限制 StorageZone

受限制的存储区域用于保护敏感数据。只有员工才能访问受限制的存储。

受限区域不支持第三方用户身份验证。

注意:

受限存储区域为“维护结束”。此生命周期策略在中详细介绍 生命周期里程碑定义。不支持创建新的受限存储区域。使用受限存储区域的现有客户将收到有关未来任何产品里程碑的进一步通信。

受限区要素

区域身份验证: 除了登录 ShareFile 之外,用户还必须单独向 StorageZones Controller 进行身份验证,以访问存储在受限区域中的文档。目录查找可确保登录到 ShareFile 的用户与对区域进行身份验证的用户相同。此额外的身份验证要求限制了共享。文档只能与有权访问 StorageZones Controller 且可以使用企业凭据进行身份验证的其他人共享。在受限区域中,文件不能匿名共享。必须向用户授予查看文件的权限,并且必须始终登录才能接收共享文件。

元数据加密: 有关区域中文件和文件夹的所有信息都使用密钥加密,然后再发送到 ShareFile。因此,组织外部的任何人都不能看到受限区域中的文件夹或文件名。只有通过企业身份验证对 StorageZones Controller 才能访问加密密钥、解密文件和元数据。

StorageZones Controller 的内部地址: 对于受限区域,授权在 StorageZones Controller 和 ShareFile 客户端之间进行,而不是在 StorageZones Controller 和 ShareFile 云之间进行。因此,托管受限区域的 StorageZones Controller 不需要外部地址或外部 SSL 证书。当 StorageZones Controller 配置为仅内部地址时,用户必须连接到公司网络或 VPN 才能访问受限区域中的文档。

来自邮件服务器的电子邮件通知: 当用户收到有关受限区域中共享文件和文件夹的电子邮件通知时,电子邮件将从内部邮件服务器而不是 ShareFile 服务器发送。

标准区域和限制区域之间的差异

属性 标准区域 受限区域
存储区域服务器可以通过以下方式进行管理: Citrix 或者你
用户身份验证由… ShareFile.comShareFile.eu ShareFile.comShareFile.eu 的组合加上本地 StorageZones Controller
文件可以与… 共享 员工和第三方用户(即拥有电子邮件地址的任何人) 员工或其他拥有域帐户的用户
存储在 ShareFile 控制平面中的文件和文件夹元数据是… 以明文形式存储,对某些 Citrix 员工可见 使用您的私钥加密,Citrix 不可用
电子邮件通知使用… ShareFile 邮件服务器或 SMTP 服务器 您的 SMTP 服务器
区域的外部地址是… 必填 不需要

标准和受限制的存储区域

您可以将存储区域指定为标准区域或限制区域。

  • 标准存储区域专用于存储非敏感数据,员工可以在此区域中与非员工共享数据。
  • 受限制的存储区域可保护敏感数据:只有员工才能访问该区域中存储的数据。

下表总结了标准区域和限制区域之间的差异。

属性 标准区域 受限区域
存储区域服务器可以通过以下方式进行管理: Citrix 或者你
用户身份验证由… ShareFile.comShareFile.eu ShareFile.comShareFile.eu 的组合加上本地 StorageZones Controller
文件可以与… 共享 员工和第三方用户(即拥有电子邮件地址的任何人) 员工或其他拥有域帐户的用户
存储在 ShareFile 控制平面中的文件和文件夹元数据是… 以明文形式存储,对某些 Citrix 员工可见 使用您的私钥加密,Citrix 不可用
电子邮件通知使用… ShareFile 邮件服务器或 SMTP 服务器 您的 SMTP 服务器
区域的外部地址是… 必填 不需要

在 Citrix 管理的区域中,ShareFile 云执行除员工身份验证之外的所有操作,此操作由 StorageZones Controller 处理。

在标准区域中,将在云中处理网站维护和更新、客户端和应用程序更新、文件元数据、上载和下载授权、电子邮件通知 (SMTP)、第三方用户身份验证和文件夹权限。员工身份验证、文件存储和加密由 Controller 处理。

在受限区域中,网站维护和更新、客户端和应用程序更新以及文件夹权限在云中进行处理。员工身份验证、文件存储和加密、文件元数据、上载和下载授权以及电子邮件通知 (SMTP) 由 Controller 处理。受限区域不支持第三方用户身份验证。

ShareFile 支持在域中混合使用标准区域和受限区域。您可以创建多个受限区域,其中每个区域都有自己的唯一身份验证要求。例如,如果不应允许域 A 中的用户与域 B 中的用户共享文件,请为每个域安装单独的受限区域。

