Documentación de productos
ShareFile
Ver PDF

Guía de configuración de inicio de sesión único de Content Collaboration para proveedores de identidad dual

October 23, 2024
Contribución de: 
C C

Este documento ayuda con la configuración del uso de Citrix Endpoint Management y Active Directory Federated Services (ADFS) como proveedor de identidad (IdP) para una sola cuenta de Content Collaboration. La configuración resultante permite que el certificado de firma de token en el servidor ADFS sea el mismo que el certificado SAML en el servidor Citrix Endpoint Management. Esto proporciona una única cuenta de Citrix Content Collaboration para:

  • Utilice Citrix Endpoint Management como IdP para aplicaciones encapsuladas en MDX. Proporcionar una verdadera experiencia de inicio de sesión único (SSO) desde un dispositivo móvil mediante aplicaciones MDX de Citrix Files.
  • Utilice ADFS como IdP SAML para SSO en aplicaciones web.

Requisitos previos

  • Servidor Citrix Endpoint Management 10.x con inicio de sesión único en pleno funcionamiento para MDX configurado en la cuenta de Citrix Content Collaboration.
  • ADFS instalado y configurado dentro de la infraestructura.
  • Acceso a una cuenta de administrador dentro de Citrix Content Collaboration con la capacidad de configurar el inicio de sesión único.

Preparación del certificado de firma de token de ADFS

Al configurar ADFS para SSO en Citrix Content Collaboration, es necesario cargar el certificado de firma de token de ADFS en el panel de control de Citrix Content Collaboration sin la clave privada. ADFS genera un certificado autofirmado que se utiliza para firmar y descifrar tokens con una validez de 1 año. Sin embargo, el certificado autofirmado contiene una clave privada.

Al cumplirse un año, el certificado autofirmado se renueva mediante la renovación automática de certificado 15 días antes de su vencimiento y se convierte en el certificado principal. Esto provoca que todas las relaciones de confianza SSO existentes fallen. Para esta configuración, la certificación SAML de la consola de Citrix Endpoint Management se exporta con una caducidad de 3 años. El período de validez del certificado es personalizable y mitiga la necesidad de renovar el certificado de firma de token cuando transcurre un año.

Generar el certificado SAML

  1. Inicie sesión en la GUI de Citrix Gateway.
  2. Vaya a Administración del tráfico > SSL.

  3. En la sección Primeros pasos , seleccione Asistente de certificado de CA raíz.

    IdP dual 1

Ahora se le solicitará que cree la clave privada.

  1. En el campo Nombre de archivo de clave , proporcione un nombre para su clave.
  2. Tamaño de clave, 2048.
  3. Valor del exponente público, 3.

  4. Haga clic en Crear para crear la clave.

    IdP dual 2

El siguiente paso es crear la solicitud de firma de certificado (CSR).

  1. En el campo Nombre del archivo de solicitud , ingrese un nombre para la CSR.
  2. Los formatos de nombre de archivo de clave ** y PEM** se completan previamente.
  3. Establezca el método de resumen ** en **SHA256.
  4. En los campos de nombre distintivo **, proporcione información sobre su organización.
  5. En los campos de atributos **, no se necesita una contraseña de desafío. Sin embargo, se puede agregar el nombre de la empresa** .

  6. Haga clic en Crear para completar la solicitud de CSR.

    IdP dual 3 IdP dual 4

El paso final es crear el certificado SAML.

  1. En el campo Nombre de archivo de certificado , ingrese el nombre de su certificado.
  2. El formato de certificado ** se completa previamente con **PEM.
  3. El nombre del archivo de solicitud de certificado ** refleja la CSR que creó en el paso anterior.
  4. El formato de clave ** tiene como valor predeterminado **PEM.
  5. Especifique el período de validez ** (en días) durante el cual desea que sea válido el certificado. En este ejemplo, el certificado creado es un certificado de 3 años, así que ingrese **1095.
  6. El nombre de archivo de clave ** se completa previamente desde el primer paso.

  7. Haga clic en Crear para crear el certificado.

    IdP dual 5

  8. Después de crear el certificado, puede salir del asistente ya que no necesita instalar el certificado en Citrix Gateway.
  9. Haga clic en Cancelar y haga clic en para confirmar que desea regresar a la pantalla principal de la GUI de SSL.

