Citrix Content Collaboration Single Sign-On-Konfigurationsleitfaden für Anbieter von dualen Identitäten

Dieses Dokument hilft bei der Konfiguration der Verwendung von Citrix Endpoint Management und Active Directory Federated Services (ADFS) als Identity Provider (IdP) für ein einzelnes Citrix Content Collaboration-Konto. Die resultierende Konfiguration ermöglicht es, dass das Tokensignaturzertifikat auf dem ADFS-Server mit dem SAML-Zertifikat auf dem Citrix Endpoint Management-Server identisch ist. Dies bietet ein einzelnes Citrix Content Collaboration-Konto für:

  • Verwenden Sie Citrix Endpoint Management als IdP für MDX-umhüllte Apps. Bereitstellung eines echten Single Sign-On-Erlebnisses (SSO) von einem mobilen Gerät aus mithilfe von Citrix Files MDX-Anwendungen.
  • Verwenden Sie ADFS als SAML-IdP für SSO für Webapps.

Voraussetzungen

  • Citrix Endpoint Management 10.x-Server mit voll funktionsfähigem Single Sign-On für MDX, konfiguriert für das Citrix Content Collaboration-Konto.
  • ADFS wurde in der Infrastruktur installiert und konfiguriert.
  • Zugriff auf ein Administratorkonto in Citrix Content Collaboration mit der Möglichkeit, Single Sign-On zu konfigurieren.

Vorbereitung des ADFS-Tokensignierungszertifikats

Bei der Konfiguration von ADFS für SSO in Citrix Content Collaboration ist es erforderlich, das ADFS-Tokensignaturzertifikat ohne den privaten Schlüssel in das Citrix Content Collaboration Control Panel hochzuladen. ADFS generiert ein selbstsigniertes Zertifikat für die Tokensignierung und Token-Entschlüsselung mit einer Gültigkeitsdauer von 1 Jahr. Das selbstsignierte Zertifikat enthält jedoch einen privaten Schlüssel.

Nach Ablauf eines Jahres wird das selbstsignierte Zertifikat 15 Tage vor Ablauf mithilfe des automatischen Zertifikatsrollovers erneuert und wird zum primären Zertifikat. Dies führt dazu, dass alle bestehenden SSO-Vertrauensbeziehungen scheitern. Für diese Konfiguration wird die SAML-Zertifizierung von der Citrix Endpoint Management-Konsole mit einer Gültigkeitsdauer von 3 Jahren exportiert. Die Gültigkeitsdauer des Zertifikats ist anpassbar und macht eine Verlängerung des Tokensignaturzertifikats nach einem Jahr überflüssig.

Generieren Sie das SAML-Zertifikat

  1. Melden Sie sich bei der NetScaler Gateway-GUI an.
  2. Navigieren Sie zu Traffic Management > SSL.
  3. Wählen Sie im Abschnitt Erste Schritte die Option Root-CA CertificateWizard aus.

    dualer IdP 1

Sie werden nun aufgefordert, den privaten Schlüssel zu erstellen.

  1. Geben Sie im Feld Schlüsseldateiname einen Namen für Ihren Schlüssel ein.
  2. Schlüsselgröße, 2048.
  3. Wert des öffentlichen Exponenten, 3.
  4. Klicken Sie auf Erstellen, um den Schlüssel zu erstellen.

    dualer IdP 2

Der nächste Schritt besteht darin, die Certificate Signing Request (CSR) zu erstellen.

  1. Geben Sie im Feld Name der Anforderungsdatei einen Namen für den CSR ein.
  2. Der Schlüsseldateiname und das PEM-Format sind bereits ausgefüllt.
  3. Stellen Sie die Digest-Methode auf SHA256ein.
  4. Geben Sie in den Feldern Distinguished NameInformationen zu Ihrer Organisation ein.
  5. In Attributfeldern ist kein Anfragekennwort erforderlich. Der Firmenname kann jedoch hinzugefügt werden.
  6. Klicken Sie auf Erstellen, um die CSR-Anfrage abzuschließen.

    dualer IdP 3 doppelter IdP4

Der letzte Schritt besteht darin, das SAML-Zertifikat zu erstellen.

