SAML 单点登录与 ShareFile
可以将 XenMobile 和 ShareFile 配置为使用安全声明标记语言 (SAML) 来提供对 ShareFile 移动应用程序的单点登录 (SSO) 访问。此功能包括使用 MDX Toolkit 打包的 ShareFile 应用程序和未打包的 ShareFile 客户端(例如 Web 站点、Outlook 插件或同步客户端)。
- 对于打包的 ShareFile 应用程序。通过 ShareFile 移动应用程序登录 ShareFile 的用户将被重定向到 Secure Hub 进行用户身份验证以及获取 SAML 令牌。成功进行身份验证后,ShareFile 移动应用程序会将 SAML 令牌发送到 ShareFile。初始登录后,用户可以通过 SSO 访问 ShareFile 移动应用程序。还可以将附件从 ShareFile 附加到 Secure Mail 邮件,而不需要每次都登录。
- 对于未打包的 ShareFile 客户端。使用 Web 浏览器或其他 ShareFile 客户端登录 ShareFile 的用户将被重定向到 XenMobile。XenMobile 对用户进行身份验证,然后用户获取发送到 ShareFile 的 SAML 令牌。初始登录后,用户可以通过 SSO 访问 ShareFile 客户端,而不需要每次都登录。
要将 XenMobile 作为 SAML 身份提供程序 (IdP) 用于 ShareFile,必须将 XenMobile 配置为使用 ShareFile Enterprise,如本文所述。或者,可以将 XenMobile 配置为只与 StorageZone 连接器一起使用。有关详细信息,请参阅ShareFile 与 XenMobile 结合使用。
有关详细的参考体系结构图,请参阅体系结构。
必备条件
先完成以下必备条件,才能对 XenMobile 和 ShareFile 应用程序配置 SSO:
-
MDX Service 或兼容版本的 MDX Toolkit(适用于 ShareFile 移动应用程序)。
有关详细信息,请参阅XenMobile 兼容性。
- 兼容版本的 ShareFile 移动应用程序和 Secure Hub。
- ShareFile 管理员帐户。
- 通过验证的 XenMobile 与 ShareFile 之间的连接。
配置 ShareFile 访问
为 ShareFile 设置 SAML 之前,请按如下所示提供 ShareFile 访问信息:
-
在 XenMobile Web 控制台中,单击配置 > ShareFile。此时将显示 ShareFile 配置页面。
-
配置以下设置:
-
域: 键入 ShareFile 子域名称。例如:
example.sharefile.com
。 - 分配给交付组: 选择或搜索希望能够对 ShareFile 使用 SSO 的交付组。
- ShareFile 管理员帐户登录
- 用户名: 键入 ShareFile 管理员用户名。此用户必须具有管理员权限。
- 密码: 键入 ShareFile 管理员密码。
- 用户帐户预配: 要在 XenMobile 中启用用户预配,请启用此设置。要使用 ShareFile 用户管理工具进行用户预配,请让此设置保留禁用状态。
注意:
如果选定的角色中包含没有 ShareFile 帐户的用户,并且您启用了用户帐户预配:XenMobile 会自动为该用户预配一个 ShareFile 帐户。Citrix 建议您使用具有小型成员身份的角色以测试配置。这样可以避免出现许多没有 ShareFile 帐户的用户的可能性。
-
域: 键入 ShareFile 子域名称。例如:
-
单击测试连接按钮以确认 ShareFile 管理员帐户的用户名和密码是否可以向指定的 ShareFile 帐户进行身份验证。
-
单击保存。XenMobile 将与 ShareFile 同步并更新 ShareFile 设置 ShareFile 颁发者/实体 ID 和登录 URL。
为打包的 ShareFile MDX 应用程序设置 SAML
以下步骤适用于 iOS 和 Android 应用程序和设备。
-
使用 MDX Toolkit 打包 ShareFile 移动应用程序。有关使用 MDX Toolkit 打包应用程序的详细信息,请参阅使用 MDX Toolkit 打包应用程序。
-
在 XenMobile 控制台中,上载打包的 ShareFile 移动应用程序。有关上载 MDX 应用程序的信息,请参阅将 MDX 应用程序添加到 XenMobile。
-
验证 SAML 设置:使用在上面配置的管理员用户名和密码登录 ShareFile。
-
