Product Documentation

SAML 单点登录与 ShareFile

Jan 06, 2017

可以将 XenMobile 和 ShareFile 配置为使用安全声明标记语言 (Security Assertion Markup Language, SAML) 提供对通过 MDX Toolkit 打包的 ShareFile 移动应用程序以及未打包的 ShareFile 客户端(例如 Web 站点、Outlook 插件或同步客户端)的单点登录 (SSO) 访问。 

  • 面向打包的 ShareFile 应用程序。 通过 ShareFile 移动应用程序登录 ShareFile 的用户将被重定向到 Secure Hub 进行用户身份验证以及获取 SAML 令牌。 成功进行身份验证后,ShareFile 移动应用程序会将 SAML 令牌发送到 ShareFile。 初始登录后,用户可以通过 SSO 访问 ShareFile 移动应用程序,并且可以将 ShareFile 中的文档附加到 Secure Mail 电子邮件,而不需要每次都登录。
  • 面向未打包的 ShareFile 客户端。 使用 Web 浏览器或其他 ShareFile 客户端登录 ShareFile 的用户将被重定向到 XenMobile 进行用户身份验证以及获取 SAML 令牌。 成功进行身份验证后,SAML 令牌将被发送到 ShareFile。 初始登录后,用户可以通过 SSO 访问 ShareFile 客户端,而不需要每次都登录。

有关详细的参考体系结构图,请参阅《XenMobile 部署手册》中的适用于本地部署的参考体系结构一文。

必备条件

必须先完成以下必备条件,才能对 XenMobile 和 ShareFile 应用程序配置 SSO:

  • MDX Toolkit 9.0.4 或更高版本(适用于 ShareFile 移动应用程序)
  • 恰当的 ShareFile 移动应用程序:
    • ShareFile for iPhone 3.0.x
    • ShareFile for iPad 2.2.x
    • ShareFile for Android 3.2.x
  • Secure Hub 9.0(适用于 ShareFile 移动应用程序)- 安装合适的 iOS 或 Android 版本。
  • ShareFile 管理员帐户

确保 XenMobile 和 ShareFile 能够连接。

配置 ShareFile 访问

为 ShareFile 设置 SAML 之前,请按如下所示提供 ShareFile 访问信息:

1. 在 XenMobile Web 控制台中,单击配置 > ShareFile。 此时将显示 ShareFile 配置页面。

localized image

2. 配置以下设置:

  • :键入 ShareFile 子域的名称,例如 example.sharefile.com。
  • 分配给交付组:选择或搜索希望能够对 ShareFile 使用 SSO 的交付组。
  • ShareFile 管理员帐户登录
    • 用户名:键入 ShareFile 管理员用户名。 此用户必须具有管理员权限。
    • 密码:键入 ShareFile 管理员的密码。
    • 用户帐户置备:如果要在 XenMobile 中启用用户置备,请打开此选项;如果要使用 ShareFile 用户管理工具置备用户,请将其保留在禁用状态。

注意:如果选定的角色中包含没有 ShareFile 帐户的用户,XenMobile 会自动为该用户置备一个 ShareFile 帐户,前提是您启用了“用户帐户置备”。 Citrix 建议您使用具有小型成员关系的角色以测试配置。 这样可以避免出现大量没有 ShareFile 帐户的用户的可能性。

3. 单击保存

为打包的 ShareFile MDX 应用程序设置 SAML

以下步骤适用于 iOS 和 Android 应用程序和设备。

1. 使用 MDX Toolkit 打包 ShareFile 移动应用程序。 有关使用 MDX Toolkit 打包应用程序的详细信息,请参阅使用 MDX Toolkit 打包应用程序

2. 在 XenMobile 控制台中,上载打包的 ShareFile 移动应用程序。 有关上载 MDX 应用程序的信息,请参阅向 XenMobile 中添加 MDX 应用程序

3. 使用在上面配置的管理员用户名和密码登录 ShareFile,验证 SAML 设置。

4. 确认为 ShareFile 和 XenMobile 配置相同的时区。

注意:确保 XenMobile 显示所配置时区对应的正确时间。 如果时间不正确,SSO 可能会失败。

验证 ShareFile 移动应用程序

1. 在用户设备上,如果尚未安装和配置 Secure Hub,请进行安装和配置。

2. 从 XenMobile Store 下载并安装 ShareFile 移动应用程序。

3. 启动 ShareFile 移动应用程序。 ShareFile 将启动,但不提示输入用户名或密码。

使用 Secure Mail 验证

1. 在用户设备上,如果尚未安装和配置 Secure Hub,请进行安装和配置。

2. 从 XenMobile Store 下载、安装并设置 Secure Mail。

3. 打开新的电子邮件窗体,然后轻按从 ShareFile 附加。 此时将显示可以附加到电子邮件中的文件,但不提示输入用户名或密码。

为其他 ShareFile 客户端配置 NetScaler Gateway

如果要配置对未打包的 ShareFile 客户端(例如 Web 站点、Outlook 插件或同步客户端)的访问,必须将 NetScaler Gateway 配置为支持使用 XenMobile 作为 SAML 身份提供程序,如下所示:

  • 禁用主页重定向。
  • 创建 ShareFile 会话策略和配置文件。
  • 在 NetScaler Gateway 虚拟服务器上配置策略。

禁用主页重定向

必须禁用通过 /cginfra 路径发出的请求的默认行为,以便用户能够看到最初请求的内部 URL,而非配置的主页。

1. 编辑用于 XenMobile 登录的 NetScaler Gateway 虚拟服务器的设置。 在 NetScaler 10.5 中,转至 Other Settings(其他设置),然后取消选中标记了 Redirect to Home Page(重定向到主页)的复选框。

localized image

2. 在 ShareFile 下,键入 XenMobile 内部服务器的名称和端口号。

3. 在 AppController 下,键入 XenMobile URL。

此配置授权您向通过 /cginfra 路径输入的 URL 发送请求。

创建 ShareFile 会话策略并请求配置文件

请配置以下设置以创建 ShareFile 会话策略并请求配置文件:

