SAML 单点登录与 Citrix Files
可以将 XenMobile 和 ShareFile 配置为使用安全声明标记语言 (SAML) 来提供对 Citrix Files 移动应用程序的单点登录 (SSO) 访问。此功能包括:
- 使用 MDX Toolkit 启用或封装 MAM SDK 的 Citrix Files 应用程序
-
未封装的 Citrix Files 客户端,例如 Web 站点、Outlook 插件或同步客户端
- 适用于打包的 Citrix Files 应用程序。通过 Citrix Files 移动应用程序登录 Citrix Files 的用户将被重定向到 Secure Hub 进行用户身份验证以及获取 SAML 令牌。成功进行身份验证后,Citrix Files 移动应用程序会将 SAML 令牌发送到 ShareFile。初始登录后,用户可以通过 SSO 访问 Citrix Files 移动应用程序。还可以将附件从 ShareFile 附加到 Secure Mail 邮件,而不需要每次都登录。
- 对于未打包的 Citrix Files 客户端。使用 Web 浏览器或其他 Citrix Files 客户端登录 Citrix Files 的用户将被重定向到 XenMobile。XenMobile 对用户进行身份验证,然后用户获取发送到 ShareFile 的 SAML 令牌。初始登录后,用户可以通过 SSO 访问 Citrix Files 客户端,而不需要每次都登录。
要将 XenMobile 作为 SAML 身份提供程序 (IdP) 用于 ShareFile,必须将 XenMobile 配置为使用 Enterprise 帐户,如本文中所述。或者,可以将 XenMobile 配置为只与存储区域连接器一起使用。有关详细信息,请参阅将 ShareFile 与 XenMobile 结合使用。
有关详细的参考体系结构图,请参阅体系结构。
必备条件
先完成以下必备条件,才能对 XenMobile 和 Citrix Files 应用程序配置 SSO:
-
MAM SDK 或兼容版本的 MDX Toolkit(适用于 Citrix Files 移动应用程序)。
有关详细信息,请参阅 XenMobile 兼容性。
- 兼容版本的 Citrix Files 移动应用程序和 Secure Hub。
- ShareFile 管理员帐户。
- 通过验证的 XenMobile 与 ShareFile 之间的连接。
配置 ShareFile 访问
为 ShareFile 设置 SAML 之前,请按如下所示提供 ShareFile 访问信息:
-
在 XenMobile Web 控制台中,单击配置 > ShareFile。此时将显示 ShareFile 配置页面。
-
配置以下设置:
-
域: 键入 ShareFile 子域名称。例如:
example.sharefile.com
。 - 分配给交付组: 选择或搜索希望能够对 ShareFile 使用 SSO 的交付组。
- ShareFile 管理员帐户登录
- 用户名: 键入 ShareFile 管理员用户名。此用户必须具有管理员权限。
- 密码: 键入 ShareFile 管理员密码。
- 用户帐户预配: 保留此设置处于禁用状态。使用 ShareFile 用户管理工具进行用户预配。请参阅预配用户帐户和通讯组。
-
域: 键入 ShareFile 子域名称。例如:
-
单击测试连接按钮以确认 ShareFile 管理员帐户的用户名和密码是否可以向指定的 ShareFile 帐户进行身份验证。
-
单击保存。
-
XenMobile 将与 ShareFile 同步并更新 ShareFile 设置 ShareFile 颁发者/实体 ID 和登录 URL。
-
配置 > ShareFile 页面显示应用程序内部名称。您需要该名称才能完成后面在修改 Citrix Files.com SSO 设置中介绍的步骤。
-
为封装的 Citrix Files MDX 应用程序设置 SAML
对于包含封装的 Citrix Files MDX 应用程序的单点登录配置,您无需使用 Citrix Gateway。要为未封装的 Citrix Files 客户端(例如 Web 站点、Outlook 插件或同步客户端)配置访问权限,请参阅为其他 Citrix Files 客户端配置 Citrix Gateway。
以下步骤适用于 iOS 和 Android 应用程序和设备。要为封装的 Citrix Files MDX 应用程序配置 SAML,请执行以下操作:
-
使用 MDX Toolkit 打包 Citrix Files 移动应用程序。有关使用 MDX Toolkit 打包应用程序的详细信息,请参阅使用 MDX Toolkit 打包应用程序。
-
在 XenMobile 控制台中,上载打包的 Citrix Files 移动应用程序。有关上载 MDX 应用程序的信息,请参阅向 XenMobile 中添加 MDX 应用程序。
-
验证 SAML 设置:使用您之前配置的管理员用户名和密码登录 ShareFile。
-
确认为 ShareFile 和 XenMobile 配置了相同的时区。确保 XenMobile 按配置的时区显示正确时间。如果不正确,SSO 可能会失败。
验证 Citrix Files 移动应用程序
-
在用户设备上,安装和配置 Secure Hub。
-
从 XenMobile Store 下载并安装 Citrix Files 移动应用程序。
-
启动 Citrix Files 移动应用程序。Citrix Files 将启动,但不提示输入用户名和密码。
使用 Secure Mail 验证
-
在用户设备上,如果尚未安装和配置 Secure Hub,请进行安装和配置。
-
从 XenMobile Store 下载、安装并设置 Secure Mail。
-
打开新的电子邮件窗体,并轻按从 Citrix Files 附加。此时将显示可以附加到电子邮件中的文件,但不提示输入用户名或密码。
为其他 Citrix Files 客户端配置 Citrix Gateway
要配置对未打包的 Citrix Files 客户端(例如 Web 站点、Outlook 插件或同步客户端)的访问,请将 Citrix Gateway 配置为支持将 XenMobile 用作 SAML 身份提供程序,如下所示。
- 禁用主页重定向。
- 创建 Citrix Files 会话策略和配置文件。
- 在 Citrix Gateway 虚拟服务器上配置策略。
禁用主页重定向
对通过 /cginfra 路径发出的请求禁用默认行为。执行该操作后,用户将看到最初请求的内部 URL,而非配置的主页。
-
编辑用于 XenMobile 登录的 Citrix Gateway 虚拟服务器的设置。在 Citrix ADC 中,转至 Other Settings(其他设置),然后取消选中标签为 Redirect to Home Page(重定向到主页)的复选框。
