  7. 单击 建创建证书。

    双 IDP 5

  8. 创建证书后,您可以退出向导,因为无需在 Citrix Gateway 上安装证书。
  9. 单击“取消”,然后单击“”以确认您要返回到主 SSL GUI 屏幕。

导出 SAML 证书

现在,您需要导出新创建的证书并关闭 Citrix Gateway,以便在 Citrix Endpoint Management 服务器和 ADFS 上使用。对于 Citrix Endpoint Management,您需要在上述步骤中创建的 saml_dualidp.cer 文件和 saml_dualidp.key 文件,因为证书和密钥已经正确格式化为 Citrix Endpoint Management。请按照以下步骤将文件保存到一个位置,然后我们可以在替换其内置 SAML 证书时将文件上载到 Citrix Endpoint Management 服务器。

  1. 在 Citrix Gateway 中的“流量管理”>“SSL”下的“工具”下,单击“管理证书/密钥/CSR”。
  2. 在“管理证书”页面中,单击“修改日期”,这会将最新文件带到顶部。现在,您可以看到前面的步骤中新创建的 3 个文件。如果您没有看到它们,您可以每页显示超过 25 个项目。

    双重 IdP 6

  3. 选择 同步 文件,然后选择“下载”。保存到您选择的位置。
  4. 按照上一 步的步骤操作
  5. 单击“上一步”返回到上一页。

接下来,以 ADFS 服务器理解的文件格式导出证书和密钥。

  1. 在与之前相同的“工具”部分下,选择“导出 PKCS #12”选项。
  2. 在“选择文件”字段 中,输入“文件”
  3. 在“证书文件名”字段中, 选择“选择文件”、“修改日期”,然后选择 saml_dualidp.cer 文件。单击** Open**(打开)。
  4. 在“密钥文件名”字段中, 选择“选择文件”、“修改日期”,然后选择 saml_dualidp.key 文件。单击** Open**(打开)。
  5. 提供导 出密码
  6. 提供 PEM 密码短语
  7. 击“确定”完成导出。

现在,您需要将 .pfx 文件从 Citrix Gateway 复制到网络位置。

  1. 再次从“工具”菜单中,选择“管理证书/密钥/CSR”选项。
  2. 选择新创建 文件,然后选择“下载”。
  3. 将文件保存到本地可访问的位置。
  4. 关闭 Citrix Gateway 中的窗口。

SAML 证书创建过程已完成。

将新创建的令牌签名证书上载到 ADFS

第一步是在 ADFS 服务器上禁用证书翻转。

  1. 创建到 ADFS 服务器的远程连接。
  2. 默认情况下,ADFS 允许 AutoCertificateRollover 在第一年续订自签名证书。必须禁用此功能才能上载新创建的令牌签名证书。
  3. 在 ADFS 服务器上以 管理员身份 运行 PowerShell。
  4. 类型: Get-ADFSProperties
  5. 要禁用自动证书翻转,请执行以下操作: Set-ADFSProperties -AutoCertificateRollover $false

然后,您需要将之前导出的 saml_dualidp.pfx 文件导入 ADFS 服务器,以便我们可以将其用作令牌签名证书。

  1. 在 ADFS 服务器上,右键单击,Start > 单击运行 > 键入 mmc,然后选择 Enter 以打开管理单元。
  2. 单击“文件”>“添加/删除管理单元”。
  3. 从可用管理单元部分,选择 证书,然后单击 添加
  4. 选择 计算机帐户,单击 下一步
  5. 选择 本地计算机 ,然后选择 完成,单 击确定
  6. 在控制台根目录下, 展开证书 > 个人 > 证书
  7. 右键单击“证书”文件夹,然后选择“所有任务”>“导入”
  8. 在“欢迎使用”屏幕中,单击“下一步”。
  9. 浏览到您之前保存的 saml_dualidp.pfx 文件,单击 打开
  10. 选择“下一步”,键入私钥的密码,再次选择“下一步”。
  11. 选择 将所有证书放置在以下存储区中“个人”, 然后单击“下一步”。
  12. 单击 完成以完成 导入并关闭 MMC 管理单元。

