ShareFile Single Sign-On-Konfigurationshandbuch für ADFS 3

Voraussetzungen für die Installation

Um Citrix Content Collaboration für die Authentifizierung bei den Active Directory-Verbunddiensten einzurichten, benötigen Sie Folgendes:

  • Windows Server 2012 R2
  • Ein öffentlich signiertes SSL-Zertifikat von einer CA. Selbstsignierte und unsignierte Zertifikate werden nicht akzeptiert.
  • Ein FQDN für Ihren ADFS-Server
  • Zugriff auf ein Administratorkonto in Citrix Content Collaboration mit der Möglichkeit, Single Sign-On zu konfigurieren.

Hinweis:

Informationen zur Bereitstellung von Benutzern aus Ihrem Active Directory für Citrix Content Collaboration finden Sie in der Installationsanleitung des Benutzerverwaltungstools.

ADFS 3.0 (rollenbasierte Installation)

  1. Sie können Microsoft Active Directory Federated Services 3.0 nicht separat herunterladen. Sie müssen für diese Version einen Windows 2012 R2-Server verwenden.

    adfs3 Bild 1

  2. Installieren Sie die rollenbasierte oder funktionsbasierte Installation. Klicken Sie auf Weiter.

    adfs3 Bild 2

  3. Wählen Sie den Server für die Installation aus und klicken Sie auf Weiter. Wählen Sie dann Active Directory Federation Services aus. Klicken Sie auf Weiter.

    adfs3 Bild 3

  4. Klicken Sie auf Weiter durch den Bildschirm Serverrollen, AD FS und dann weiter zum Bestätigungsbildschirm. Markieren Sie das Kontrollkästchen für Neustart, sagen Sie Ja im nächsten Bildschirm und klicken Sie auf Installieren.

    adfs3 Bild 4

  5. Wenn ADFS installiert ist, müssen Sie eine Aktivität nach der Bereitstellung abschließen, wenn dies der erste AD FS-Server in Active Directory ist. Verwenden Sie für diesen Schritt Ihre eigenen Konfigurationsinformationen.

    adfs3 Bild 5

ADFS 3.0 einrichten

  1. Starten Sie in der ADFS 3.0-Verwaltungskonsole den Konfigurationsassistenten.
  2. Wenn der Assistent gestartet wird, wählen Sie Neuen Verbunddienst erstellen und klicken Sie auf Weiter.

    adfs3 Bild 6

    adfs3 Bild 7

  3. Da wir ein Platzhalterzertifikat verwenden, müssen wir einen Verbunddienstnamen ermitteln. Wenn Sie kein Platzhalter-SSL-Zertifikat verwenden, müssen Sie diesen Schritt möglicherweise nicht ausführen. Klicken Sie dann auf Weiter, um fortzufahren.

    adfs3 Bild 8

  4. Klicken Sie zur Konfiguration auf Weiter.

    adfs3 Bild 9

  5. Vergewissern Sie sich, dass alle Konfigurationen ohne Fehler abgeschlossen wurden, klicken Sie auf Schließen und beenden Sie den Assistenten.

    adfs3 Bild 10

    adfs3 Bild 11

  6. Erweitern Sie den Knoten Service in der Management Console. Wählen Sie das Token-Signaturzertifikat aus und klicken Sie in der rechten Spalte auf Zertifikat anzeigen.

    adfs3 Bild 12

  7. Wählen Sie im Fenster Zertifikat die Registerkarte Details und klicken Sie dann auf In Datei kopieren.

    adfs3 Bild 13

  8. Klicken Sie zum Fortfahren auf Weiter.

    adfs3 Bild 14

  9. Wählen Sie Base-64-kodiertes X.509 (.CER) als Exportformat für das Zertifikat aus und klicken Sie dann auf Weiter.

    adfs3 Bild 15

  10. Speichern Sie die Zertifikatsdatei und klicken Sie auf Weiter.

    adfs3 Bild 16

  11. Klicken Sie auf Fertig stellen, um die Datei zu speichern.

    adfs3 Bild 17

  12. Navigieren Sie zu dem Ordner, in den Sie das Zertifikat exportiert haben, und öffnen Sie es mit Editor.

    adfs3 Bild 18

  13. Wählen Sie den gesamten Text im Editor aus und kopieren Sie ihn.

    adfs3 Bild 19

  14. Öffnen Sie den Internet Explorer und rufen Sie Ihr Citrix Content Collaboration-Konto auf (https://<yoursubdomain>.sharefile.com). Melden Sie sich mit Ihrem Administratorkonto an. Navigieren Sie zu Admin-Einstellungen > Sicherheit > Anmelde- und Sicherheitsrichtlinie. Finden Sie die Single Sign-On/SAML 2.0-Konfiguration.
    • Legen Sie die Einstellung SAML aktivieren auf Ja fest.
    • ShareFile-Aussteller/Entitäts-ID: https://<subdomain>.sharefile.com/saml/info
    • Eigene IdP-Aussteller-/Entitäts-ID: https://<adfs>.yourdomain.com
    • X.509-Zertifikat: Fügen Sie den Inhalt des exportierten Zertifikats aus dem vorherigen Abschnitt ein
    • Anmelde-URL: https://<adfs>.yourdomain.com/adfs/ls

