Guía de configuración de inicio de sesión único de Citrix Content Collaboration para Citrix Endpoint Management

Puede configurar el servidor Citrix Endpoint Management y Citrix Gateway para que funcionen como proveedores de identidades (IdP) de SAML para Citrix Content Collaboration. En esta configuración, un usuario que inicia sesión en Citrix Content Collaboration mediante un explorador web u otros clientes de Citrix Files se redirige al entorno de Citrix Endpoint Management para la autenticación del usuario. Tras la autenticación correcta por parte de Citrix Endpoint Management, el usuario recibe un token de SAML válido para iniciar sesión en su cuenta de Citrix Content Collaboration.

Requisitos previos

Una configuración funcional de Citrix Gateway y el servidor Citrix Endpoint Management, que ya están configurados.

Configurar el inicio de sesión único de SAML para las aplicaciones MDX de Citrix Files

Puede utilizar Citrix Endpoint Management Server junto con Secure Hub para iniciar sesión único (SSO) en aplicaciones empaquetadas con MDX de Citrix Files. En este escenario, Secure Hub obtiene un token SAML para el inicio de sesión de Citrix Content Collaboration mediante el servidor Citrix Endpoint Management como IdP.

  1. Inicie sesión en el servidor Citrix Endpoint Management mediante la URL https://<Citrix Endpoint Management Server>:4443
  2. Ve a Configurar > ShareFile.
  3. Utilice la herramienta de administración de usuarios de Content Collaboration para el aprovisionamiento de usuarios. Consulte Aprovisionar cuentas de usuario y grupos de distribución.

La configuración de SAML para las aplicaciones MDX de Citrix Files está configurada. Si solo quiere permitir el acceso a Citrix Content Collaboration mediante las aplicaciones empaquetadas en MDX de Citrix Files, la configuración está completa. Sin embargo, si quiere configurar el acceso para clientes de Citrix Files que no sean de MDX, siga utilizando la guía de configuración.

La configuración del SSO MDX de Citrix Content Collaboration también permite el aprovisionamiento de usuarios en el servidor Citrix Endpoint Management. El servidor Citrix Endpoint Management aprovisiona automáticamente a todos los usuarios que formen parte de las funciones seleccionadas y que no tengan una cuenta en Citrix Content Collaboration en función de la primera vez que accedan a Citrix Content Collaboration. Para obtener más información sobre cómo el servidor Citrix Endpoint Management aprovisiona a los usuarios de Citrix Content Collaboration, consulte el artículo CTX200431de Knowledge Center.

Configurar Citrix Gateway

Citrix Gateway requiere la siguiente configuración para poder utilizar Citrix Endpoint Management como proveedor de identidades SAML:

Inhabilitar la redirección de la página principal

Debe inhabilitar el comportamiento predeterminado para las solicitudes que llegan a través de la ruta /cginfra, de modo que la URL interna solicitada originalmente se muestre al usuario en lugar de la página principal configurada.

  1. Modifique la configuración del servidor virtual Citrix Gateway que se utiliza para iniciar sesión en Citrix Endpoint Management. Vaya a Otros ajustes y desmarca la casilla de verificación denominada Redireccionar a la página principal:

    Citrix Endpoint Management

  2. Para la configuración de ShareFile, agregue el nombre del servidor interno y el puerto de su servidor Citrix Endpoint Management. Por ejemplo: xms.citrix.lab:8443.
  3. Para la configuración de AppController, introduzca la dirección de su servidor Citrix Endpoint Management. Esta configuración autoriza las solicitudes a la URL especificada a través de la ruta /cginfra.

Cree una directiva de sesión y un perfil de solicitud de Citrix Content Collaboration

  1. En la utilidad de configuración de Citrix Gateway, seleccione Citrix Gateway > Directivas > Sesión en el panel de navegación izquierdo.
  2. Para crear una directiva de sesión, en la ficha Directivas, haga clic en Agregar… y, a continuación, escriba ShareFile_Policy como el nombre.
  3. Para crear una acción, haga clic en Agregar… Se abre la pantalla Crear perfil de sesión de Citrix Gateway.
  4. En Nombre, escriba ShareFile_profile como nombre del perfil de sesión.
  5. En la ficha Experiencia del cliente :
    • Para la página de inicio, no introduzca ninguno.
    • Para Tiempo de espera de la sesión, introduzca 1.
    • Habilite el inicio de sesión único en las aplicaciones web.
    • Para el acceso sin cliente, configúreloen Activo.
    • Para la cookie persistente de acceso sin cliente, configúrelaen Permitir.
    • Para Índice de credenciales, seleccione PRIMARIO.