  1. Geben Sie im Feld Name der Zertifikatsdatei den Namen Ihres Zertifikats ein.
  2. Das Zertifikatsformat ist bereits mit PEMgefüllt.
  3. Der Dateiname der Zertifikatsanforderung spiegelt die CSR wider, die Sie im vorherigen Schritt erstellt haben.
  4. Das Schlüsselformat ist standardmäßig PEM.
  5. Geben Sie den Gültigkeitszeitraum (in Tagen) an, für den das Zertifikat gültig sein soll. In diesem Beispiel handelt es sich bei dem erstellten Zertifikat um ein 3-Jahres-Zertifikat. Geben Sie also 1095ein.
  6. Der Schlüsseldateiname ist vom ersten Schritt an voreingestellt.
  7. Klicken Sie auf Erstellen, um das Zertifikat zu erstellen.

    dualer IdP 5

  8. Nachdem Sie das Zertifikat erstellt haben, können Sie den Assistenten beenden, da Sie das Zertifikat nicht auf NetScaler Gateway installieren müssen.
  9. Klicken Sie auf Abbrechen und dann auf JA, um zu bestätigen, dass Sie zum Hauptbildschirm der SSL-GUI zurückkehren möchten.

Exportieren Sie das SAML-Zertifikat

Sie müssen jetzt das neu erstellte Zertifikat und den Schlüssel aus NetScaler Gateway exportieren, um es auf dem Citrix Endpoint Management-Server und auf ADFS zu verwenden. Für Citrix Endpoint Management benötigen Sie die in den vorherigen Schritten erstellten Dateien saml_dualidp.cer und saml_dualidp.key, da das Zertifikat und der Schlüssel bereits ordnungsgemäß für Citrix Endpoint Management formatiert sind. Folgen Sie den Schritten, um die Dateien an einem Ort zu speichern, an dem wir sie dann auf Ihren Citrix Endpoint Management-Server hochladen können, um das integrierte SAML-Zertifikat zu ersetzen.

  1. Klicken Sie in NetScaler Gateway unter Traffic Management > SSL unter Tools auf Zertifikate verwalten/Schlüssel/CSRs.
  2. Klicken Sie auf der Seite Zertifikate verwalten auf Änderungsdatum, wodurch die neuesten Dateien nach oben angezeigt werden. Sie sehen jetzt die 3 neu erstellten Dateien aus den vorherigen Schritten. Wenn Sie sie nicht sehen, können Sie mehr als 25 Elemente pro Seite anzeigen.

    dualer IdP 6

  3. Wählen Sie die Datei saml_dualidp.cer aus und wählen Sie Herunterladen. Speichern Sie an einem Ort Ihrer Wahl.
  4. Folgen Sie dem vorherigen Schritt für die Datei saml_dualidp.key .
  5. Klicken Sie auf Zurück, um zur vorherigen Seite zurückzukehren.

Als Nächstes exportieren Sie das Zertifikat und den Schlüssel in einem Dateiformat, das der ADFS-Server versteht.

  1. Wählen Sie im gleichen Abschnitt Tools wie zuvor die Option PKCS #12 exportierenaus.
  2. Geben Sie in das Feld Datei auswählensaml_dualidp.pfxein.
  3. Wählen Sie im Feld Name der Zertifikatsdatei die Option Datei auswählen, Änderungsdatumund wählen Sie die Datei saml_dualidp.cer aus. Klicken Sie auf Öffnen.
  4. Wählen Sie im Feld Schlüsseldateiname die Option Datei auswählen, Änderungsdatumund wählen Sie die Datei saml_dualidp.key aus. Klicken Sie auf Öffnen.
  5. Geben Sie ein Exportkennwort ein.
  6. Geben Sie die PEM-Passphraseein.
  7. Klicken Sie auf OK, um den Export abzuschließen.

Jetzt müssen Sie die PFX-Datei von NetScaler Gateway an einen Netzwerkspeicherort kopieren.

  1. Wählen Sie im Menü Tools erneut die Option Zertifikate /Schlüssel /CSRs verwalten.
  2. Wählen Sie die neu erstellte Datei saml_dualidp.pfx aus und wählen Sie Herunterladen.
  3. Speichern Sie die Datei an einem lokal zugänglichen Ort.
  4. Schließen Sie die Fenster in NetScaler Gateway.