本节的其余部分介绍 ShareFile 管理区域、标准区域和受限区域中的工作流程。

针对受限存储区域的概念验证部署

为受限区域配置的 StorageZones Controller 不需要接受来自 ShareFile 云的内绑定连接:您可以使用内部地址对其进行配置。下图显示了用户设备、ShareFile 云和 StorageZones Controller 之间的流量。

受限区域的概念验证部署

在这种情况下,一个防火墙站在 Internet 和安全网络之间。StorageZones Controller 驻留在防火墙内以控制访问。与 ShareFile 的用户连接必须遍历防火墙,并使用端口 443 上的 SSL 协议来建立此连接。若要支持此连接,您必须在防火墙上打开端口 443,并在 StorageZones Controller 的 IIS 服务上安装 SSL 证书(可以是私有的)。

对于受限区域, StorageZones Controller 从本地 SMTP 服务器(而不是从 ShareFile)发送电子邮件通知。

针对受限区域的高可用性部署

为受限区域配置的 StorageZones Controller 不需要接受来自 ShareFile 云的绑定连接:您可以使用内部地址配置每个控制器。下图显示了受限区域的高可用性部署。

针对受限区域的高可用性部署

在这种情况下,一个防火墙站在 Internet 和安全网络之间。StorageZones Controller 驻留在防火墙内以控制访问。与 ShareFile 的用户连接必须遍历防火墙,并使用端口 443 上的 SSL 协议来建立此连接。若要支持此连接,您必须在防火墙上打开端口 443,并在 StorageZones Controller 的 IIS 服务上安装 SSL 证书(可以是私有的)。

对于受限区域, StorageZones Controller 从本地 SMTP 服务器(而不是从 ShareFile)发送电子邮件通知。

受限区域

下表介绍了当用户登录到 ShareFile 然后从受限区域下载文档时发生的网络连接。所有连接都使用 HTTPS。

步骤 目标
1. 用户登录请求 客户端 company.sharefile.com
2. 如果使用 ADFS,请重定向至“SAML IdP 登录” 客户端 SAML 身份提供商 URL
3. 文件/文件夹枚举和下载请求 客户端 szc.company.com
4. 文件下载授权并获取加密元数据 szc.company.com company.sharefile.com
5. 文件下载 客户端 szc.company.com

针对受限存储区域的部署

下图显示了受限区域的高可用性部署。

带受限区域的 StorageZones Controller

对于受限区域, StorageZones Controller 从本地 SMTP 服务器(而不是从 ShareFile)发送电子邮件通知。

受限区域的网络连接

下图和表描述了用户登录 ShareFile 然后将文档上载到限制区域时发生的网络连接。在这种情况下,帐户使用 Active Directory 联合身份验证服务 (ADFS) 进行 SAML 登录。身份验证通信由 ADFS 代理服务器处理,该服务器与受信任网络上的 ADFS 服务器通信。

受限区域的网络连接

步骤 目标 协议
1. ShareFile 客户端或浏览器打开连接 客户端 company.sharefile.comcompany.sharefile.eu HTTPS
2. (可选)重定向至“SAML IdP 登录”诊所诊所 客户端 SAML 身份提供商 URL HTTPS
3. ShareFile 将用户重定向到 StorageZones Controller 客户端 company.sharefile.comcompany.sharefile.eu HTTPS
4. 客户端将 Windows 凭据提交到 StorageZones Controller 客户端 存储区域控制器 HTTPS
5. StorageZones Controller 验证凭据并授予客户端访问权限 存储区域控制器 域 Controller Kerberos
6. 客户端将文件上载到 StorageZones Controller 客户端 存储区域控制器 HTTPS
7. 文件被写入受限区域的存储库 存储区域控制器 本地存储 CIFS
8. StorageZones Controller 加密文件元数据并将其发送到 ShareFile 存储区域控制器 company.sharefile.comcompany.sharefile.eu HTTPS

对于受限制的存储区域:

  • 使用内部或外部主机名。

  • 为与 ShareFile 的通信启用 SSL。

    如果使用内部主机名,则可以使用私有证书。证书必须受到用户设备的信任。

    如果使用外部主机名,则 StorageZones Controller 上的 SSL 证书必须受到用户设备和 ShareFile Web 服务器的信任。

  • 提供从 StorageZones Controller 到以下服务总线 URI 之一的出站 HTTP 访问:

    • ShareFile.com 帐户:sf-zk-email-use.servicebus.windows.net
    • ShareFile.eu 帐户:sf-zk-email-euw.servicebus.windows.net

    请务必与您的网络团队安排网络依赖关系。

客户端对受限存储区域的要求

ShareFile Web 应用程序支持来自以下 Web 浏览器的受限存储区域:

  • Internet Explorer 11

    要启用从 ShareFile Web 应用程序访问受限区域中的文件夹和连接器,请执行以下操作:

    1. 打开 Internet 浏览器,转到 Internet 选项,单击 全选项卡,然后单击 受信任的站点
    2. 单击 站点 ,然后添加您的子域和外部 StorageZones Controller 地址。
    3. 单击“关闭”,然后单击“自定义级别”。
    4. 对于“杂项”>“跨域访问数据源”,请选择“启用”。
    5. 对于“用户身份验证”>“登录”,选择“提示 输入用户名和密码”。
  • Chrome

  • Firefox

  • Safari

  • Secure Web

要支持受限制的存储区域,ShareFile 客户端必须升级到以下版本或更高版本:

  • ShareFile Sync for Windows 3.1
  • ShareFile Outlook 插件 3.2.2
  • ShareFile for iOS 3.3
  • Android 3.4 的 ShareFile
  • ShareFile 的 Windows Phone 2.3.10

截至本文发布日期,不支持这些 ShareFile 客户端和工具与受限制的存储区域一起使用:

注意:有关 ShareFile 客户端功能的最新信息,请参阅 ShareFile 支持 站点或与您的 ShareFile 支持代表联系。

  • 域外使用 ShareFile Desktop Sync for Windows 3.1 和 ShareFile Outlook 插件

    客户端必须位于与 StorageZones Controller 服务器位于同一 Active Directory 林中的加入域的 Windows 桌面上。客户端可以使用 NTLM 或 Kerberos 对受限区域进行静默身份验证。

  • On-Demand Sync for Windows

  • Sync for Mac

  • ShareFile Enterprise Sync Manager

  • Secure Mail for iOS

  • ShareFile Desktop 小组件

  • ShareFile 为黑莓

  • ShareFile 移动网站

不支持以下备用帐户访问方法与受限存储区一起使用:

  • FTP
  • PowerShell
  • ShareFile 命令行界面 (SFCLI)
  • HTTPS API (V1)
  • WebDav
  • SMTP

重要

ShareFile 不正式支持,并且不建议使用 DFS 复制。已知它会导致较大文件的锁定失败。如果必须使用 DFS 复制,请在非高峰时段使用单独的备份解决方案,当区域未处于主动使用中。

升级受限存储区域

将 StorageZones Controller 升级到最新版本时,该 Controller 将继续使用标准区域。不能将标准区域升级到限制区域。

要将标准区域替换为受限区域,您必须安装新的 StorageZones Controller 并配置受限区域。

要支持受限区域或对连接器的 Web 访问,必须在完成向导后执行其他 Citrix ADC 配置。配置确保 ShareFile 客户端仅在登录到受信任的 ShareFile 域时才发送凭据。要支持对连接器的 Web 访问,还可以向用于传输到 /cifs 和 /sp的流量的内容切换策略添加路径 (/Proxy Service)。

其他限制区域信息

对受限存储区域的支持会影响 ShareFile 服务的所有方面。由于支持元数据加密和区域身份验证所需的协议更改,因此 在受限存储区域中处理文档时不支持某些 ShareFile 客户端和功能。

目录

  • 客户端和工具
  • 浏览器
  • 功能
  • Sync for Windows
  • 移动应用程序
  • Outlook 插件

客户端和工具

   
Sync for Windows 3.1 及以上
适用于 Microsoft Outlook 的插件 3.2.2 及以上
On-Demand Sync for Windows 不支持
Drive Mapper 3.01.171.0 及更高版本
ShareFile for iOS 3.3 — 仅限 MDX
Android 的 ShareFile 3.4 及以上
ShareFile 的 Windows Phone 8 2.3.10 及以上
Sync for Mac 不支持
ShareFile Desktop 不支持
XenMobile WorxMail for iOS 不支持
XenMobile WorxMail for Android 支持
打印到 ShareFile 不支持
移动网站 不支持
其他帐户访问方法  
PowerShell 不支持
SFCLI 不支持
REST API(V3) 支持
HTTPS APT(V1) 不支持
RSZ 测试覆盖范围 不支持
FTP 不支持
将文件通过电子邮件发送到文件夹 不支持
.NET 开发工具包 支持