1. 在 NetScaler Gateway 配置实用程序中,在左侧导航窗格中单击 NetScaler Gateway > Policies(策略)> Session(会话)

2. 创建一个新会话策略。 在 Policies(策略)选项卡上,单击 Add(添加)。

3. 在 Name(名称)字段中,键入 ShareFile_Policy

4. 单击 + 按钮创建一项新操作。 此时将显示 Create NetScaler Gateway Session Profile(创建 NetScaler Gateway 会话配置文件)页面。 

localized image

配置以下设置:

  • Name(名称):键入 ShareFile_Profile。
  • 单击 Client Experience(客户端体验)选项卡,然后配置以下设置:
    • Home Page(主页):键入“none”(无)。
    • Session Time-out (mins)(会话超时(分钟)):键入 1。
    • Single Sign-on to Web Applications(单点登录到 Web 应用程序):选择此设置。
    • Credential Index(凭据索引):在列表中,单击“PRIMARY”(主要)。
  • 单击 Published Applications(已发布的应用程序)选项卡。
localized image

配置以下设置:

  • ICA Proxy(ICA 代理):在列表中,单击 ON(开)。
  • Web Interface Address(Web Interface 地址):键入 XenMobile 服务器的 URL。
  • Single Sign-on Domain(单点登录域):键入 Active Directory 的域名。

注意:配置 NetScaler Gateway 会话配置文件时,Single Sign-on Domain(单点登录域)的域后缀必须与在 LDAP 中定义的 XenMobile 域别名匹配。

5. 单击 Create(创建)以定义会话配置文件。

6. 单击 Expression Editor(表达式编辑器)。

localized image

配置以下设置:

  • Value(值):键入 NSC_FSRD。
  • Header Name(标头名称):键入 COOKIE。
  • 单击完成

7. 单击 Create(创建),然后单击 Close(关闭)。

localized image

在 NetScaler Gateway 虚拟服务器上配置策略

在 NetScaler Gateway 虚拟服务器上配置以下设置。

1. 在 NetScaler Gateway 配置实用程序中,在左侧导航窗格中单击 NetScaler Gateway > Virtual Servers(虚拟服务器)。

2. 在 Details(详细信息)窗格中,单击 NetScaler Gateway 虚拟服务器。

3. 单击编辑

4. 单击 Configured policies(已配置的策略)> Session policies(会话策略),然后单击 Add binding(添加绑定)。

5. 选择 ShareFile_Policy

6. 编辑自动生成的选定策略的 Priority(优先级)编号,以便与列出的任何其他策略相比,其优先级最高(编号最小),如下图所示。

localized image

7. 单击 Done(完成),然后保存运行的 NetScaler 配置。

为非 MDX ShareFile 应用程序配置 SAML

请执行以下步骤,查找 ShareFile 配置的内部应用程序名称。

1. 使用 URL https://:4443/OCA/admin/ 登录 XenMobile 管理员工具。请务必使用大写字母输入 OCA。

2. 在查看列表中,单击配置

localized image

3. 单击应用程序 > 应用程序,并记录显示名称为 ShareFile 的应用程序的应用程序名称

localized image

修改 ShareFile.com 的 SSO 设置

1. 以 ShareFile 管理员身份登录 ShareFile 帐户 (https://<子域>.sharefile.com)。

2. 在 ShareFile Web 界面中,单击 Admin(管理),然后选择 Configure Single Sign-on(配置单点登录)。

3. 按如下所示编辑 Login URL(登录 URL):

Login URL(登录 URL)应如下所示:https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1。

localized image
  • 在 XenMobile 服务器的 FQDN 前面插入 NetScaler Gateway 虚拟服务器的外部 FQDN 和 /cginfra/https/,然后在 XenMobile 的 FQDN 后面添加 8443。

登录 URL 现在应如下所示:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

  • 将参数 &app=ShareFile_SAML_SP 更改为 SAML 单点登录与 ShareFile 步骤 3 中的内部 ShareFile 应用程序名称。 内部名称默认为 ShareFile_SAML,但是,每次更改配置时,都会在内部名称后面附加一个数字(ShareFile_SAML_2、ShareFile_SAML_3,以此类推)。

登录 URL 现在应如下所示:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

  • 向 URL 的结尾末尾添加 &nssso=true。

修改后的 URL 现在应如下所示:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

重要:每次在 XenMobile 控制台中编辑或重新创建 ShareFile 应用程序或更改 ShareFile 设置时,都会在内部应用程序名称后附加一个新数字,这意味着您还必须在 ShareFile Web 站点中更新登录 URL,以反映更新后的应用程序名称。

4. 在 Optional Settings(可选设置)下,选中 Enable Web Authentication(启用 Web 身份验证)复选框。

localized image

验证配置

请执行以下配置以验证设置。

1. 将浏览器指向 https://<子域>sharefile.com/saml/login。

系统会将您重定向到 NetScaler Gateway 登录表单。 如果未被重定向,请验证前面的配置设置。

2. 输入所配置的 NetScaler Gateway 和 XenMobile 环境的用户名和密码。

此时将在 <子域>.sharefile.com 下显示您的 ShareFile 文件夹。 如果未显示您的 ShareFile 文件夹,请确保您输入了正确的登录凭据。