Der Prozess zur Erstellung des SAML-Zertifikats ist abgeschlossen.

Laden Sie das neu erstellte Tokensignaturzertifikat in ADFS hoch

Der erste Schritt besteht darin, den Zertifikats-Rollover auf dem ADFS-Server zu deaktivieren.

  1. Stellen Sie eine Remoteverbindung zu Ihrem ADFS-Server her.
  2. Standardmäßig ermöglicht ADFS AutoCertificateRollover, das selbstsignierte Zertifikat nach Ablauf von einem Jahr zu erneuern. Diese Funktion muss deaktiviert sein, um das neu erstellte Tokensignaturzertifikat hochzuladen.
  3. Führen Sie PowerShell als Administrator auf dem ADFS-Server aus.
  4. Typ: Get-ADFSProperties.
  5. Um AutoCertificateRollover zu deaktivieren: Set-ADFSProperties -AutoCertificateRollover $false

Anschließend müssen Sie die zuvor exportierte Datei saml_dualidp.pfx auf den ADFS-Server importieren, damit wir sie als Tokensignaturzertifikat verwenden können.

  1. Klicken Sie auf dem ADFS-Server mit der rechten Maustaste,Start > Klicken Sie auf Ausführen > Geben Sie mmcein und wählen Sie die Eingabetaste, um ein Snap-In zu öffnen.
  2. Klicken Sie auf Datei > Snap-In hinzufügen/entfernen.
  3. Wählen Sie im Abschnitt Verfügbare Snap-ins die Option Zertifikateaus und klicken Sie dann auf Hinzufügen.
  4. Wählen Sie Computerkonto aus und klicken Sie auf Weiter.
  5. Wählen Sie Lokaler Computer und dann Fertig stellen und klicken Sie auf OK.
  6. Erweitern Sie unter Console Root die Option Zertifikate > Persönlich > Zertifikate.
  7. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Alle Aufgaben > Importieren.
  8. Klicken Sie auf dem Willkommensbildschirm auf Weiter.
  9. Navigieren Sie zu der Datei saml_dualidp.pfx, die Sie zuvor gespeichert haben, und klicken Sie auf Öffnen.
  10. Wählen Sie Weiter, geben Sie das Kennwort für den privaten Schlüssel ein und wählen Sie erneut Weiter.
  11. Wählen Sie Alle Zertifikate im folgenden Speicher platzieren, Persönlich, und klicken Sie auf Weiter.
  12. Klicken Sie auf Fertig stellen, um den Import abzuschließen und das MMC-Snap-In zu schließen.

Jetzt müssen Sie das Tokensignierungszertifikat in ADFS ändern.

  1. Wählen Sie auf dem ADFS-Server im Server-Manager-Dashboard Tools > ADFS-Verwaltungaus.
  2. Erweitern Sie auf der linken Seite der ADFS-Managementkonsole Service > Zertifikate.
  3. Wählen Sie im Menü Aktionen die Option Token-Signaturzertifikat hinzufügen und wählen Sie das neu importierte Token-Signaturzertifikat aus.
  4. Das neu hinzugefügte Tokensignierungszertifikat wird als sekundäres Zertifikat hinzugefügt. Sie müssen es zur Hauptquelle machen.
  5. Erweitern Sie Service und wählen Sie dann Zertifikate aus.
  6. Klicken Sie auf das Signaturzertifikat für sekundäres Token.
  7. Wählen Sie rechts im Aktionsbereich die Option Als primär festlegen aus. Klicken Sie in der Bestätigungsaufforderung auf Ja.

Konfiguration von Citrix Endpoint Management

Um dasselbe Zertifikat auf Citrix Endpoint Management zu verwenden, müssen Sie nur zwei Aktionen ausführen.

Backup des Citrix Endpoint Management SAML-Zertifikats erstellen

  1. Melden Sie sich beim Citrix Endpoint Management-Server an, klicken Sie oben rechts auf das Zahnradsymbol und wählen Sie dann unter Einstellungen die Option Zertifikate aus.
  2. Markieren Sie das SAML-Zertifikat und klicken Sie dann auf Exportieren.
  3. Wählen Sie aus, dass auch der private Schlüssel exportiert werden soll, und klicken Sie dann auf OK.
  4. Bewahren Sie das Zertifikat an einem sicheren Ort auf.