Exportar el certificado SAML

Ahora debe exportar el certificado y la clave recién creados desde Citrix Gateway para usarlos en el servidor Citrix Endpoint Management y en ADFS. Para Citrix Endpoint Management, necesita el archivo saml_dualidp.cer y el archivo saml_dualidp.key creados en los pasos anteriores, ya que el certificado y la clave ya están formateados correctamente para Citrix Endpoint Management. Siga los pasos para guardar los archivos en una ubicación que luego podamos usar para cargarlos en su servidor Citrix Endpoint Management al reemplazar su certificado SAML integrado.

  1. En Citrix Gateway, en Administración de tráfico > SSL, en Herramientas, haga clic en Administrar certificados/claves/CSR.

  2. Desde la página Administrar certificados , haga clic en Fecha de modificación, que trae los archivos más nuevos a la parte superior. Ahora verá los 3 archivos recién creados en los pasos anteriores. Si no los ve, puede mostrar más de 25 elementos por página.

    Doble IdP 6

  3. Seleccione el archivo saml_dualidp.cer y elija Descargar. Guárdalo en una ubicación de tu elección.
  4. Siga el paso anterior para el archivo saml_dualidp.key .
  5. Haga clic en Atrás para regresar a la página anterior.

A continuación, exporte el certificado y la clave en un formato de archivo que el servidor ADFS comprenda.

  1. En la misma sección Herramientas que anteriormente, seleccione la opción Exportar PKCS#12.
  2. En el campo Elegir archivo , ingrese saml_dualidp.pfx.
  3. En el campo Nombre de archivo de certificado , seleccione Elegir archivo, Fecha de modificacióny seleccione el archivo saml_dualidp.cer . Haga clic en Abrir.
  4. En el campo Nombre de archivo de clave , seleccione Elegir archivo, Fecha de modificacióny seleccione el archivo saml_dualidp.key . Haga clic en Abrir.
  5. Proporcione una contraseña de exportación **.
  6. Proporcione la frase de contraseña PEM **.
  7. Haga clic en Aceptar para finalizar la exportación.

Ahora debe copiar el archivo .pfx de Citrix Gateway a una ubicación de red.

  1. Desde el menú Herramientas , seleccione nuevamente la opción Administrar certificados/claves/CSR.
  2. Seleccione el archivo recién creado saml_dualidp.pfx y elija Descargar.
  3. Guarde el archivo en algún lugar accesible localmente.
  4. Cierre las ventanas en Citrix Gateway.

El proceso de creación del certificado SAML ha finalizado.

Cargar el certificado de firma de token recién creado en ADFS

El primer paso es deshabilitar la renovación de certificados en el servidor ADFS.

  1. Cree una conexión remota a su servidor ADFS.
  2. De forma predeterminada, ADFS permite que AutoCertificateRollover renueve el certificado autofirmado cuando transcurra un año. Esta función debe estar deshabilitada para cargar el certificado de firma de token recién creado.
  3. Ejecute PowerShell como Administrador en el servidor ADFS.
  4. Tipo: Get-ADFSProperties.
  5. Para deshabilitar AutoCertificateRollover: Set-ADFSProperties -AutoCertificateRollover $false

Luego, debes importar el archivo saml_dualidp.pfx exportado previamente al servidor ADFS para que podamos usarlo como certificado de firma de token.

  1. En el servidor ADFS, haga clic derecho, Start > Haga clic en Ejecutar > Escriba mmcy seleccione Enter para abrir un complemento.
  2. Haga clic en Archivo > Agregar o quitar complemento.
  3. En la sección de complementos disponibles, seleccione Certificadosy luego haga clic en Agregar.
  4. Seleccione Cuenta de computadora, haga clic en Siguiente.
  5. Seleccione Equipo local y luego Finalizar, haga clic en Aceptar.
  6. En la raíz de la consola, expanda Certificados > Personales > Certificados.
  7. Haga clic derecho en la carpeta Certificados y seleccione Todas las tareas > Importar.
  8. Desde la pantalla de bienvenida, haga clic en Siguiente.
  9. Busque el archivo saml_dualidp.pfx que guardó anteriormente, haga clic en Abrir.
  10. Seleccione Siguiente, escriba la contraseña para la clave privada, seleccione Siguiente nuevamente.
  11. Seleccione Colocar todos los certificados en el siguiente almacén, Personal y haga clic en Siguiente.
  12. Haga clic en Finalizar para completar la importación y cerrar el complemento MMC.

Ahora necesita cambiar el certificado de firma de token en ADFS.

