面向双身份提供商的 Citrix Content Collaboration 单点登录配置指南

本文档帮助配置使用 Citrix Endpoint Management 和 Active Directory 联合服务 (ADFS) 作为单个 Citrix Content Collaboration 帐户的身份提供程序 (IdP)。生成的配置允许 ADFS 服务器上的令牌签名证书与 Citrix Endpoint Management 服务器上的 SAML 证书相同。这将提供一个 Citrix Content Collaboration 帐户,用于:

  • 使用 Citrix Endpoint Management 作为 MDX 包装的应用程序的 IdP。使用 Citrix Files MDX 应用程序从移动设备提供真正的单点登录 (SSO) 体验。
  • 使用 ADFS 作为 SSO 到 Web 应用程序的 SAML IdP。

必备条件

  • Citrix Endpoint Management 10.x 服务器,配置为 Citrix Content Collaboration 帐户的 MDX 功能齐全的单点登录。
  • ADFS 在基础结构中安装和配置。
  • 访问 Citrix Content Collaboration 中的管理员帐户,并能够配置单点登录。

准备 ADFS 令牌签名证书

将 SSO 的 ADFS 配置为 Citrix Content Collaboration 时,需要在没有私钥的情况下将 ADFS 令牌签名证书上载到 Citrix Content Collaboration 控制面板。ADFS 生成了一个自签名证书,用于令牌签名和令牌解密,有效期为 1 年。但是,自签名证书确实包含私钥。

在第一年,自签名证书在到期前 15 天使用证书自动滚动进行续订,并成为主证书。这会导致所有现有 SSO 信任关系失败。对于此配置,从 Citrix Endpoint Management 控制台导出的 SAML 证书的有效期为 3 年。证书有效期是可自定义的,缓解了在第一年续订令牌签名证书的需要。

生成 SAML 证书

  1. 登录到 Citrix Gateway GUI。
  2. 导航到 流量管理 > SSL
  3. 在 “ 入门 ” 部分下,选择 “ 根 CA 证书向导”

    双重 IdP 1

现在系统会提示您创建私钥。

  1. 密钥文件名 字段中,提供密钥的名称。
  2. 密钥大小:2048。
  3. 公共指数值,3。
  4. 单击 创建 以创建密钥。

    双重 IdP 2

下一步是创建证书签名请求 (CSR)。

  1. 在请 求文件名字 段中,输入 CSR 的名称。
  2. 钥文件名PEM 格式已预填充。
  3. 摘要方法 设置为 SHA256
  4. 在 “可 分辨名称字段”中,提供有关您的组织的信息。
  5. 属性字段中,不需要质询密码。但是,可以添加 公司名称
  6. 单击 创建 完成 CSR 请求。

    双重国内流离失所者 3 双重国内流离失所者 4

最后一步是创建 SAML 证书。

  1. 证书文件名字 段中,输入证书的名称。
  2. 证书格式 已预先填充 PEM
  3. 证书请求文件名称 反映了您在上一步中创建的 CSR。
  4. 密钥格式 默认为 PEM
  5. 指定您希望证书的有 效期 (以天为单位)。在此示例中,创建的证书是一个 3 年证书,因此输入 1095
  6. 钥文件名 是从第一步开始预填充的。
  7. 单击 创建 以创建证书。

    双重国内流离失所者 5

  8. 创建证书后,您可以退出向导,因为您不需要在 Citrix Gateway 上安装证书。
  9. 单击 “ 取消 ”,然后单击 “ ” 以确认您想要返回到 SSL GUI 主屏幕。

导出 SAML 证书

现在,您需要导出新创建的证书并关闭 Citrix Gateway 以便在 Citrix Endpoint Management 服务器和 ADFS 上使用。对于 Citrix Endpoint Management,您需要在上述步骤中创建的 saml_dualidp.cer 文件和 saml_dualidp.key 文件,因为证书和密钥已经正确格式化为 Citrix Endpoint Management。请按照以下步骤将文件保存到一个位置,然后我们可以在替换其内置 SAML 证书时将文件上载到 Citrix Endpoint Management 服务器。

  1. 在 Citrix Gateway 中,在 “ 流量管理” > “SSL” 下的 “ 工具” 下,单击 “ 管理证书/密钥/CSR”。
  2. 在 “ 管理证书 ” 页面中,单击 “ 修改日期 ”,将最新文件置于顶部。现在,您可以看到前面步骤中的 3 个新创建的文件。如果你没有看到它们,你可以显示超过 25 个项目每页。

    双重国内流离失所者 6

  3. 选择 相应的文件,然后 选择 下载 。保存到您选择的位置。
  4. 请按照上一步的步骤进行 相应的数据库文 件。
  5. 单击 “返 ” 返回到上一页。

接下来,以 ADFS 服务器理解的文件格式导出证书和密钥。

  1. 在与之前相同的 工具 部分下,选择 导出 PKCS #12 的选项。
  2. “选择文件” 字段中,输入 参数
  3. 证书文件名字 段中, 选择选择文件、修改日期 ,然后选择 saml_dualidp.cer 文件。单击打开
  4. 密钥文件名 字段中, 选择选择文件、修改日期 ,然后选择 saml_dualidp.key 文件。单击打开
  5. 提供导 出密码
  6. 提供 PEM 密码
  7. 击 “确定 ” 完成导出。

现在,您需要将 .pfx 文件从 Citrix Gateway 上复制到网络位置。

  1. 再次从 “ 工具 ” 菜单中,选择 “ 管理证书/密钥/CSR ” 选项。
  2. 选择新创建 文件,然后选择 “ 下载 ”。
  3. 将文件保存到本地可访问的位置。
  4. 关闭 Citrix Gateway 中的窗口。

