Produktdokumentation
ShareFile
PDF anzeigen

Konfigurationshandbuch für Content Collaboration Single Sign-On für duale Identitätsanbieter

October 23, 2024
Beitrag von: 
C C

Dieses Dokument hilft bei der Konfiguration der Nutzung von Citrix Endpoint Management und Active Directory Federated Services (ADFS) als Identitätsanbieter (IdP) für ein einzelnes Content Collaboration-Konto. Die resultierende Konfiguration ermöglicht, dass das Tokensignaturzertifikat auf dem ADFS-Server mit dem SAML-Zertifikat auf dem Citrix Endpoint Management-Server identisch ist. Dadurch wird ein einzelnes Citrix Content Collaboration-Konto für Folgendes bereitgestellt:

  • Verwenden Sie Citrix Endpoint Management als IdP für MDX-umschlossene Apps. Bereitstellung eines echten Single Sign-On (SSO)-Erlebnisses von einem mobilen Gerät mithilfe von Citrix Files MDX-Anwendungen.
  • Verwenden Sie ADFS als SAML-IdP für SSO für Webanwendungen.

Voraussetzungen

  • Citrix Endpoint Management 10.x-Server mit voll funktionsfähigem Single Sign-On für MDX, konfiguriert für das Citrix Content Collaboration-Konto.
  • ADFS innerhalb der Infrastruktur installiert und konfiguriert.
  • Zugriff auf ein Administratorkonto innerhalb von Citrix Content Collaboration mit der Möglichkeit, Single Sign-On zu konfigurieren.

Vorbereiten des ADFS-Token-Signaturzertifikats

Wenn Sie ADFS für SSO für Citrix Content Collaboration konfigurieren, müssen Sie das ADFS-Token-Signaturzertifikat ohne den privaten Schlüssel in die Citrix Content Collaboration-Systemsteuerung hochladen. ADFS generiert ein selbstsigniertes Zertifikat mit einer Gültigkeit von einem Jahr, das zum Signieren und Entschlüsseln von Token verwendet werden kann. Das selbstsignierte Zertifikat enthält jedoch einen privaten Schlüssel.

Nach einem Jahr wird das selbstsignierte Zertifikat 15 Tage vor Ablauf mithilfe der automatischen Zertifikatsübernahme erneuert und wird zum primären Zertifikat. Dies führt dazu, dass alle bestehenden SSO-Vertrauensbeziehungen fehlschlagen. Für diese Konfiguration wird die SAML-Zertifizierung aus der Citrix Endpoint Management-Konsole mit einer Ablaufdauer von 3 Jahren exportiert. Die Gültigkeitsdauer des Zertifikats ist anpassbar und verringert die Notwendigkeit, das Token-Signaturzertifikat nach einem Jahr zu erneuern.

Generieren des SAML-Zertifikats

  1. Melden Sie sich bei der Citrix Gateway-GUI an.
  2. Navigieren Sie zu Traffic Management > SSL.

  3. Wählen Sie im Abschnitt Erste Schritte die Option Root-CA-Zertifikat-Assistentaus.

    Dualer IdP 1

Sie werden nun aufgefordert, den privaten Schlüssel zu erstellen.

  1. Geben Sie im Feld Schlüsseldateiname einen Namen für Ihren Schlüssel ein.
  2. Schlüsselgröße, 2048.
  3. Öffentlicher Exponentenwert, 3.

  4. Klicken Sie auf Erstellen , um den Schlüssel zu erstellen.

    Dualer IdP 2

Der nächste Schritt besteht darin, den Certificate Signing Request (CSR) zu erstellen.

  1. Geben Sie im Feld Anforderungsdateiname einen Namen für die CSR ein.
  2. Die Formate Schlüsseldateiname und PEM sind bereits vorab ausgefüllt.
  3. Setzen Sie Digest-Methode auf SHA256.
  4. Geben Sie in Distinguished Name FieldsInformationen zu Ihrer Organisation an.
  5. In Attributfeldernist kein Challenge-Passwort erforderlich. Allerdings kann der Firmenname ** hinzugefügt werden.

  6. Klicken Sie auf Erstellen , um die CSR-Anfrage abzuschließen.

    Dualer IdP 3 Dualer IdP 4

Der letzte Schritt besteht darin, das SAML-Zertifikat zu erstellen.

