Guía de configuración de inicio de sesión único de ShareFile para ADFS 3

Requisitos previos para la instalación

Para configurar Citrix Content Collaboration para que se autentique con Active Directory Federated Services, necesita lo siguiente:

  • Windows Server 2012 R2
  • Un certificado SSL firmado públicamente por una CA. No se aceptan certificados autofirmados ni sin firmar.
  • Un FQDN para su servidor de ADFS
  • Acceso a una cuenta de administrador en Citrix Content Collaboration con la posibilidad de configurar el inicio de sesión único.

Nota:

Para aprovisionar usuarios de Active Directory a Citrix Content Collaboration, consulte la guía de instalación de la herramienta de administración de usuarios.

ADFS 3.0 (instalación basada en roles)

  1. No puede descargar Microsoft Active Directory Federated Services 3.0 por separado. Debe utilizar un servidor con Windows 2012 R2 para esta versión.

    Imagen 1 de adfs3

  2. Ejecute la instalación basada en roles o en funciones. Haga clic en Siguiente.

    Imagen 2 de adfs3

  3. Seleccione el servidor para la instalación y haga clic en Siguiente. A continuación, seleccione Active Directory Federation Services. Haga clic en Siguiente.

    Imagen 3 de adfs3

  4. Haga clic en Siguiente en las funciones del servidor, en AD FS y, a continuación, en la pantalla Confirmación. Marque la casilla Reiniciar, diga en la siguiente pantalla y haga clic en Instalar.

    Imagen 4 de adfs3

  5. Una vez instalado ADFS, debe completar una actividad posterior a la implementación si este es el primer servidor de AD FS de Active Directory. Utilice su propia información de configuración para este paso.

    Imagen 5 de adfs3

Configuración de ADFS 3.0

  1. En la consola de administración de ADFS 3.0, inicie el Asistente de configuración.
  2. Cuando se inicie el asistente, seleccione Crear servicio de federación y haga clic en Siguiente.

    Imagen 6 de adfs3

    Imagen 7 de adfs3

  3. Como utilizamos un certificado comodín, debemos determinar un nombre de servicio de federación. Si no utiliza un certificado SSL comodín, es posible que no tenga que realizar este paso. A continuación, haga clic en Siguiente para continuar.

    Imagen 8 de adfs3

  4. Haga clic en Siguiente para proceder a la configuración.

    Imagen 9 de adfs3

  5. Confirme que todas las configuraciones finalizaron sin errores y haga clic en Cerrar y salga del asistente.

    Imagen 10 de adfs3

    Imagen 11 de adfs3

  6. Amplíe el nodo Servicio en la consola de administración. Seleccione el certificado de firma de tokens y haga clic en Ver certificado en la columna de la derecha.

    Imagen 12 de adfs3

  7. En la ventana Certificado, seleccione la ficha Detalles y, a continuación, haga clic en Copiar a archivo.

    Imagen 13 de adfs3

  8. Haga clic en Next para continuar.

    Imagen 14 de adfs3

  9. Seleccione X.509 (.CER) codificado en Base-64 como formato de exportación del certificado y, a continuación, haga clic en Siguiente.

    Imagen de adfs3 15

  10. Guarde el archivo de certificado y haga clic en Siguiente.

    Imagen de adfs3 16

  11. Haga clic en Finalizar para guardar el archivo.

    Imagen de adfs3 17

  12. Busque la carpeta en la que exportó el certificado y ábrala con el Bloc de notas.

    Imagen de adfs3 18

  13. Seleccione todo el texto dentro del Bloc de notas y cópialo.

    Imagen de adfs3 19

  14. Abra Internet Explorer y vaya a su cuenta de Citrix Content Collaboration (https://<yoursubdomain>.sharefile.com). Inicie sesión con su cuenta de administrador. Vaya a Configuración de administración > Seguridad > Directiva de inicio de sesión y seguridad. Busque Single Sign-On / Configuración de SAML 2.0.
    • Cambie el parámetro Habilitar SAML a .
    • Emisor/ID de entidad de ShareFile: https://<subdomain>.sharefile.com/saml/info
    • ID de entidad/emisor de su IdP: https://<adfs>.yourdomain.com
    • Certificado X.509: Pegue el contenido del certificado exportado de la sección anterior
    • URL de inicio de sesión: https://<adfs>.yourdomain.com/adfs/ls

