Product Documentation

SAML 单点登录与 ShareFile

Apr 27, 2017

可以将 XenMobile 和 ShareFile 配置为使用安全声明标记语言 (SAML) 来提供对 ShareFile 移动应用程序的单点登录 (SSO) 访问。此功能包括使用 MDX Toolkit 打包的 ShareFile 应用程序和未打包的 ShareFile 客户端(例如 Web 站点、Outlook 插件或同步客户端)。

  • 面向打包的 ShareFile 应用程序。通过 ShareFile 移动应用程序登录 ShareFile 的用户将被重定向到 Secure Hub 进行用户身份验证以及获取 SAML 令牌。成功进行身份验证后,ShareFile 移动应用程序会将 SAML 令牌发送到 ShareFile。初始登录后,用户可以通过 SSO 访问 ShareFile 移动应用程序,并且可以将 ShareFile 中的文档附加到 Secure Mail 电子邮件,而不需要每次都登录。
  • 面向未打包的 ShareFile 客户端。使用 Web 浏览器或其他 ShareFile 客户端登录 ShareFile 的用户将被重定向到 XenMobile 进行用户身份验证以及获取 SAML 令牌。成功进行身份验证后,SAML 令牌将被发送到 ShareFile。初始登录后,用户可以通过 SSO 访问 ShareFile 客户端,而不需要每次都登录。

要将 XenMobile 作为 SAML 身份提供程序 (IdP) 用于 ShareFile,必须将 XenMobile 配置为使用 ShareFile Enterprise,如本文所述。或者,可以将 XenMobile 配置为只与 StorageZone 连接器一起使用。有关详细信息,请参阅 ShareFile 与 XenMobile 结合使用

有关详细的参考体系结构图,请参阅《XenMobile 部署手册》中的适用于本地部署的参考体系结构一文。

必备条件

必须先完成以下必备条件,才能对 XenMobile 和 ShareFile 应用程序配置 SSO:

  • 兼容版本的 MDX Toolkit(适用于 ShareFile 移动应用程序)
  • 兼容版本的 ShareFile 移动应用程序和 Secure Hub
  • ShareFile 管理员帐户

验证 XenMobile 与 ShareFile 之间的连接。

配置 ShareFile 访问

为 ShareFile 设置 SAML 之前,请按如下所示提供 ShareFile 访问信息:

1. 在 XenMobile Web 控制台中,单击配置 > ShareFile。此时将显示 ShareFile 配置页面。

localized image

2. 配置以下设置:

  • :键入 ShareFile 子域的名称,例如 example.sharefile.com。
  • 分配给交付组:选择或搜索希望能够对 ShareFile 使用 SSO 的交付组。
  • ShareFile 管理员帐户登录
    • 用户名:键入 ShareFile 管理员用户名。此用户必须具有管理员权限。
    • 密码:键入 ShareFile 管理员的密码。
    • 用户帐户置备:如果要在 XenMobile 中启用用户置备,请打开此选项;如果计划使用 ShareFile 用户管理工具来置备用户,请将其保留在禁用状态。

注意:如果选定的角色中包含没有 ShareFile 帐户的用户,XenMobile 会自动为该用户置备 ShareFile 帐户,前提是您启用了“用户帐户置备”。Citrix 建议您使用具有小型成员关系的角色以测试配置。这样可以避免出现大量没有 ShareFile 帐户的用户的可能性。

3. 单击测试连接按钮以确认 ShareFile 管理员帐户的用户名和密码是否可以向指定的 ShareFile 帐户进行身份验证。

4. 单击保存。XenMobile 将与 ShareFile 同步并更新 ShareFile 设置 ShareFile 颁发者/实体 ID登录 URL

为打包的 ShareFile MDX 应用程序设置 SAML

以下步骤适用于 iOS 和 Android 应用程序和设备。

1. 使用 MDX Toolkit 打包 ShareFile 移动应用程序。有关使用 MDX Toolkit 打包应用程序的详细信息,请参阅使用 MDX Toolkit 打包应用程序