  1. Geben Sie im Feld Zertifikatsdateiname den Namen Ihres Zertifikats ein.
  2. Das Zertifikatsformat ist mit PEMvorab ausgefüllt.
  3. Der Dateiname der Zertifikatsanforderung ** spiegelt die CSR wider, die Sie im vorherigen Schritt erstellt haben.
  4. Das Schlüsselformat ** entspricht standardmäßig **PEM.
  5. Geben Sie die Gültigkeitsdauer (in Tagen) an, für die das Zertifikat gültig sein soll. In diesem Beispiel ist das erstellte Zertifikat ein 3-Jahres-Zertifikat. Geben Sie daher 1095ein.
  6. Der Schlüsseldateiname ** wird im ersten Schritt vorab ausgefüllt.

  7. Klicken Sie auf Erstellen , um das Zertifikat zu erstellen.

    Dualer IdP 5

  8. Nachdem Sie das Zertifikat erstellt haben, können Sie den Assistenten beenden, da Sie das Zertifikat nicht auf Citrix Gateway installieren müssen.
  9. Klicken Sie auf Abbrechen und klicken Sie auf JA , um zu bestätigen, dass Sie zum Hauptbildschirm der SSL-GUI zurückkehren möchten.

Exportieren des SAML-Zertifikats

Sie müssen jetzt das neu erstellte Zertifikat und den Schlüssel aus Citrix Gateway exportieren, um es auf dem Citrix Endpoint Management-Server und auf ADFS zu verwenden. Für Citrix Endpoint Management benötigen Sie die in den vorherigen Schritten erstellten Dateien saml_dualidp.cer und saml_dualidp.key , da das Zertifikat und der Schlüssel bereits richtig für Citrix Endpoint Management formatiert sind. Befolgen Sie die Schritte, um die Dateien an einem Speicherort zu speichern, den wir dann zum Hochladen auf Ihren Citrix Endpoint Management-Server verwenden können, wenn wir das integrierte SAML-Zertifikat ersetzen.

  1. Klicken Sie in Citrix Gateway unter Verkehrsmanagement > SSLunter Toolsauf Zertifikate/Schlüssel/CSRs verwalten.

  2. Klicken Sie auf der Seite „ Zertifikate verwalten “ auf Änderungsdatum, um die neuesten Dateien nach oben zu bringen. Sie sehen nun die 3 neu erstellten Dateien aus den vorherigen Schritten. Wenn Sie diese nicht sehen, können Sie mehr als 25 Elemente pro Seite anzeigen.

    Dualer IdP 6

  3. Wählen Sie die Datei saml_dualidp.cer und wählen Sie Download. Speichern Sie an einem Ort Ihrer Wahl.
  4. Befolgen Sie den vorherigen Schritt für die Datei saml_dualidp.key .
  5. Klicken Sie auf Zurück , um zur vorherigen Seite zurückzukehren.

Exportieren Sie als Nächstes das Zertifikat und den Schlüssel in ein Dateiformat, das der ADFS-Server versteht.

  1. Wählen Sie im selben Abschnitt Tools wie zuvor die Option zum Exportieren von PKCS#12aus.
  2. Geben Sie im Feld Datei auswählen saml_dualidp.pfxein.
  3. Wählen Sie im Feld Zertifikatdateiname die Option Datei auswählen, Änderungsdatumund wählen Sie die Datei saml_dualidp.cer aus. Klicken Sie auf Öffnen.
  4. Wählen Sie im Feld Schlüsseldateiname die Option Datei auswählen, Änderungsdatumund wählen Sie die Datei saml_dualidp.key aus. Klicken Sie auf Öffnen.
  5. Geben Sie ein Exportkennwortein.
  6. Geben Sie die PEM-Passphraseein.
  7. Klicken Sie auf OK , um den Export abzuschließen.

Jetzt müssen Sie die PFX-Datei von Citrix Gateway an einen Netzwerkspeicherort kopieren.

  1. Wählen Sie im Menü Tools erneut die Option Zertifikate/Schlüssel/CSRs verwaltenaus.
  2. Wählen Sie die neu erstellte Datei saml_dualidp.pfx und wählen Sie Download.
  3. Speichern Sie die Datei an einem lokal zugänglichen Ort.
  4. Schließen Sie die Fenster in Citrix Gateway.

Der Prozess zur Erstellung des SAML-Zertifikats ist abgeschlossen.

