限制存储区

受限存储区域用于保护敏感数据。只有员工才能访问受限存储。

受限区域中不支持第三方用户身份验证。

注意:

受限存储区域是维护结束。此生命周期策略将在中的详细介绍生命周期里程碑定义。不支持创建新的受限存储区域。利用受限存储区域的现有客户将收到有关未来任何产品里程碑的进一步沟通。

限制区域要素

区域身份验证: 除了登录 ShareFile 之外,用户还必须单独向 StorageZones Controller 进行身份验证,以访问存储在受限区域中的文档。目录查找可确保登录到 ShareFile 的用户与对区域进行身份验证的用户相同。此额外的身份验证要求限制了共享。文档只能与有权访问 StorageZones Controller 且可以使用企业凭据进行身份验证的其他人共享。在限制区域中,文件不能匿名共享。必须授予用户查看文件的权限,并且必须始终登录才能接收共享文件。

元数据加密: 有关区域中文件和文件夹的所有信息在发送到 ShareFile 之前都会使用您的密钥加密。因此,组织外部的任何人都不能看到受限区域中的文件夹或文件名。只有通过企业身份验证对 StorageZones Controller 才能访问加密密钥、解密文件和元数据。

StorageZones Controller 的内部地址: 对于受限区域,授权在 StorageZones Controller 和 ShareFile 客户端之间进行,而不是在 StorageZones Controller 和 ShareFile 云之间进行。因此,托管受限区域的 StorageZones Controller 不需要外部地址或外部 SSL 证书。当 StorageZones Controller 配置为仅内部地址时,用户必须连接到公司网络或 VPN 才能访问受限区域中的文档。

来自邮件服务器的电子邮件通知: 当用户收到有关受限区域内共享文件和文件夹的电子邮件通知时,电子邮件将从您的内部邮件服务器而不是 ShareFile 服务器发送。

标准区和限制区之间的差异

属性 标准区 限制区
存储区域服务器可以由… Citrix 还是你
用户身份验证由… ShareFile.comShareFile.eu ShareFile.comShareFile.eu 的组合加上本地 StorageZones Controller
文件可以与… 共享 员工和第三方用户(即拥有电子邮件地址的任何人) 员工或拥有域帐户的其他用户
存储在 ShareFile 控制平面中的文件和文件夹元数据是… 以明文形式存储,对 Citrix 的一些员工可见 使用您的私钥进行加密,这些密钥对 Citrix 无法使用
电子邮件通知使用… ShareFile 邮件服务器或 SMTP 服务器 您的 SMTP 服务器
该区域的外部地址是… 必填项 不需要

标准和限制存储区域

您可以将存储区域指定为标准区域或受限区域。

  • 标准存储区域适用于非敏感数据,使员工能够与非员工共享数据。
  • 受限存储区域可保护敏感数据:只有员工才能访问存储在区域中的数据。

下表总结了标准区和限制区之间的差异。

属性 标准区 限制区
存储区域服务器可以由… Citrix 还是你
用户身份验证由… ShareFile.comShareFile.eu ShareFile.comShareFile.eu 的组合加上本地 StorageZones Controller
文件可以与… 共享 员工和第三方用户(即拥有电子邮件地址的任何人) 员工或拥有域帐户的其他用户
存储在 ShareFile 控制平面中的文件和文件夹元数据是… 以明文形式存储,对 Citrix 的一些员工可见 使用您的私钥进行加密,这些密钥对 Citrix 无法使用
电子邮件通知使用… ShareFile 邮件服务器或 SMTP 服务器 您的 SMTP 服务器
该区域的外部地址是… 必填项 不需要

在 Citrix 管理的区域中,ShareFile 云执行除员工身份验证之外的所有操作,此操作由 StorageZones Controller 处理。

在标准区域中,将在云中处理网站维护和更新、客户端和应用程序更新、文件元数据、上载和下载授权、电子邮件通知 (SMTP)、第三方用户身份验证和文件夹权限。员工身份验证以及文件存储和加密由 Controller 处理。

在受限区域中,网站维护和更新、客户端和应用程序更新以及文件夹权限将在云中进行处理。员工身份验证、文件存储和加密、文件元数据、上载和下载授权以及电子邮件通知 (SMTP) 由 Controller 处理。受限区域中不支持第三方用户身份验证。

ShareFile 支持帐户中的混合标准区域和限制区域。您可以创建多个受限区域,每个区域都有自己独特的身份验证要求。例如,如果不允许域 A 中的用户与域 B 中的用户共享文件,请为每个域安装单独的限制区域。