确认为 ShareFile 和 XenMobile 配置了相同的时区。确保 XenMobile 按配置的时区显示正确时间。如果不正确,SSO 可能会失败。
验证 ShareFile 移动应用程序
-
在用户设备上,安装和配置 Secure Hub。
-
从 XenMobile Store 下载并安装 ShareFile 移动应用程序。
-
启动 ShareFile 移动应用程序。ShareFile 将启动,但不提示输入用户名和密码。
使用 Secure Mail 验证
-
在用户设备上,如果尚未安装和配置 Secure Hub,请进行安装和配置。
-
从 XenMobile Store 下载、安装并设置 Secure Mail。
-
打开新的电子邮件窗体,并轻按从 ShareFile 附加。此时将显示可以附加到电子邮件中的文件,但不提示输入用户名或密码。
为其他 ShareFile 客户端配置 NetScaler Gateway
要配置对未打包的 ShareFile 客户端(例如 Web 站点、Outlook 插件或同步客户端)的访问,请将 NetScaler Gateway 配置为支持将 XenMobile 用作 SAML 身份提供程序,如下所示。
- 禁用主页重定向。
- 创建 ShareFile 会话策略和配置文件。
- 在 NetScaler Gateway 虚拟服务器上配置策略。
禁用主页重定向
对通过 /cginfra 路径发出的请求禁用默认行为。执行该操作后,用户将看到最初请求的内部 URL,而非配置的主页。
-
编辑用于 XenMobile 登录的 NetScaler Gateway 虚拟服务器的设置。在 NetScaler 中,转至 Other Settings(其他设置),然后取消选中标签为 Redirect to Home Page(重定向到主页)的复选框。
-
在 ShareFile 下方,键入 XenMobile 内部服务器的名称和端口号。
-
在 AppController 下方,键入 XenMobile URL。
此配置授权您向通过 /cginfra 路径输入的 URL 发送请求。
创建 ShareFile 会话策略并请求配置文件
请配置以下设置以创建 ShareFile 会话策略并请求配置文件:
-
在 NetScaler Gateway 配置实用程序的左侧导航窗格中单击 NetScaler Gateway > Policies(策略)> Session(会话)。
-
创建会话策略。在 Policies(策略)选项卡上,单击 Add(添加)。
-
在 Name(名称)字段中,键入 ShareFile_Policy。
-
单击 + 按钮创建操作。此时将显示 Create NetScaler Gateway Session Profile(创建 NetScaler Gateway 会话配置文件)页面。
配置以下设置:
- Name(名称): 键入 ShareFile_Profile。
- 单击 Client Experience(客户端体验)选项卡,然后配置以下设置:
- Home Page(主页): 键入 none(无)。
- Session Time-out (mins)(会话超时(分钟)):键入 1。
- Single Sign-on to Web Applications(单点登录到 Web 应用程序): 选择此设置。
- Credential Index(凭据索引): 单击 PRIMARY(主要)。
- 单击 Published Applications(已发布的应用程序)选项卡。
配置以下设置:
- ICA Proxy(ICA 代理): 单击 ON(开)。
- Web Interface Address(Web Interface 地址): 键入 XenMobile Server 的 URL。
-
Single Sign-on Domain(单点登录域): 键入 Active Directory 的域名。
配置 NetScaler Gateway 会话配置文件时,Single Sign-on Domain(单点登录域)的域后缀必须与在 LDAP 中定义的 XenMobile 域别名匹配。
-
单击 Create(创建)以定义会话配置文件。
-
单击 Expression Editor(表达式编辑器)。
配置以下设置:
- Value(值): 键入 NSC_FSRD。
- Header Name(标头名称): 键入 COOKIE。
-
单击 Create(创建),然后单击 Close(关闭)。
在 NetScaler Gateway 虚拟服务器上配置策略
在 NetScaler Gateway 虚拟服务器上配置以下设置。
-