SAML 证书创建过程已完成。

将新创建的令牌签名证书上载到 ADFS

第一步是禁用 ADFS 服务器上的证书转换。

  1. 创建与 ADFS 服务器的远程连接。
  2. 默认情况下,ADFS 允许 AutoCertificateRollover 在第一年续订自签名证书。必须禁用此功能才能上载新创建的令牌签名证书。
  3. 在 ADFS 服务器上以 管理员身份 运行 PowerShell。
  4. 类型:Get-ADFSProperties``
  5. 要禁用自动证书保存器,请执行以下操作:Set-ADFSProperties -AutoCertificateRollover $false

然后,您需要将之前导出的 saml_dualidp.pfx 文件导入到 ADFS 服务器上,以便我们可以将其用作令牌签名证书。

  1. 在 ADFS 服务器上,右键单击 Start > 单击运行 > 键入 mmc,然后选择输入以打开管理单元。
  2. 单击 “ 文件” > “添加/删除管理单元”。
  3. 从可用的管理单元部分,选择 “ 证书”,然后单击 “ 添加”。
  4. 选择 “ 计算机帐户”,单击 “ 下一步”。
  5. 选择 本地计算机 ,然后 完成 ,单 击确定
  6. 在 “控制台根目录” 下, 展开 “证书” > “个人” > “证书”
  7. 右键单击 “证书” 文件夹,然后选择 “ 所有任务” > “导入”
  8. 在欢迎屏幕中,单击 下一步
  9. 浏览至您之前保存 的相应 文件,单击 打开
  10. 选择 “ 下一步”,键入私钥的密码,再次选择 “ 下一步”。
  11. 选择 将所有证书放置在以下存储 “个人” 中, 然后单击 “ 下一步 ”。
  12. 单击 完成 以完成导入并关闭 MMC 管理单元。

现在,您需要在 ADFS 中更改令牌签名证书。

  1. 在 ADFS 服务器上,从服务器管理器控制板中,选择 工具 > ADFS 管理
  2. 在 ADFS 管理控制台的左侧,展开 “服务” > “证书”
  3. 在 “ 作” 菜单下,选择 “ 添加令牌签名证书 ”,然后选择新导入的令牌签名证书。
  4. 新添加的令牌签名证书将作为辅助证书添加。你必须使它成为主要的。
  5. 展开 服务 ,然后选择 证书
  6. 单击 辅助 令牌签名证书。
  7. 在右侧的 “ 作” 窗格中,选择 “ 设置为主 ”。在确认提示符处单击

Citrix Endpoint Management 配置

要在 Citrix Endpoint Management 上使用相同的证书,您只需执行两个操作。

备份 Citrix Endpoint Management SAML 证书

  1. 登录 Citrix Endpoint Management 服务器,单击右上角的齿轮图标,然后在设置下选择证书
  2. 突出显示 SAML 证书,然后单击 导出
  3. 选择同时导出私钥,然后单 击确定
  4. 将证书存储在安全位置。

安装新的 SAML 证书

  1. 登录 Citrix Endpoint Management 服务器,单击齿轮图标,然后在设置下单击证书
  2. 单击 导入,然后选择以下选项:
    • 导入:证书
    • 用作:SAML
    • 证书导入: 浏览您的工作站或网络以获取之前导出的 saml_dualidp.cer 文件。
    • 私有密钥文件: 浏览您的工作站以获取之前导出的 saml_dualidp.key 文件。
    • 密码: 输入私钥的密码。
    • 描述: 输入足够的细节为其他人知道它的功能。
  3. 单击 导入 以完成。

    双重国内流离失所者 7

  4. 在 Citrix Endpoint Management 服务器上,单击配置,然后单击 ShareFile
  5. 如果您有之前的配置,请单击屏幕右下角的 “ 保存 ”。此步骤使用在之前步骤中创建的 X.509 证书更新 Citrix Content Collaboration 帐户。它还会覆盖当前 SSO 配置设置,这些设置将在下一部分中概述的步骤中进行更改。
  6. 如果尚未配置 Citrix Content Collaboration,请在字段中输入 Citrix Content Collaboration 帐户。
  7. 选择有权访问 Citrix Files MDX 应用程序的交付组。
  8. 提供 Citrix Content Collaboration 用户名。这是一个本地管理用户帐户。
  9. 输入 Citrix Content Collaboration 密码(而不是 Active Directory 密码)。
  10. 用户帐户预配保持设置为(特别是如果您使用的是用户管理工具)。
  11. 单击保存以完成 Citrix Endpoint Management 上的 Citrix Content Collaboration 配置。

    双重国内流离失所者 8

Citrix Content Collaboration 单点登录配置检查

为 Citrix Content Collaboration 配置 Citrix Endpoint Management 和 ADFS 后,请按照以下步骤验证 SSO 设置。

  1. 使用 Web UI 登录到 Citrix Content Collaboration 帐户,单击管理,然后单击配置单一登录页面。
  2. 发行人/实体 ID: 这需要与 ADFS 配置中的标识符名称相同。
  3. 登录 URL: 登录到 ADFS 的 URL(示例:https://adfs.company.com/adfs/ls )。
  4. 注销 URL: ADFS 的注销 URL(示例:https://adfs.company.com/adfs/ls/?wa=wsignout1.0 )。这需要添加为 ADFS 上的注销点,如果还没有这样做。
  5. 启用 Web 身份验证:
  6. SP 启动的身份验证上下文: 选择 “表 身份验证” 或 “集成身份验证” 选项(根据 ADFS 服务器配置的内容)。

    双重 IdP 9

测试

将设备重新注册到 Citrix Endpoint Management,下载应用程序并检查 MDX SSO 是否正常工作。您还可以使用 SP 启动的身份验证执行测试:https://[subdomain].sharefile.com/saml/login