    Citrix Endpoint Management 2

  6. En la ficha Seguridad, defina la Acción de autorización predeterminada en Permitir.

    Citrix Endpoint Management 3

  7. En la ficha Aplicaciones publicadas :
    • Para ICA Proxy, seleccione ACTIVADO.
    • En Dirección de interfaz web, introduzca la URL del servidor Citrix Endpoint Management como se muestra.
    • En Dominio de inicio de sesión único, introduzca su nombre de dominio de Active Directory.

    Citrix Endpoint Management 4

    Al configurar el perfil de sesión de Citrix Gateway, el sufijo de dominio introducido en el campo Dominio de inicio de sesión único debe coincidir con el alias de dominio de Citrix Endpoint Management definido en LDAP.

  8. Haga clic en Crear para terminar de definir el perfil de sesión.
  9. Para la expresión ShareFile_Policy, cambie a Directiva clásica y haga clic en Editor de expresiones.
  10. Especifique la expresión mediante un valor de NSC_FSRD y un nombre de encabezado de COOKIE.

    Citrix Endpoint Management 5

  11. Haga clic en Listo, haga clic en Crear y, a continuación, haga clic en Cerrar.

    Citrix Endpoint Management 6

Configurar directivas en el servidor virtual de Citrix Gateway

  1. En la utilidad de configuración de Citrix Gateway, seleccione Citrix Gateway > Servidores virtuales en el panel de navegación izquierdo.
  2. En el panel de detalles, haga clic en el servidor virtual Citrix Gateway y, a continuación, en Modificar.
  3. Vaya a Directivas configuradas > Directivas de sesión y haga clic en Agregar enlace.
  4. Seleccione ShareFile_Policy.
  5. Modifique el número de prioridad generado automáticamente para la directiva insertada para que tenga el número más bajo (prioridad más alta) en comparación con cualquier otra directiva enumerada.

    Citrix Endpoint Management 7

  6. Haga clic en Done y, a continuación, guarde la configuración activa de Citrix Gateway.

Modificar la configuración de inicio de sesión único

  1. Inicie sesión en su cuenta como administrador de Citrix Content Collaboration.
  2. En la interfaz web, vaya a Configuración de administración > Seguridad > Directiva de inicio de sesión y seguridad y desplácese hacia abajo hasta la configuración de Single Sign-On.
  3. Modifique la URL de iniciode sesión.

    Citrix Endpoint Management 9

    • Inserte el FQDN externo del servidor virtual Citrix Gateway plus /cginfra/http/ antes del FQDN del servidor de Citrix Endpoint Management y :8443 después del FQDN.
    • Cambie el parámetro &app=ShareFile_SAML_SP para usar el nombre interno de la aplicación. El nombre interno es ShareFile_SAML de forma predeterminada, pero con cada cambio en la configuración, el nombre interno cambia para agregar un número (ShareFile_SAML2, ShareFile_SAML3, etc.).
    • Agregue &nssso=true al final de la URL. Por ejemplo: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

Cada vez que editas o vuelves a crear la aplicación, el nombre interno de la aplicación se actualiza con un número adjunto al nombre. También debe actualizar la URL de inicio de sesión para reflejar el nombre de la aplicación actualizado. El siguiente ejemplo muestra cómo debe cambiar la URL de inicio de sesión cuando el nombre de la aplicación interna cambia de “ShareFile_SAML” a “ShareFile_SAML2”

  1. En Configuración opcional, haga clic en la casilla de verificación Habilitar autenticación web.

    Citrix Endpoint Management 10

  2. Haga clic en Guardar.

Valide su configuración

  1. Vaya a https://subdomain.sharefile.com/saml/login. Se le redirigirá al formulario de inicio de sesión de Citrix Gateway.

  2. Inicie sesión con credenciales de usuario válidas para el entorno de servidores Citrix Gateway y Citrix Endpoint Management que configuró. Aparecerán sus carpetas de Citrix Files en subdomain.sharefile.com.

Guía de configuración de inicio de sesión único de Citrix Content Collaboration para Citrix Endpoint Management