在 NetScaler Gateway 配置实用程序的左侧导航窗格中单击 NetScaler Gateway > Virtual Servers(虚拟服务器)。
-
在 Details(详细信息)窗格中,单击 NetScaler Gateway 虚拟服务器。
-
单击编辑。
-
单击 Configured policies(已配置的策略) > Session policies(会话策略),然后单击 Add binding(添加绑定)。
-
选择 ShareFile_Policy。
-
编辑为选定策略自动生成的 Priority(优先级)编号,以便与列出的任何其他策略相比,其优先级最高(编号最小)。例如:
-
单击 Done(完成),然后保存运行的 NetScaler 配置。
为非 MDX ShareFile 应用程序配置 SAML
请执行以下步骤,查找 ShareFile 配置的内部应用程序名称。
-
使用 URL
https://<XenMobile server>:4443/OCA/admin/
登录 XenMobile 管理员工具。请务必使用大写字母输入 OCA。 -
在 View(查看)列表中,单击 Configuration(配置)。
-
单击 Applications(应用程序)> Applications(应用程序),并记录 Display Name(显示名称)为 ShareFile 的应用程序的 Application Name(应用程序名称)。
修改 ShareFile.com 的 SSO 设置
针对 MDX 和非 MDX ShareFile 应用程序进行以下更改。
重要:
每次在 XenMobile 中编辑或重新创建 ShareFile 应用程序或更改 ShareFile 设置时,都会在内部应用程序名称后附加一个新数字。因此,您还必须在 ShareFile Web 站点中更新登录 URL,以反映更新后的应用程序名称。
ShareFile 不再发送 Chrome 或 FireFox 上的引用标头。有关信息,请参阅 发行说明,ShareFile Web 应用程序 v19.17。
-
以 ShareFile 管理员身份登录 ShareFile 帐户 (
https://<subdomain>.sharefile.com
)。 -
在 ShareFile Web 界面中,单击 Admin(管理),然后选择 Configure Single Sign-on(配置单点登录)。
-
按如下所示编辑 Login URL(登录 URL):
下面是编辑之前的 Login URL(登录 URL)示例:
https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1
。-
在 XenMobile Server 的 FQDN 前面插入 NetScaler Gateway 虚拟服务器的外部 FQDN 和
/cginfra/https/
,然后在 XenMobile 的 FQDN 后面添加 8443。下面是编辑后的 URL 示例:
https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1
-
将参数
&app=ShareFile_SAML_SP
更改为内部 ShareFile 应用程序名称。默认情况下,内部名称为ShareFile_SAML
。但是,每次更改配置时,都会向内部名称附加一个数字(ShareFile_SAML_2
、ShareFile_SAML_3
等)。下面是编辑后的 URL 示例:
https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1
-
向 URL 的末尾添加
&nssso=true
。下面是最终 URL 示例:
https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true
。
-
-
在 Optional Settings(可选设置)下方,选中 Enable Web Authentication(启用 Web 身份验证)复选框。
验证配置
请执行以下配置以验证设置。
-
在浏览器中访问
https://<subdomain>sharefile.com/saml/login
。系统会将您重定向到 NetScaler Gateway 登录表单。如果未被重定向,请验证前面的配置设置。
-
输入所配置的 NetScaler Gateway 和 XenMobile 环境的用户名和密码。
将显示您在
<subdomain>.sharefile.com
处的 ShareFile 文件夹。如果未显示您的 ShareFile 文件夹,请确保您输入了正确的登录凭据。