2. 在 XenMobile 控制台中,上载打包的 ShareFile 移动应用程序。 有关上载 MDX 应用程序的信息,请参阅向 XenMobile 中添加 MDX 应用程序

3. 使用在上面配置的管理员用户名和密码登录 ShareFile 来验证 SAML 设置。

4. 确认为 ShareFile 和 XenMobile 配置了相同的时区。

注意:确保 XenMobile 显示所配置时区对应的正确时间。如果时间不正确,SSO 可能会失败。

验证 ShareFile 移动应用程序

1. 在用户设备上,如果尚未安装和配置 Secure Hub,请进行安装和配置。

2. 从 XenMobile Store 下载并安装 ShareFile 移动应用程序。

3. 启动 ShareFile 移动应用程序。ShareFile 将启动,但不提示输入用户名和密码。

使用 Secure Mail 验证

1. 在用户设备上,如果尚未安装和配置 Secure Hub,请进行安装和配置。

2. 从 XenMobile Store 下载、安装并设置 Secure Mail。

3. 打开新的电子邮件窗体,然后轻按从 ShareFile 附加。此时将显示可以附加到电子邮件中的文件,但不提示输入用户名或密码。

为其他 ShareFile 客户端配置 NetScaler Gateway

如果要配置对未打包的 ShareFile 客户端(例如 Web 站点、Outlook 插件或同步客户端)的访问,必须将 NetScaler Gateway 配置为支持使用 XenMobile 作为 SAML 身份提供程序,如下所示:

  • 禁用主页重定向。
  • 创建 ShareFile 会话策略和配置文件。
  • 在 NetScaler Gateway 虚拟服务器上配置策略。

禁用主页重定向

必须禁用通过 /cginfra 路径发出的请求的默认行为,以便用户能够看到最初请求的内部 URL,而非配置的主页。

1. 编辑用于 XenMobile 登录的 NetScaler Gateway 虚拟服务器的设置。在 NetScaler 10.5 中,转至 Other Settings(其他设置),然后取消选中标记了 Redirect to Home Page(重定向到主页)的复选框。

localized image

2. 在 ShareFile 下方,键入 XenMobile 内部服务器的名称和端口号。

3. 在 AppController 下方,键入 XenMobile URL。

此配置授权您向通过 /cginfra 路径输入的 URL 发送请求。

创建 ShareFile 会话策略并请求配置文件

请配置以下设置以创建 ShareFile 会话策略并请求配置文件:

1. 在 NetScaler Gateway 配置实用程序的左侧导航窗格中单击 NetScaler Gateway > Policies(策略)> Session(会话)

2. 创建一个新会话策略。在 Policies(策略)选项卡上,单击 Add(添加)。

3. 在 Name(名称)字段中,键入 ShareFile_Policy

4. 单击 + 按钮创建新操作。此时将显示 Create NetScaler Gateway Session Profile(创建 NetScaler Gateway 会话配置文件)页面。

localized image

配置以下设置:

  • Name(名称):键入 ShareFile_Profile。
  • 单击 Client Experience(客户端体验)选项卡,然后配置以下设置:
    • Home Page(主页):键入“none”(无)。
    • Session Time-out (mins)(会话超时(分钟)):键入 1。
    • Single Sign-on to Web Applications(单点登录到 Web 应用程序):选择此设置。
    • Credential Index(凭据索引):在列表中,单击“PRIMARY”(主要)。
  • 单击 Published Applications(已发布的应用程序)选项卡。
localized image

配置以下设置:

  • ICA Proxy(ICA 代理):在列表中,单击 ON(开)。
  • Web Interface Address(Web Interface 地址):键入 XenMobile 服务器的 URL。
  • Single Sign-on Domain(单点登录域):键入 Active Directory 的域名。