    adfs3 Bild 20

  15. Ändern Sie unter Optionale Einstellungen die folgenden Werte.
    • Aktivieren Sie die Web-Authentifizierung: Ja (Check markiert)
    • SP-initiierter Auth Context: Benutzername und Kennwort — Minimum

    adfs3 Bild 21

  16. Minimieren Sie Internet Explorer und kehren Sie zur ADFS-Managementkonsole zurück. Erweitern Sie den Knoten Trust Relationships und wählen Sie Relying Party Trusts aus. Klicken Sie dann auf Add Relying Party Trust… in der rechten Seite der Konsole. Dadurch wird der Add Relying Trust Wizard gestartet.

    adfs3 Bild 22

  17. Klicken Sie auf Start, um mit der Angabe eines Relying Party Trust zu beginnen.

    adfs3 Bild 23

  18. Durch das Abrufen der Metadaten von der SAML-Site kann der Trust automatisch für Sie konfiguriert werden. Verwenden Sie https://<yoursubdomain>.sharefile.com/saml/metadata als Verbund-Metadatenadresse (Hostname oder URL). Klicken Sie auf Weiter.

    adfs3 Bild 24

  19. Geben Sie einen Anzeigenamen an. In der Regel belassen Sie diesen bei <yoursubdomain>.sharefile.com, damit Sie die verschiedenen Trusts voneinander unterscheiden können.

    adfs3 Bild 25

    adfs3 Bild 26

  20. Erlauben Sie allen Benutzern den Zugriff auf diese vertrauende Seite. Klicken Sie auf Weiter.

    adfs3 Bild 27

  21. Vergewissern Sie sich, dass die Informationen korrekt sind, und klicken Sie auf Weiter.

    adfs3 Bild 28

  22. Vergewissern Sie sich, dass das Kontrollkästchen Open the Edit Claim Rules dialog for this relying party trust when the wizard closes aktiviert ist. Klicken Sie anschließend auf Schließen.

    adfs3 Bild 29

  23. Klicken Sie auf der Registerkarte Issuance Transform Rules auf Regel hinzufügen.

    adfs3 Bild 30

  24. Die erste Regel besteht darin, LDAP-Attribute als Ansprüche zu senden.

    adfs3 Bild 31

  25. Benutzer der Citrix Content Collaboration-Plattform werden anhand ihrer E-Mail-Adresse identifiziert. Wir senden den Anspruch als UPN. Geben Sie einen aussagekräftigen Namen für die Anspruchsregel ein, z. B. E-Mail-Adresse an E-Mail-Adresse. Wählen Sie Active Directory als Attributspeicher aus. Wählen Sie abschließend E-Mail-Adresse als LDAP-Attribut und E-Mail-Adresse als ausgehenden Anspruchstyp aus. Klicken Sie auf Fertig stellen.

    adfs3 Bild 32

  26. Erstellen Sie eine zweite Regel. Diese Regel wird verwendet, um einen eingehenden Anspruch zu transformieren. Klicken Sie auf Weiter.

    adfs3 Bild 33

  27. Der eingehende Anspruchstyp wandelt die eingehende E-Mail-Adresse in einen ausgehenden Name-ID-Anspruchstyp im E-Mail-Format um. Geben Sie der Regel einen aussagekräftigen Namen, z. B. Namens-ID in E-Mail-Adresse. Der eingehende Anspruchstyp ist E-Mail-Adresse, der ausgehende Anspruchstyp ist Name ID. Das Format für ausgehende Namen ist E-Mail. Klicken Sie auf Fertig stellen.

    adfs3 Bild 34

  28. Vergewissern Sie sich, dass die Ansprüche korrekt sind, und klicken Sie dann auf OK.

    adfs3 Bild 35

  29. Wechseln Sie zu einem beliebigen Webbrowser und navigieren Sie zu https://<yoursubdomain>.sharefile.com/saml/login. Sie werden zu Ihren ADFS-Diensten umgeleitet. Wenn Ihre Anmelde-E-Mail mit einem Benutzer in AD verknüpft ist, können Sie sich mit Ihren AD-Anmeldeinformationen authentifizieren.

    adfs3 Bild 36

ShareFile Single Sign-On-Konfigurationshandbuch für ADFS 3