现在,您需要在 ADFS 中更改令牌签名证书。

  1. 在 ADFS 服务器上,从服务器管理器控制板中,选择 工具 > ADFS 管理
  2. 在 ADFS 管理控制台左侧,展开“服务”>“证书”
  3. 在“ 作”菜单下,选择“添加令牌签名证书”,然后选择新导入的令牌签名证书。
  4. 新添加的令牌签名证书将作为辅助证书添加。你必须使它成为主要的。
  5. 展开“服务”,然后选择“证书”。
  6. 单击 辅助 令牌签名证书。
  7. 在右侧的“ 作”窗格中,选择“设置为主”。在确认提示时单击

Citrix Endpoint Management 配置

要在 Citrix Endpoint Management 上使用相同的证书,您只需执行两个操作。

备份 Citrix Endpoint Management SAML 证书

  1. 登录 Citrix Endpoint Management 服务器,单击右上角的齿轮图标,然后在设置下选择证书
  2. 突出显示 SAML 证书,然后单击“导出”。
  3. 选择同时导出私钥,然后单击“确定”。
  4. 将证书存储在安全位置。

安装新的 SAML 证书

  1. 登录 Citrix Endpoint Management 服务器,单击齿轮图标,然后在设置下单击证书
  2. 单击“导入”,然后选择以下选项:
    • 导入:证书
    • 用作:SAML
    • 证书导入: 浏览您的工作站或网络以查找先前导出的 saml_dualidp.cer 文件。
    • 私有密钥文件: 浏览您的工作站以查找先前导出的 saml_dualidp.key 文件。
    • 密码: 输入私钥的密码。
    • 描述: 输入足够的细节,让别人知道它的功能。
  3. 单击“导入”以完成。

    双 IDP 7

  4. 在 Citrix Endpoint Management 服务器上,单击配置,然后单击 ShareFile
  5. 如果您有以前的配置,请单击屏幕右下角的“保存”。此步骤使用在上述步骤中创建的 X.509 证书更新 Citrix Content Collaboration 帐户。它还会覆盖当前 SSO 配置设置,这些设置将在下一节中概述的步骤中进行更改。
  6. 如果尚未配置 Citrix Content Collaboration,请在字段中输入 Citrix Content Collaboration 帐户。
  7. 选择有权访问 Citrix Files MDX 应用程序的交付组。
  8. 提供 Citrix Content Collaboration 用户名。这是一个本地管理用户帐户。
  9. 输入 Citrix Content Collaboration 密码(而不是您的 Active Directory 密码)。
  10. 用户帐户预配保持设置为(特别是如果您使用的是用户管理工具)。
  11. 单击保存以完成 Citrix Endpoint Management 上的 Citrix Content Collaboration 配置。

    双重 IdP 8

Citrix Content Collaboration 单点登录配置检查

为 Citrix Content Collaboration 配置 Citrix Endpoint Management 和 ADFS 后,请按照以下步骤验证 SSO 设置。

  1. 使用 Web UI 登录到 Citrix Content Collaboration 帐户,单击管理,然后单击配置单点登录页面。
  2. 发行人/实体 ID: 这需要与 ADFS 配置中的标识符名称相同。
  3. 登录 URL: 登录到 ADFS 的 URL(例如: https://adfs.company.com/adfs/ls)。
  4. 注销 URL: 注销到 ADFS 的 URL(例如: https://adfs.company.com/adfs/ls/?wa=wsignout1.0)。如果尚未这样做,则需要将其作为注销点添加到 ADFS 上。
  5. 启用 Web 身份验证:
  6. SP 启动的身份验证上下文: 选择“表单身份验证”或“集成身份验证”选项“用户名和密码”选项(根据您的 ADFS 服务器配置)。

    双重 IdP 9

测试

将您的设备重新注册到 Citrix Endpoint Management 中,下载应用程序并检查 MDX SSO 是否正常工作。您还可以使用 SP 启动的身份验证来执行测试: https://[subdomain].sharefile.com/saml/login