-
在 ShareFile(现在称为 ShareFile)下,键入您的 XenMobile 内部服务器名称和端口号。
-
在 Citrix Endpoint Management 下,键入您的 XenMobile URL。您的 Citrix Gateway 版本可能会引用较旧的产品名称 AppController。
此配置授权您向通过 /cginfra 路径输入的 URL 发送请求。
创建 Citrix Files 会话策略并请求配置文件
请配置以下设置以创建 Citrix Files 会话策略并请求配置文件:
-
在 Citrix Gateway 配置实用程序的左侧导航窗格中单击 Citrix Gateway > Policies(策略)> Session(会话)。
-
创建会话策略。在 Policies(策略)选项卡上,单击 Add(添加)。
-
在 Name(名称)字段中,键入 ShareFile_Policy。
-
单击 + 按钮创建操作。此时将显示 Create Session Profile(创建会话配置文件)页面。
配置以下设置:
- Name(名称): 键入 ShareFile_Profile。
- 单击 Client Experience(客户端体验)选项卡,然后配置以下设置:
- Home Page(主页): 键入 none(无)。
- Session Time-out (mins)(会话超时(分钟)):键入 1。
- Single Sign-on to Web Applications(单点登录到 Web 应用程序): 选择此设置。
- Credential Index(凭据索引): 单击 PRIMARY(主要)。
- 单击 Published Applications(已发布的应用程序)选项卡。
配置以下设置:
- ICA Proxy(ICA 代理): 单击 ON(开)。
- Web Interface Address(Web Interface 地址): 键入 XenMobile Server 的 URL。
-
Single Sign-on Domain(单点登录域): 键入 Active Directory 的域名。
配置 Citrix Gateway 会话配置文件时,Single Sign-on Domain(单点登录域)的域后缀必须与在 LDAP 中定义的 XenMobile 域别名匹配。
-
单击 Create(创建)以定义会话配置文件。
-
单击 Expression Editor(表达式编辑器)。
配置以下设置:
- Value(值): 键入 NSC_FSRD。
- Header Name(标头名称): 键入 COOKIE。
-
单击 Create(创建),然后单击 Close(关闭)。
在 Citrix Gateway 虚拟服务器上配置策略
在 Citrix Gateway 虚拟服务器上配置以下设置。
-
在 Citrix Gateway 配置实用程序的左侧导航窗格中单击 Citrix Gateway > Virtual Servers(虚拟服务器)。
-
在 Details(详细信息)窗格中,单击 Citrix Gateway 虚拟服务器。
-
单击编辑。
-
单击 Configured policies(已配置的策略) > Session policies(会话策略),然后单击 Add binding(添加绑定)。
-
选择 ShareFile_Policy。
-
编辑为选定策略自动生成的 Priority(优先级)编号,以便与列出的任何其他策略相比,其优先级最高(编号最小)。例如:
-
单击 Done(完成),然后保存运行的 Citrix ADC 配置。
修改 Citrix Files.com SSO 设置
针对 MDX 和非 MDX Citrix Files 应用程序进行以下更改。
重要:
内部应用程序名称附加了一个新编号:
- 每次编辑或重新创建 Citrix Files 应用程序时
- 每次在 XenMobile 中更改 ShareFile 设置时
因此,您还必须在 Citrix Files Web 站点中更新登录 URL,以反映更新后的应用程序名称。
-
以 ShareFile 管理员身份登录 ShareFile 帐户 (
https://<subdomain>.sharefile.com
)。 -
在 ShareFile Web 界面中,单击 Admin(管理),然后选择 Configure Single Sign-on(配置单点登录)。
-
按如下所示编辑 Login URL(登录 URL):
下面是编辑之前的 Login URL(登录 URL)示例:
https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1
。-
在 XenMobile Server 的 FQDN 前面插入 Citrix Gateway 虚拟服务器的外部 FQDN 和
/cginfra/https/
,然后在 XenMobile 的 FQDN 后面添加 8443。下面是编辑后的 URL 示例:
https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=SHareFile_SAML_SP&reqtype=1
-
将参数
&app=ShareFile_SAML_SP
更改为内部 Citrix Files 应用程序名称。默认情况下,内部名称为ShareFile_SAML
。但是,每次更改配置时,都会向内部名称附加一个数字(ShareFile_SAML_2
、ShareFile_SAML_3
等)。可以在配置 > ShareFile 页面上查找应用程序内部名称。下面是编辑后的 URL 示例:
https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1
-
向 URL 的末尾添加
&nssso=true
。下面是最终 URL 示例:
https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true
。
-
-
在 Optional Settings(可选设置)下方,选中 Enable Web Authentication(启用 Web 身份验证)复选框。
验证配置
请执行以下配置以验证设置。
-
在浏览器中访问
https://<subdomain>sharefile.com/saml/login
。系统会将您重定向到 Citrix Gateway 登录表单。如果未被重定向,请验证前面的配置设置。
-
输入所配置的 Citrix Gateway 和 XenMobile 环境的用户名和密码。
此时将在
<subdomain>.sharefile.com
下显示您的 Citrix Files 文件夹。如果未显示您的 Citrix Files 文件夹,请确保您输入了正确的登录凭据。