本节的其余部分介绍了共享管理区域、标准区域和受限区域中的工作流。

受限存储区域的概念验证部署

为受限区域配置的 StorageZones Controller 不需要接受来自 ShareFile 云的内绑定连接:您可以使用内部地址对其进行配置。下图显示了用户设备、ShareFile 云和 StorageZones Controller 之间的流量。

限制区的概念验证部署

在这种情况下,一个防火墙站在 Internet 和安全网络之间。StorageZones Controller 驻留在防火墙内以控制访问。与 ShareFile 的用户连接必须遍历防火墙,并使用端口 443 上的 SSL 协议来建立此连接。若要支持此连接,您必须在防火墙上打开端口 443,并在 StorageZones Controller 的 IIS 服务上安装 SSL 证书(可以是私有的)。

对于受限区域, StorageZones Controller 从本地 SMTP 服务器(而不是从 ShareFile)发送电子邮件通知。

限制区域的高可用性部署

为受限区域配置的 StorageZones Controller 不需要接受来自 ShareFile 云的绑定连接:您可以使用内部地址配置每个控制器。下图显示了受限区域的高可用性部署。

限制区域的高可用性部署

在这种情况下,一个防火墙站在 Internet 和安全网络之间。StorageZones Controller 驻留在防火墙内以控制访问。与 ShareFile 的用户连接必须遍历防火墙,并使用端口 443 上的 SSL 协议来建立此连接。若要支持此连接,您必须在防火墙上打开端口 443,并在 StorageZones Controller 的 IIS 服务上安装 SSL 证书(可以是私有的)。

对于受限区域, StorageZones Controller 从本地 SMTP 服务器(而不是从 ShareFile)发送电子邮件通知。

限制区

下表描述了用户登录到 ShareFile,然后从受限区域下载文档时发生的网络连接。所有连接都使用 HTTPS。

步骤 来源 目标
1. 用户登录请求 客户 company.sharefile.com
2. 如果使用 ADFS,请重定向到 SAML IdP 登录 客户 SAML 身份提供商 URL
3. 文件/文件夹枚举和下载请求 客户 szc.company.com
4. 文件下载授权和获取加密元数据 szc.company.com company.sharefile.com
5. 文件下载 客户 szc.company.com

部署受限存储区域

下图显示了受限区域的高可用性部署。

带受限区域的 StorageZones Controller

对于受限区域, StorageZones Controller 从本地 SMTP 服务器(而不是从 ShareFile)发送电子邮件通知。

限制区域的网络连接

下图和表描述了用户登录 ShareFile 然后将文档上载到限制区域时发生的网络连接。在这种情况下,该帐户使用 Active Directory 联合身份验证服务 (ADFS) 进行 SAML 登录。身份验证流量由与受信任网络上的 ADFS 服务器通信的 ADFS 代理服务器处理。

限制区域的网络连接

步骤 来源 目标 协议
1. ShareFile 客户端或浏览器打开连接 客户 company.sharefile.comcompany.sharefile.eu HTTPS
2. (可选)重定向到 SAML IdP 登录 客户 SAML 身份提供商 URL HTTPS
3. ShareFile 将用户重定向到 StorageZones Controller 客户 company.sharefile.comcompany.sharefile.eu HTTPS
4. 客户端将 Windows 凭据提交到 StorageZones Controller 客户 StorageZones Controller HTTPS
5. StorageZones Controller 验证凭据并授予客户端访问权限 StorageZones Controller 域 Controller Kerberos
6. 客户端将文件上载到 StorageZones Controller 客户 StorageZones Controller HTTPS
7. 文件写入限制区域的存储库 StorageZones Controller 本地存储 CIFS
8. StorageZones Controller 加密文件元数据并将其发送到 ShareFile StorageZones Controller company.sharefile.comcompany.sharefile.eu HTTPS

对于受限存储区域:

  • 使用内部或外部主机名。

  • 为与 ShareFile 的通信启用 SSL。

    如果使用内部主机名,则可以使用私有证书。证书必须受到用户设备的信任。

    如果使用外部主机名,则 StorageZones Controller 上的 SSL 证书必须受到用户设备和 ShareFile Web 服务器的信任。

  • 提供从 StorageZones Controller 到以下服务总线 URI 之一的出站 HTTP 访问:

    • ShareFile.com 帐户:sf-zk-email-use.servicebus.windows.net
    • ShareFile.eu 帐户:sf-zk-email-euw.servicebus.windows.net