Hochladen des neu erstellten Tokensignaturzertifikats in ADFS

Der erste Schritt besteht darin, das Zertifikatsrollover auf dem ADFS-Server zu deaktivieren.

  1. Erstellen Sie eine Remoteverbindung zu Ihrem ADFS-Server.
  2. Standardmäßig aktiviert ADFS AutoCertificateRollover, um das selbstsignierte Zertifikat nach einem Jahr zu erneuern. Diese Funktion muss deaktiviert werden, um das neu erstellte Token-Signaturzertifikat hochzuladen.
  3. Führen Sie PowerShell als Administrator auf dem ADFS-Server aus.
  4. Geben Sie ein: Get-ADFSProperties.
  5. So deaktivieren Sie AutoCertificateRollover: Set-ADFSProperties -AutoCertificateRollover $false

Anschließend müssen Sie die zuvor exportierte Datei saml_dualidp.pfx auf den ADFS-Server importieren, damit wir sie als Token-Signaturzertifikat verwenden können.

  1. Klicken Sie mit der rechten Maustaste auf den ADFS-Server, Start > Klicken Sie auf „Ausführen“ > Geben Sie „mmc“ ein und drücken Sie die Eingabetaste, um ein Snap-In zu öffnen.
  2. Klicken Sie auf Datei > Snap-In hinzufügen/entfernen.
  3. Wählen Sie im Abschnitt „Verfügbare Snap-Ins“ Zertifikateaus und klicken Sie dann auf Hinzufügen.
  4. Wählen Sie Computerkontound klicken Sie auf Weiter.
  5. Wählen Sie Lokaler Computer und dann Fertig stellen, klicken Sie auf OK.
  6. Erweitern Sie unter „Konsolenstamm“ Zertifikate > Persönlich > Zertifikate.
  7. Klicken Sie mit der rechten Maustaste auf den Ordner „Zertifikate“ und wählen Sie Alle Aufgaben > Importieren.
  8. Klicken Sie auf dem Willkommensbildschirm auf Weiter.
  9. Navigieren Sie zu der Datei saml_dualidp.pfx , die Sie zuvor gespeichert haben, und klicken Sie auf Öffnen.
  10. Wählen Sie Weiter, geben Sie das Kennwort für den privaten Schlüssel ein und wählen Sie erneut Weiter .
  11. Wählen Sie . Legen Sie alle Zertifikate im folgenden Speicher ab: Persönlich , und klicken Sie auf . Weiter.
  12. Klicken Sie auf Fertig stellen , um den Import abzuschließen und das MMC-Snap-In zu schließen.

Jetzt müssen Sie das Tokensignaturzertifikat in ADFS ändern.

  1. Wählen Sie auf dem ADFS-Server im Server Manager-Dashboard Tools > ADFS-Verwaltungaus.
  2. Erweitern Sie auf der linken Seite der ADFS-Verwaltungskonsole Service > Certificates.
  3. Wählen Sie im Menü Aktionen die Option Token-Signaturzertifikat hinzufügenund wählen Sie das neu importierte Token-Signaturzertifikat aus.
  4. Das neu hinzugefügte Tokensignaturzertifikat wird als sekundäres Zertifikat hinzugefügt. Sie müssen es zum Primären machen.
  5. Erweitern Sie Service und wählen Sie dann Zertifikateaus.
  6. Klicken Sie auf das sekundäre Token-Signaturzertifikat.
  7. Wählen Sie im Bereich Aktionen auf der rechten Seite Als primär festlegenaus. Klicken Sie in der Bestätigungsaufforderung auf Ja .

Citrix Endpoint Management-Konfiguration

Um dasselbe Zertifikat auf Citrix Endpoint Management zu verwenden, müssen Sie nur zwei Aktionen ausführen.

Sichern des Citrix Endpoint Management SAML-Zertifikats

  1. Melden Sie sich beim Citrix Endpoint Management-Server an, klicken Sie oben rechts auf das Zahnradsymbol und wählen Sie dann unter Einstellungendie Option Zertifikateaus.
  2. Markieren Sie das SAML-Zertifikat und klicken Sie dann auf Exportieren.
  3. Wählen Sie, dass auch der private Schlüssel exportiert werden soll, und klicken Sie dann auf OK.
  4. Bewahren Sie das Zertifikat an einem sicheren Ort auf.