浏览器

   
Windows 互联网浏览器 11, 火狐浏览器 (最新版本), 铬 (最新版本)
macOS Safari 浏览器(最新版本),火狐(最新版本),铬(最新版本)
iOS 野生动物园,Secure Web
Android Secure Web

功能

最终用户操作:使用文件:

   
浏览和下载文件 支持
上载文件(上载器类型) HTML5:支持;Flash:不支持;Java:不支持;标准 HTML 表单:不支持
回收站 支持
批量下载和删除 支持
文件盒 视图:支持;删除:支持;上载:支持;下载:不支持;从文件盒发送:不支持
文件预览(缩略图) 不支持
在 Web 浏览器中查看文档 不支持
文件重新上载 不支持
每个文件多个版本 不支持
搜索 搜索结果中未包含的受限区商品
将文件夹标记为收藏夹 不支持
复制或移动文件 不支持
编辑文件夹选项:文件夹过期日期、文件保留策略 支持
共享文件夹冒泡 不支持

最终用户操作:共享和协作:

   
发送文件:需要上传,使用 ShareFile 发送电子邮件,给我一个链接,我可以复制,要求用户登录,限制下载次数 支持
接收和下载共享文件 支持
在受限存储区域中创建共享文件夹 支持
将用户添加到文件夹:控制上载和下载的权限 支持
请求文件 支持
请求启用“需要 ShareFile 登录”的文件 不支持
电子邮件通知 支持
收件箱:发送给我的文件 支持
收件箱:已发送邮件 查看、过期、重新发送、编辑:支持
查看活动日志 支持
获取签名(通过 RightSignature) 不支持

行政操作:

   
在受限区域中创建用户 支持
将用户迁移到其他区域 不支持
报告:访问审核、使用情况报告、消息报告、带宽报告、存储报告 HTML 查看器:支持;Excel /CSV/PDF 查看器:显示加密元数据
区域管理  
监视存储使用情况 支持
监控带宽使用情况 支持
监视文件活动 支持
恢复文件 不支持
协调文件 不支持
删除区域 支持
高可用性 支持

Sync for Windows

最低版本-3.1

   
从加入域的客户端进行身份验证-NTLM 或 Kerberos 支持
从非域客户端进行身份验证-用户提示输入密码 支持
在受限区域中同步“我的文件和文件夹” 支持
从受限区域同步共享文件夹 支持
上载、下载、同步 支持
On-demand Sync for XenApp and XenDesktop 环境 不支持
查看收藏夹文件夹 不适用于受限制的存储区域文件夹
右键单击 > 复制链接 支持
右键单击 > 电子邮件文件 支持

移动应用程序

请参阅下面特定于应用程序的表格:

iOS-最低版本 3.3

   
浏览和下载文件 支持
脱机查看内容 支持
创建文件夹 支持
创建或编辑文件 支持
上载照片或视频 支持
使用用户名/密码进行验证 支持
使用 Worx 微型 VPN 进行单点登录 支持
共享:复制链接 支持
分享:通过电子邮件共享 不支持
添加或编辑文件夹注释 不支持
创建注释或编辑现有注释 不支持
将用户添加到文件夹或编辑现有文件夹权限 不支持
标记/取消将文件夹标记为收藏夹 不支持
请求文件 不支持
缩略图预览 不支持
多项删除 不支持
使文件夹脱机可用 除了根级别“与我共享”文件夹外,支持
共享文件夹 除了根级别“与我共享”文件夹外,支持
在受限存储区域中创建连接器 不支持

Android-最低版本 3.4

   
浏览和下载文件 支持
脱机查看内容 支持
发送文件 支持
创建文件夹 支持
创建或编辑文件 支持
上载文件 支持
使用用户名/密码进行验证 支持
使用 Worx 微型 VPN 进行单点登录 支持
请求文件 不支持
创建备忘录 不支持
上载后覆盖现有文件 不支持

Outlook 插件

   
从加入域的客户端进行身份验证-NTLM 或 Kerberos 支持
从非域客户端进行身份验证-用户提示输入密码 支持
浏览并从 ShareFile 中选择文件 支持
在启用“要求收件人登录”的情况下浏览和选择 ShareFile 中的文件 不支持
将附件转换为 ShareFile 链接 支持
将附件转换为已启用“要求收件人登录”的 ShareFile 链接 不支持
请求文件 支持
请求启用“要求收件人登录”的文件 不支持