    请务必与您的网络团队安排网络依赖关系。

限制存储区域的客户端要求

ShareFile Web 应用程序支持来自以下 Web 浏览器的受限存储区域:

  • 浏览器 11

    要启用 ShareFile Web 应用程序对受限区域中的文件夹和连接器的访问,请执行以下操作:

    1. 打开 Internet 浏览器,转到 Internet 选项,单击 全选项卡,然后单击 受信任的站点
    2. 单击 站点 ,然后添加您的子域和外部 StorageZones Controller 地址。
    3. 单击 关闭 ,然后单击 自定义级别
    4. 对于 “杂项” > “跨域访问数据源 ”,选择 “ 启用 ”。
    5. 对于 “ 用户身份验证” > “登录”,选择 “ 提示输入用户名和密码”。
  • Chrome

  • 火狐

  • 野生动物园

  • Secure Web

要支持受限存储区域,必须将 ShareFile 客户端升级到以下版本或更高版本:

  • ShareFile Sync for Windows 3.1
  • ShareFile Outlook 插件 3.2.2
  • 适用于 iOS 3.3 的 ShareFile
  • Android 3.4 的 ShareFile
  • Windows Phone 的 ShareFile 2.3.10

截至本文发布日期,这些 ShareFile 客户端和工具不支持用于受限存储区域:

注意:有关 ShareFile 客户端功能的最新信息,请参阅 ShareFile 支持网站或与 ShareFile 支持代表联系。

  • 域外使用 ShareFile Desktop Sync for Windows 3.1 和 ShareFile Outlook 插件

    客户端必须位于与 StorageZones Controller 服务器位于同一 Active Directory 林中的加入域的 Windows 桌面上。客户端可以使用 NTLM 或 Kerberos 对受限区域进行静默身份验证。

  • On-Demand Sync for Windows

  • Sync for Mac

  • ShareFile Enterprise Sync Manager

  • 适用于 iOS 的 Secure Mail

  • ShareFile Desktop 小组件

  • 黑莓的 ShareFile

  • ShareFile 移动网站

以下备选帐户访问方法不支持用于受限存储区域:

  • FTP
  • PowerShell
  • ShareFile 命令行界面 (SFCLI)
  • HTTPS API (V1)
  • WebDav
  • SMTP

重要

ShareFile 不正式支持,并且不建议使用 DFS 复制。已知它会导致较大文件的锁定失败。如果必须使用 DFS 复制,请在非高峰时段使用单独的备份解决方案,当该区域未主动使用。

升级受限存储区域

当您将 StorageZones Controller 升级到最新版本时,该 Controller 将继续使用标准区域。您不能将标准区域升级到限制区域。

要将标准区域替换为受限区域,您必须安装新的 StorageZones Controller 并配置受限区域。

要支持受限区域或对连接器的 Web 访问,必须在完成向导后执行其他 Citrix ADC 配置。配置可确保 ShareFile 客户端仅在登录到受信任的 ShareFile 域时发送凭据。为了支持对连接器的 Web 访问,您还可以将路径 (/ProxyService) 添加到用于通往 /cifs 和 /sps 的流量的内容交换策略。

其他限制区信息

对受限存储区域的支持会影响 ShareFile 服务的所有方面。由于支持元数据加密和区域身份验证所需的协议更改,因此 在受限存储区域中处理文档时不支持某些 ShareFile 客户端和功能。

内容

  • 客户和工具
  • 浏览器
  • 特点
  • Sync for Windows
  • 移动应用程序
  • Outlook 插件

客户和工具

   
Sync for Windows 3.1 及以上
适用于 Microsoft Outlook 的插件 3.2.2 及以上
On-Demand Sync for Windows 不支持
Drive Mapper 3.01.171.0 及以上成员
适用于 iOS 的 ShareFile 3.3 — 仅限 MDX
Android 的 ShareFile 3.4 及更高版本
Windows Phone 8 的 ShareFile 2.3.10 及以上
Sync for Mac 不支持
ShareFile Desktop 不支持
适用于 iOS 的 XenMobile 语言邮件 不支持
XenMobile WorxMail for Android 支持
打印到 ShareFile 不支持
流動網站 不支持
其他帐户访问方法  
PowerShell 不支持
SFCLI 不支持
REST API(V3) 支持
HTTPS APT(V1) 不支持
RSZ 测试覆盖率 不支持
FTP 不支持
通过电子邮件将文件发送到文件夹 不支持
網上开发工具包 支持

