Storage zones controller

Zonas de almacenamiento restringidas

Las zonas de almacenamiento restringidas se utilizan para proteger los datos confidenciales. Solo los empleados pueden acceder al almacenamiento restringido.

La autenticación de usuarios de terceros no se admite en la zona restringida.

Nota:

Las zonas de almacenamiento restringidas son el fin del mantenimiento. Esta directiva del ciclo de vida se describe con más detalle en Definiciones de hitos del ciclode vida. No se admite la creación de nuevas zonas de almacenamiento restringidas. Los clientes actuales que utilicen zonas de almacenamiento restringidas recibirán más información sobre cualquier hito futuro del producto.

Funciones de zonas restringidas

Autenticación de zona: además de iniciar sesión en ShareFile, los usuarios deben autenticarse por separado en el controlador de zonas de almacenamiento para acceder a los documentos almacenados en una zona restringida. La búsqueda en directorios garantiza que el usuario que inicia sesión en ShareFile sea el mismo que se autentica en la zona. Este requisito de autenticación adicional limita el uso compartido. Los documentos solo se pueden compartir con otras personas que tengan acceso al controlador de zonas de almacenamiento y que puedan autenticarse con credenciales empresariales. En una zona restringida, los archivos no se pueden compartir de forma anónima. Los usuarios deben tener permiso para ver un archivo y siempre deben iniciar sesión para recibir un archivo compartido.

Cifrado de metadatos: toda la información sobre los archivos y carpetas de la zona se cifra con su clave antes de enviarse a ShareFile. Como resultado, nadie fuera de su organización puede ver los nombres de carpetas o archivos en las zonas restringidas. El acceso a las claves de cifrado, los archivos descifrados y los metadatos solo está disponible a través de la autenticación empresarial en el controlador de zonas de almacenamiento.

Dirección interna del controlador de zonas de almacenamiento: para una zona restringida, la autorización se produce entre el controlador de zonas de almacenamiento y los clientes de ShareFile en lugar de entre el controlador de zonas de almacenamiento y la nube de ShareFile. Como resultado, un controlador de zonas de almacenamiento que hospeda zonas restringidas no requiere una dirección externa ni un certificado SSL externo. Cuando el controlador de zonas de almacenamiento se configura con una dirección solo interna, los usuarios deben conectarse a la red de la empresa o a la VPN para acceder a los documentos en la zona restringida.

Notificaciones por correo electrónico de su servidor de correo: Cuando los usuarios reciben notificaciones por correo electrónico sobre archivos y carpetas compartidos en una zona restringida, el correo electrónico se envía desde su servidor de correo interno en lugar de un servidor ShareFile.

Diferencias entre zonas estándar y restringidas

Propiedades Zonas estándar Zonas restringidas
Los servidores de zonas de almacenamiento se pueden administrar mediante… Citrix o administrador de cuentas administrador de cuentas
La autenticación de usuario es manejada por… ShareFile.com o ShareFile.eu una combinación de ShareFile.com o ShareFile.eu más el controlador de zonas de almacenamiento local
Los archivos se pueden compartir con… empleados y usuarios de terceros (es decir, cualquier persona con una dirección de correo electrónico) empleados u otros usuarios que tengan una cuenta de dominio
Los metadatos de archivos y carpetas almacenados en el plano de control ShareFile son… almacenado en texto claro, visible para algunos empleados de Citrix cifrados con sus claves privadas, que no están disponibles para Citrix
Las notificaciones por correo electrónico se envían mediante… Servidores de correo ShareFile o servidores SMTP sus servidores SMTP
Una dirección externa de la zona es… requerido no se requiere

Zonas de almacenamiento estándar y restringidas

Puede designar una zona de almacenamiento como estándar o restringida.

  • Una zona de almacenamiento estándar está diseñada para almacenar datos no confidenciales, y permite a los empleados compartir datos con otras personas ajenas a la empresa.
  • Una zona de almacenamiento restringida protege los datos confidenciales: solo los empleados pueden acceder a los datos almacenados en la zona.

En la siguiente tabla se resumen las diferencias entre las zonas estándar y restringidas.

Propiedades Zonas estándar Zonas restringidas
Los servidores de zonas de almacenamiento se pueden administrar mediante… Citrix o administrador de cuentas administrador de cuentas
La autenticación de usuario es manejada por… ShareFile.com o ShareFile.eu una combinación de ShareFile.com o ShareFile.eu más el controlador de zonas de almacenamiento local
Los archivos se pueden compartir con… empleados y usuarios de terceros (es decir, cualquier persona con una dirección de correo electrónico) empleados u otros usuarios que tengan una cuenta de dominio
Los metadatos de archivos y carpetas almacenados en el plano de control ShareFile son… almacenado en texto claro, visible para algunos empleados de Citrix cifrados con sus claves privadas, que no están disponibles para Citrix
Las notificaciones por correo electrónico se envían mediante… Servidores de correo ShareFile o servidores SMTP sus servidores SMTP
Una dirección externa de la zona es… requerido no se requiere

En una zona administrada por Citrix, la nube de ShareFile realiza todas las operaciones excepto la autenticación de los empleados, que se maneja mediante el controlador de zonas de almacenamiento.