注意:配置 NetScaler Gateway 会话配置文件时,Single Sign-on Domain(单点登录域)的域后缀必须与在 LDAP 中定义的 XenMobile 域别名匹配。

5. 单击 Create(创建)以定义会话配置文件。

6. 单击 Expression Editor(表达式编辑器)。

localized image

配置以下设置:

  • Value(值):键入 NSC_FSRD。
  • Header Name(标头名称):键入 COOKIE。
  • 单击 Done(完成)。

7. 单击 Create(创建),然后单击 Close(关闭)。

localized image

在 NetScaler Gateway 虚拟服务器上配置策略

在 NetScaler Gateway 虚拟服务器上配置以下设置。

1. 在 NetScaler Gateway 配置实用程序的左侧导航窗格中单击 NetScaler Gateway > Virtual Servers(虚拟服务器)。

2. 在 Details(详细信息)窗格中,单击 NetScaler Gateway 虚拟服务器。

3. 单击编辑

4. 单击 Configured policies(已配置的策略) > Session policies(会话策略),然后单击 Add binding(添加绑定)。

5. 选择 ShareFile_Policy

6. 编辑为选定策略自动生成的 Priority(优先级)编号,以便与列出的任何其他策略相比,其优先级最高(编号最小),如下图所示。

localized image

7. 单击 Done(完成),然后保存运行的 NetScaler 配置。

为非 MDX ShareFile 应用程序配置 SAML

请执行以下步骤,查找 ShareFile 配置的内部应用程序名称。

1. 使用 URL https://:4443/OCA/admin/ 登录 XenMobile 管理员工具。请务必使用大写字母输入 OCA。

2. 在 View(查看)列表中,单击 Configuration(配置)。

localized image

3. 单击 Applications(应用程序)> Applications(应用程序),并记录 Display Name(显示名称)为 ShareFile 的应用程序的 Application Name(应用程序名称)。

localized image

修改 ShareFile.com 的 SSO 设置

1. 以 ShareFile 管理员身份登录 ShareFile 帐户 (https://<子域>.sharefile.com)。

2. 在 ShareFile Web 界面中,单击 Admin(管理),然后选择 Configure Single Sign-on(配置单点登录)。

3. 按如下所示编辑 Login URL(登录 URL):

Login URL(登录 URL)应如下所示:https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1。

localized image
  • 在 XenMobile 服务器的 FQDN 前面插入 NetScaler Gateway 虚拟服务器的外部 FQDN 和 /cginfra/https/,然后在 XenMobile 的 FQDN 后面添加 8443。

URL 现在应如下所示:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

  • 将参数 &app=ShareFile_SAML_SP 更改为 SAML 单点登录与 ShareFile 中步骤 3 中的内部 ShareFile 应用程序名称。内部名称默认为 ShareFile_SAML,但是,每次更改配置时,都会在内部名称后面附加一个数字(ShareFile_SAML_2、ShareFile_SAML_3,依此类推)。

URL 现在应如下所示:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

  • 向 URL 的结尾末尾添加 &nssso=true。

修改后的 URL 现在应如下所示:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

重要:每次在 XenMobile 控制台中编辑或重新创建 ShareFile 应用程序或更改 ShareFile 设置时,都会在内部应用程序名称后附加一个新数字,这意味着您还必须在 ShareFile Web 站点中更新登录 URL,以反映更新后的应用程序名称。

4. 在 Optional Settings(可选设置)下方,选中 Enable Web Authentication(启用 Web 身份验证)复选框。

localized image

验证配置

请执行以下配置以验证设置。

1. 将浏览器指向 https://<子域>sharefile.com/saml/login。

系统会将您重定向到 NetScaler Gateway 登录表单。如果未被重定向,请验证前面的配置设置。

2. 输入所配置的 NetScaler Gateway 和 XenMobile 环境的用户名和密码。

此时将在 <子域>.sharefile.com 下显示您的 ShareFile 文件夹。如果未显示您的 ShareFile 文件夹,请确保您输入了正确的登录凭据。