Neues SAML-Zertifikat installieren

  1. Melden Sie sich beim Citrix Endpoint Management-Server an, klicken Sie auf das Zahnradsymbol und dann unter Einstellungen auf Zertifikate.
  2. Klicken Sie auf Importierenund wählen Sie dann die folgenden Optionen aus:
    • Importieren: Zertifikat
    • Verwendung als: SAML
    • Zertifikatsimport: Durchsuchen Sie Ihre Arbeitsstation oder Ihr Netzwerk nach der zuvor exportierten Datei saml_dualidp.cer .
    • Private Schlüsseldatei: Durchsuchen Sie Ihre Arbeitsstation nach der zuvor exportierten Datei saml_dualidp.key .
    • Passwort: Geben Sie das Passwort für den privaten Schlüssel ein.
    • Beschreibung: Geben Sie genügend Details ein, damit andere die Funktion kennen.

  3. Klicken Sie zum Abschließen auf Importieren .

    Dualer IdP 7

  4. Klicken Sie auf dem Citrix Endpoint Management-Server auf Konfigurierenund dann auf ShareFile.
  5. Wenn Sie über eine vorherige Konfiguration verfügen, klicken Sie unten rechts auf dem Bildschirm auf Speichern . Dieser Schritt aktualisiert das Citrix Content Collaboration-Konto mit dem X.509-Zertifikat, das in den vorherigen Schritten erstellt wurde. Darüber hinaus werden dadurch die aktuellen SSO-Konfigurationseinstellungen überschrieben, die in den im nächsten Abschnitt beschriebenen Schritten geändert werden.
  6. Wenn Citrix Content Collaboration noch nicht konfiguriert wurde, geben Sie im Feld Domäne Ihr Citrix Content Collaboration-Konto ein.
  7. Wählen Sie eine Bereitstellungsgruppe aus, die Zugriff auf die Citrix Files MDX-Anwendung hat.
  8. Geben Sie Ihren Citrix Content Collaboration-Benutzernamen an. Dies ist ein lokales Administratorbenutzerkonto.
  9. Geben Sie das Citrix Content Collaboration-Kennwort ein (nicht Ihr Active Directory-Kennwort).
  10. Lassen Sie Bereitstellung von Benutzerkonten AUS (insbesondere, wenn Sie das Benutzerverwaltungstool verwenden).

  11. Klicken Sie auf Speichern , um die Citrix Content Collaboration-Konfiguration auf Citrix Endpoint Management abzuschließen.

    Dualer IdP 8

Citrix Content Collaboration Single Sign-On-Konfigurationsprüfung

Nachdem sowohl Citrix Endpoint Management als auch ADFS für ShareFile konfiguriert wurden, führen Sie die folgenden Schritte aus, um die SSO-Einstellungen zu validieren.

  1. Melden Sie sich über die Web-Benutzeroberfläche bei Ihrem Citrix Content Collaboration-Konto an, klicken Sie auf Adminund dann auf die Seite Single Sign-On konfigurieren .
  2. Aussteller-/Entitäts-ID: dies muss mit dem Bezeichnernamen in der ADFS-Konfiguration identisch sein.
  3. Anmelde-URL: Anmelde-URL für ADFS (Beispiel: https://adfs.company.com/adfs/ls).
  4. Abmelde-URL: Abmelde-URL zu ADFS (Beispiel: https://adfs.company.com/adfs/ls/?wa=wsignout1.0). Dies muss als Abmeldepunkt zu ADFS hinzugefügt werden, falls dies nicht bereits erfolgt ist.
  5. Web-Authentifizierung aktivieren: Ja

  6. SP-initiierter Authentifizierungskontext: Wählen Sie die Option Benutzername und Kennwort für die Formularauthentifizierung oder die integrierte Authentifizierung (je nachdem, wie Ihr ADFS-Server konfiguriert ist).

    Dualer IdP 9

Testen

Registrieren Sie Ihr Gerät erneut bei Citrix Endpoint Management, laden Sie die App herunter und prüfen Sie, ob MDX SSO funktioniert. Sie können Tests auch mithilfe der SP-initiierten Authentifizierung durchführen: https://[subdomain].sharefile.com/saml/login.

Konfigurationshandbuch für Content Collaboration Single Sign-On für duale Identitätsanbieter
October 23, 2024
Beitrag von: 
C C
October 23, 2024
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung
©Progress Software all rights reserved