En la zona estándar, el mantenimiento y las actualizaciones del sitio web, las actualizaciones de clientes y aplicaciones, los metadatos de archivos, la autorización de carga y descarga, las notificaciones por correo electrónico (SMTP), la autenticación de usuarios de terceros y los permisos de carpetas se gestionan en la nube. La autenticación de los empleados y el almacenamiento y cifrado de archivos son manejados por el Controller.

En la zona restringida, el mantenimiento y las actualizaciones del sitio web, las actualizaciones de clientes y aplicaciones y los permisos de carpetas se gestionan en la nube. El controlador gestiona la autenticación de los empleados, el almacenamiento y el cifrado de archivos, los metadatos de los archivos, la autorización de carga y descarga y las notificaciones por correo electrónico (SMTP). La autenticación de usuarios de terceros no se admite en la zona restringida.

ShareFile admite una combinación de zonas estándar y restringidas dentro de una cuenta. Puede crear varias zonas restringidas, cada una con sus propios requisitos de autenticación únicos. Por ejemplo, si los usuarios del dominio A no deben poder compartir archivos con los usuarios del dominio B, instale una zona restringida independiente para cada dominio.

El resto de esta sección describe el flujo de trabajo en las zonas administradas, estándar y restringidas de ShareFile.

Implementación de pruebas de concepto para zonas de almacenamiento restringidas

Un controlador de zonas de almacenamiento configurado para zonas restringidas no necesita aceptar conexiones entrantes de la nube de ShareFile: puede configurarlo con una dirección interna. La siguiente ilustración indica el flujo de tráfico entre los dispositivos de los usuarios, la nube de ShareFile y el controlador de zonas de almacenamiento.

Implementación de pruebas de concepto para zonas restringidas

En este caso, un firewall se interpone entre Internet y la red segura. El controlador de zonas de almacenamiento reside dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL, que puede ser privado, en el servicio IIS del controlador de zonas de almacenamiento.

Para zonas restringidas, el controlador de zonas de almacenamiento envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.

Implementación de alta disponibilidad para zonas restringidas

Los controladores de zonas de almacenamiento configurados para zonas restringidas no necesitan aceptar conexiones entrantes de la nube de ShareFile: puede configurar cada uno con una dirección interna. La siguiente ilustración muestra una implementación de alta disponibilidad para zonas restringidas.

Implementación de alta disponibilidad para zonas restringidas

En este caso, un firewall se interpone entre Internet y la red segura. Los controladores de zonas de almacenamiento residen dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL, que puede ser privado, en el servicio IIS del controlador de zonas de almacenamiento.

Para zonas restringidas, el controlador de zonas de almacenamiento envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.

Zonas restringidas

En la siguiente tabla se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento de una zona restringida. Todas las conexiones utilizan HTTPS.

Paso Origen Destino
  1. Solicitud de inicio de sesión del usuario
Cliente company.sharefile.com
  1. Si usa ADFS, redirija al inicio de sesión del IdP SAML
Cliente URL del proveedor de identidades SAML
  1. Solicitud de enumeración y descarga de archivos/carpetas
Cliente szc.company.com
  1. Autorización de descarga de archivos y obtener metadatos cifrados
szc.company.com company.sharefile.com
  1. Descarga de archivos
Cliente szc.company.com

Implementación para zonas de almacenamiento restringidas

La siguiente ilustración muestra una implementación de alta disponibilidad para zonas restringidas.

Controladores de zonas de almacenamiento con zonas restringidas

Para zonas restringidas, el controlador de zonas de almacenamiento envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.

Conexiones de red para zonas restringidas

El siguiente diagrama y tabla describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, carga un documento en una zona restringida. En este caso, la cuenta utiliza Servicios de federación de Active Directory (ADFS) para el inicio de sesión de SAML. El tráfico de autenticación lo maneja un servidor proxy ADFS que se comunica con un servidor ADFS en la red de confianza.

Conexiones de red para zonas restringidas

Paso Origen Destino Protocolo
  1. El cliente o el explorador de ShareFile abren la conexión
Cliente company.sharefile.com o company.sharefile.eu HTTPS
  1. (Opcional) Redirigir al inicio de sesión del IdP SAML
Cliente URL del proveedor de identidades SAML HTTPS
  1. ShareFile redirige al usuario al controlador de zonas de almacenamiento
Cliente company.sharefile.com o company.sharefile.eu HTTPS
  1. El cliente envía las credenciales de Windows al controlador de zonas de almacenamiento
Cliente Controlador de zonas de almacenamiento HTTPS
  1. El controlador de zonas de almacenamiento verifica las credenciales y concede acceso al cliente
Controlador de zonas de almacenamiento Controlador de dominio Kerberos
  1. El cliente carga un archivo en el controlador de zonas de almacenamiento
Cliente Controlador de zonas de almacenamiento HTTPS
  1. El archivo se escribe en el repositorio de almacenamiento de la zona restringida
Controlador de zonas de almacenamiento Almacenamiento local CIFS
  1. El controlador de zonas de almacenamiento cifra los metadatos de los archivos y los envía a ShareFile
Controlador de zonas de almacenamiento company.sharefile.com o company.sharefile.eu HTTPS

Para zonas de almacenamiento restringidas:

  • Use un nombre de host interno o externo.