  1. En el servidor ADFS, desde el Panel de control del Administrador del servidor, seleccione Herramientas > Administración de ADFS.
  2. En el lado izquierdo de la Consola de administración de ADFS, expanda Servicio > Certificados.
  3. En el menú Acciones , seleccione Agregar certificado de firma de tokeny seleccione el certificado de firma de token recién importado.
  4. El certificado de firma de token recién agregado se agrega como un certificado secundario. Debes convertirlo en el principal.
  5. Expande Servicio y luego selecciona Certificados.
  6. Haga clic en el certificado de firma de token secundario ** .
  7. En el panel Acciones de la derecha, seleccione Establecer como principal. Haga clic en en el mensaje de confirmación.

Configurar Citrix Endpoint Management

Para utilizar el mismo certificado en Citrix Endpoint Management, solo necesita realizar dos acciones.

Copia de seguridad del certificado SAML de Citrix Endpoint Management

  1. Inicie sesión en el servidor Citrix Endpoint Management, haga clic en el ícono de engranaje hacia la parte superior derecha y luego, en Configuración, seleccione Certificados.
  2. Resalte el certificado SAML, luego haga clic en Exportar.
  3. Elija también exportar la clave privada, luego haga clic en Aceptar.
  4. Guarde el certificado en un lugar seguro.

Instalar nuevo certificado SAML

  1. Inicie sesión en el servidor Citrix Endpoint Management, haga clic en el ícono de engranaje y luego, en Configuración , haga clic en Certificados.
  2. Haga clic en Importary luego seleccione las siguientes opciones:
    • Importación: Certificado
    • Usar como: SAML
    • Importación de certificado: Busque en su estación de trabajo o red el archivo saml_dualidp.cer exportado previamente.
    • Archivo de clave privada: Busque en su estación de trabajo el archivo saml_dualidp.key exportado previamente.
    • Contraseña: ingrese la contraseña para la clave privada.
    • Descripción: ingrese suficientes detalles para que otros conozcan su función.

  3. Haga clic en Importar para completar.

    Doble IdP 7

  4. En el servidor Citrix Endpoint Management, haga clic en Configurary luego en ShareFile.
  5. Si tiene una configuración previa, haga clic en Guardar en la parte inferior derecha de la pantalla. Este paso actualiza la cuenta de Citrix Content Collaboration con el certificado X.509 que se creó en los pasos anteriores. También anula la configuración actual de SSO, que se modifican en los pasos descritos en la siguiente sección.
  6. Si aún no se ha configurado Citrix Content Collaboration, en el campo Dominio , ingrese su cuenta de Citrix Content Collaboration.
  7. Seleccione un grupo de entrega que tenga acceso a la aplicación Citrix Files MDX.
  8. Proporcione su nombre de usuario de Citrix Content Collaboration. Esta es una cuenta de usuario administrativa local.
  9. Ingrese la contraseña de Citrix Content Collaboration (no su contraseña de Active Directory).
  10. Deje Aprovisionamiento de cuentas de usuario DESACTIVADO (especialmente si está utilizando la herramienta de administración de usuarios).

  11. Haga clic en Guardar para completar la configuración de Citrix Content Collaboration en Citrix Endpoint Management.

    Doble IdP 8

Comprobación de la configuración de inicio de sesión único de Citrix Content Collaboration

Una vez que se hayan configurado Citrix Endpoint Management y ADFS para ShareFile, siga los pasos a continuación para validar la configuración de SSO.

  1. Inicie sesión en su cuenta de Citrix Content Collaboration mediante la interfaz de usuario web, haga clic en Adminy luego en la página Configurar inicio de sesión único .
  2. ID de emisor/entidad: debe ser idéntico al nombre del identificador dentro de la configuración de ADFS.
  3. URL de inicio de sesión: URL de inicio de sesión en ADFS (ejemplo: https://adfs.company.com/adfs/ls).
  4. URL de cierre de sesión: URL de cierre de sesión en ADFS (ejemplo: https://adfs.company.com/adfs/ls/?wa=wsignout1.0). Esto debe agregarse como un punto de cierre de sesión en ADFS, si aún no lo está.
  5. Habilitar autenticación web:

  6. Contexto de autenticación iniciado por SP: Seleccione la opción Nombre de usuario y contraseña para la autenticación de formularios o la autenticación integrada (según lo que esté configurado su servidor ADFS).

    Doble IdP 9

Pruebas

Vuelva a inscribir su dispositivo en Citrix Endpoint Management, descargue la aplicación y verifique si MDX SSO está funcionando. También puede realizar pruebas utilizando la autenticación iniciada por SP: https://[subdomain].sharefile.com/saml/login.

Guía de configuración de inicio de sesión único de Content Collaboration para proveedores de identidad dual
October 23, 2024
Contribución de: 
C C
October 23, 2024
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento
©Progress Software all rights reserved