浏览器

   
Windows 浏览器 11,火狐浏览器(最新版本),Chrome 浏览器(最新版本)
macOS 野生动物园(最新版本),火狐浏览器(最新版本),Chrome 浏览器(最新版本)
iOS 野生动物园, Secure Web
Android Secure Web

特点

最终用户操作:使用文件:

   
浏览和下载文件 支持
上载文件(上载器类型) HTML5:支持;Flash:不支持;Java:不支持;标准 HTML 表单:不支持
回收站 支持
批量下载和删除 支持
文件盒 视图:支持;删除:支持;上载:支持;下载:不支持;从文件盒发送:不支持
文件预览(缩略图) 不支持
在 Web 浏览器中查看文档 不支持
文件重新上载 不支持
每个文件的多个版本 不支持
搜索 搜索结果中未包含限制区商品
将文件夹标记为收藏夹 不支持
复制或移动文件 不支持
编辑文件夹选项:文件夹过期日期、文件保留策略 支持
共享文件夹冒泡 不支持

最终用户操作:共享和协作:

   
发送文件:需要上载,发送电子邮件起诉 ShareFile,给我一个链接,我可以复制,要求用户登录,限制下载次数 支持
接收和下载共享文件 支持
在受限存储区域中创建共享文件夹 支持
将用户添加到文件夹:控制上载和下载的权限 支持
请求文件 支持
请求启用 “要求 ShareFile 登录” 的文件 不支持
电子邮件通知 支持
收件箱:发送给我的文件 支持
收件箱:已发送的邮件 查看、过期、重新发送、编辑:支持
查看活动日志 支持
获取签名(通过 RightSignature) 不支持

行政行动:

   
在受限区域中创建用户 支持
将用户迁移到其他区域 不支持
报告:访问审核、使用情况报告、消息报告、带宽报告、存储报告 HTML 查看器:支持;Excel /CSV/PDF 查看器:显示加密的元数据
地区管理局  
监控存储使用情况 支持
监控带宽使用情况 支持
监控文件活动 支持
恢复文件 不支持
协调文件 不支持
删除区域 支持
高可用性 支持

Sync for Windows

最低版本-3.1

   
从加入域的客户端进行身份验证-NTLM 或 Kerberos 支持
从非域客户端进行身份验证-用户提示输入密码 支持
在受限区域中同步 “我的文件和文件夹” 支持
从受限区域同步共享文件夹 支持
上载、下载、同步 支持
On-demand Sync for XenApp and XenDesktop 环境 不支持
查看收藏夹文件夹 不适用于受限存储区域文件夹
右键单击 > 复制链接 支持
右键单击 > 电子邮件文件 支持

移动应用程序

请参阅下面特定于应用程序的表格:

iOS-最低版本 3.3

   
浏览和下载文件 支持
脱机查看内容 支持
创建文件夹 支持
创建或编辑文件 支持
上载照片或视频 支持
使用用户名/密码进行身份验证 支持
使用 Worx 微型 VPN 进行单点登录 支持
分享:复制链接 支持
分享:通过电子邮件分享 不支持
添加或编辑文件夹备注 不支持
创建笔记或编辑现有笔记 不支持
将人员添加到文件夹或编辑现有文件夹权限 不支持
标记/取消标记文件夹为收藏夹 不支持
请求文件 不支持
缩略图预览 不支持
多件商品删除 不支持
使文件夹脱机可用 支持除了根级别的 “与我共享” 文件夹
共享文件夹 支持除了根级别的 “与我共享” 文件夹
在受限存储区域中创建连接器 不支持

Android-最低版本 3.4

   
浏览和下载文件 支持
脱机查看内容 支持
发送文件 支持
创建文件夹 支持
创建或编辑文件 支持
上载文件 支持
使用用户名/密码进行身份验证 支持
使用 Worx 微型 VPN 进行单点登录 支持
请求文件 不支持
创建备注 不支持
上载后覆盖现有文件 不支持

Outlook 插件

   
从加入域的客户端进行身份验证-NTLM 或 Kerberos 支持
从非域客户端进行身份验证-用户提示输入密码 支持
浏览并从 ShareFile 中选择文件 支持
浏览并选择已启用 “要求收件人登录” 的 ShareFile 中的文件 不支持
将附件转换为 ShareFile 链接 支持
将附件转换为 ShareFile 链接,并启用 “要求收件人登录” 不支持
请求文件 支持
请求启用 “要求收件人登录” 的文件 不支持