Neues SAML-Zertifikat installieren

  1. Melden Sie sich beim Citrix Endpoint Management-Server an, klicken Sie auf das Zahnradsymbol und dann unter Einstellungen auf Zertifikate.
  2. Klicken Sie auf Importieren und wählen Sie dann die folgenden Optionen aus:
    • Import: Zertifikat
    • Verwenden als: SAML
    • Zertifikatimport: Durchsuchen Sie Ihre Arbeitsstation oder Ihr Netzwerk nach der zuvor exportierten Datei saml_dualidp.cer.
    • Private Schlüsseldatei: Suchen Sie auf Ihrer Arbeitsstation nach der zuvor exportierten Datei saml_dualidp.key.
    • Kennwort: Geben Sie das Kennwort für den privaten Schlüssel ein.
    • Beschreibung: Geben Sie genügend Details ein, damit andere wissen, welche Funktion es hat.
  3. Klicken Sie auf Import, um den Vorgang abzuschließen.

    dualer IdP 7

  4. Klicken Sie auf dem Citrix Endpoint Management-Server auf Configure und dann auf ShareFile.
  5. Wenn Sie eine vorherige Konfiguration haben, klicken Sie unten rechts auf dem Bildschirm auf Speichern. In diesem Schritt wird das Citrix Content Collaboration-Konto mit dem X.509-Zertifikat aktualisiert, das in den vorherigen Schritten erstellt wurde. Es überschreibt auch die aktuellen SSO-Konfigurationseinstellungen, die in den im nächsten Abschnitt beschriebenen Schritten geändert werden.
  6. Wenn Citrix Content Collaboration noch nicht konfiguriert wurde, geben Sie im Feld Domain Ihr Citrix Content Collaboration-Konto ein.
  7. Wählen Sie eine Bereitstellungsgruppe aus, die Zugriff auf die Citrix Files MDX-Anwendung hat.
  8. Geben Sie Ihren Citrix Content Collaboration Benutzernamen ein. Dies ist ein lokales Administratorkonto.
  9. Geben Sie das Citrix Content Collaboration-Kennwort ein (nicht Ihr Active Directory-Kennwort).
  10. Lassen Sie die Bereitstellung von Benutzerkonten AUS (insbesondere, wenn Sie das Benutzerverwaltungstool verwenden).
  11. Klicken Sie auf Speichern, um die Konfiguration von Citrix Content Collaboration auf Citrix Endpoint Management abzuschließen.

    dualer IdP 8

Citrix Content Collaboration Single Sign-On-Konfigurationsprüfung

Nachdem Citrix Endpoint Management und ADFS für Citrix Content Collaboration konfiguriert wurden, führen Sie die folgenden Schritte aus, um die SSO-Einstellungen zu überprüfen.

  1. Melden Sie sich über die Web-Benutzeroberfläche bei Ihrem Citrix Content Collaboration-Konto an, klicken Sie auf Admin und dann auf Single Sign-on-Seite konfigurieren.
  2. Aussteller/Entity-ID: Diese muss mit dem Identifier Name innerhalb der ADFS-Konfiguration identisch sein.
  3. Anmelde-URL: Anmelde-URL für ADFS (Beispiel: https://adfs.company.com/adfs/ls).
  4. Abmelde-URL: Abmelde-URL für ADFS (Beispiel:). https://adfs.company.com/adfs/ls/?wa=wsignout1.0 Dies muss als Abmeldepunkt zu ADFS hinzugefügt werden, falls dies nicht bereits geschehen ist.
  5. Webauthentifizierung aktivieren: Ja
  6. SP-initiierter Authentifizierungskontext: Wählen Sie die Option Benutzername und Kennwort für die Formularauthentifizierung oder Integrierte Authentifizierung (je nachdem, womit Ihr ADFS-Server konfiguriert ist).

    dualer IdP 9

Testen

Registrieren Sie Ihr Gerät erneut bei Citrix Endpoint Management, laden Sie die App herunter und überprüfen Sie, ob MDX SSO funktioniert. Sie können Tests auch mit der SP-initiierten Authentifizierung durchführen: https://[subdomain].sharefile.com/saml/login.

Citrix Content Collaboration Single Sign-On-Konfigurationsleitfaden für Anbieter von dualen Identitäten