    Imagen de adfs3 20

  15. En Configuración opcional, cambie los valores siguientes.
    • Habilitar la autenticación web: (marcada)
    • Contexto de autenticación iniciado por SP: Nombre de usuario y contraseña: mínimo

    Imagen de adfs3 21

  16. Minimice Internet Explorer y regrese a la consola de administración de ADFS. Amplíe el nodo Relaciones de confianza y seleccione Confianza de usuarios de confianza. A continuación, haga clic en Agregar relación de confianza para usuario autenticado… en el lado derecho de la consola. Esto abre el asistente para agregar relaciones de confianza.

    Imagen de adfs3 22

  17. Haga clic en Iniciar para empezar a especificar una confianza de usuario de confianza.

    Imagen de adfs3 23

  18. Al obtener los metadatos del sitio de SAML, puede configurar la confianza automáticamente. Use https://<yoursubdomain>.sharefile.com/saml/metadata como la dirección de metadatos de la federación (nombre de host o URL). Haga clic en Siguiente.

    Imagen de adfs3 24

  19. Especifique un nombre simplificado. Por lo general, se mantiene como <yoursubdomain>.sharefile.com, para poder identificar los diferentes fideicomisos entre sí.

    Imagen de adfs3 25

    Imagen de adfs3 26

  20. Permita que todos los usuarios accedan a esta parte dependiente. Haga clic en Siguiente.

    Imagen de adfs3 27

  21. Compruebe que la información sea correcta y haga clic en Siguiente.

    Imagen de adfs3 28

  22. Compruebe que esté marcada la casilla Abrir el cuadro de diálogo Modificar reglas de reclamación para esta confianza de usuario de confianza cuando se cierre el asistente. A continuación, haga clic en Cerrar.

    Imagen de adfs3 29

  23. En la ficha Reglas de transformación de emisión, haga clic en Agregar regla.

    Imagen de adfs3 30

  24. La primera regla consiste en enviar los atributos de LDAP como reclamaciones.

    Imagen de adfs3 31

  25. Los usuarios de la plataforma Citrix Content Collaboration se identifican mediante su dirección de correo electrónico. Enviamos la reclamación como UPN. Indique un nombre descriptivo para la regla de reclamación, como Dirección de correo electrónico a dirección de correo electrónico. Seleccione Active Directory como almacén de atributos. Por último, seleccione Dirección de correo electrónico como atributo de LDAP y Dirección de correo electrónico como tipo de reclamación saliente. Haga clic en Finalizar.

    Imagen de adfs3 32

  26. Crea una segunda regla. Esta regla se utiliza para transformar una reclamación entrante. Haga clic en Siguiente.

    imagen de adfs3 33

  27. El tipo de reclamación entrante transforma la dirección de correo electrónico entrante en un tipo de reclamación con identificador de nombre saliente en formato de correo electrónico. Introduzca un nombre descriptivo, como el identificador nominal de la dirección de correo electrónico. El tipo de reclamación entrante es Dirección de correo electrónico, el tipo de reclamación saliente es ID de nombre. El formato de nombre saliente es Correo electrónico. Haga clic en Finalizar.

    Imagen de adfs3 34

  28. Compruebe que las afirmaciones sean correctas y, a continuación, haga clic en Aceptar.

    Imagen de adfs3 35

  29. Cambie a cualquier explorador web y navegue hasta https://<yoursubdomain>.sharefile.com/saml/login. Se le redirigirá a sus servicios de ADFS. Si su correo electrónico de inicio de sesión está vinculado a un usuario de AD, podrás autenticarte con tus credenciales de AD.

    Imagen de adfs3 36

Guía de configuración de inicio de sesión único de ShareFile para ADFS 3