  • Habilite SSL para las comunicaciones con ShareFile.

    Si usa un nombre de host interno, puede usar un certificado privado. Los dispositivos de los usuarios deben confiar en el certificado.

    Si usa un nombre de host externo, los dispositivos de usuario y los servidores web de ShareFile deben confiar en el certificado SSL del controlador de zonas de almacenamiento.

  • Proporcionar acceso HTTP saliente desde el controlador de zonas de almacenamiento a uno de los siguientes URI de bus de servicio:

    • Cuentas de ShareFile.com: sf-zk-email-use.servicebus.windows.net
    • Cuentas de ShareFile.eu: sf-zk-email-euw.servicebus.windows.net

    Asegúrese de organizar las dependencias de red con su equipo de redes.

Requisitos del cliente para zonas de almacenamiento restringidas

La aplicación web ShareFile admite zonas de almacenamiento restringidas desde los siguientes exploradores web:

  • Internet Explorer 11

    Para habilitar el acceso desde la aplicación web ShareFile a carpetas y conectores en zonas restringidas:

    1. Abra Internet Explorer, vaya a Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, haga clic en Sitios de confianza.
    2. Haga clic en Sitios y, a continuación, agregue su subdominio y la dirección del controlador de zonas de almacenamiento externo.
    3. Haga clic en Cerrar y, después, en Nivel personalizado.
    4. En Varios > Acceder a las fuentes de datos en los dominios, seleccione Habilitar.
    5. Para Autenticación de usuario > Inicio de sesión, seleccione Solicitar nombre de usuario y contraseña.
  • Chrome

  • Firefox

  • Safari

  • Secure Web

Para admitir zonas de almacenamiento restringidas, los clientes de ShareFile deben actualizarse a las siguientes versiones o posteriores:

  • ShareFile Sync para Windows 3.1
  • Complemento de Outlook de ShareFile 3.2.2
  • ShareFile para iOS 3.3
  • ShareFile para Android 3.4
  • ShareFile para Windows Phone 2.3.10

Estos clientes y herramientas de ShareFile no se admiten para su uso con zonas de almacenamiento restringidas a partir de la fecha de publicación de este artículo:

Nota: Para obtener la información más reciente sobre las capacidades del cliente de ShareFile, consulte el sitio de asistencia de ShareFile o contacte con su representante de asistencia de ShareFile.

  • Uso fuera del dominio de ShareFile Desktop Sync para Windows 3.1 y el complemento de Outlook de ShareFile

    Los clientes deben estar en un escritorio de Windows unido a un dominio que esté en el mismo bosque de Active Directory que el servidor del controlador de zonas de almacenamiento. Los clientes pueden usar NTLM o Kerberos para la autenticación silenciosa en una zona restringida.

  • On-Demand Sync demanda para Windows

  • Sync para Mac

  • ShareFile Enterprise Sync Manager

  • Secure Mail para iOS

  • ShareFile Desktop Widget

  • ShareFile para BlackBerry

  • Sitio web móvil ShareFile

Los siguientes métodos alternativos de acceso a la cuenta no se admiten para su uso con zonas de almacenamiento restringidas:

  • FTP
  • PowerShell
  • Interfaz de línea de comandos de ShareFile (SFCLI)
  • HTTPS API (V1)
  • WebDAV
  • SMTP

Importante

ShareFile no admite oficialmente ni recomienda utilizar la replicación DFS. Se sabe que causa errores de bloqueo para archivos más grandes. Si se debe usar la replicación DFS, use soluciones de reserva separadas durante las horas de menor actividad cuando la zona no esté en uso activo.

Actualizar zona de almacenamiento restringida

Cuando actualiza un controlador de zonas de almacenamiento a la versión más reciente, ese controlador sigue utilizando zonas estándar. No puede cambiar una zona estándar a una zona restringida.

Para reemplazar una zona estándar por una zona restringida, debe instalar un nuevo controlador de zonas de almacenamiento y configurar una zona restringida.

Para admitir zonas restringidas o acceso web a conectores, debe realizar una configuración adicional de Citrix ADC después de completar el asistente. La configuración garantiza que los clientes de ShareFile envíen credenciales solo cuando inicien sesión en un dominio de ShareFile de confianza. Para admitir el acceso web a los conectores, también debe agregar una ruta (/ProxyService) a la directiva de cambio de contenido utilizada para el tráfico a /cifs y /sp.

Información adicional sobre zonas restringidas

La compatibilidad con zonas de almacenamiento restringidas afecta a todos los aspectos del servicio ShareFile. Como resultado de los cambios de protocolo necesarios para admitir el cifrado de metadatos y la autenticación de zona, algunos clientes y funciones de ShareFile no se admiten cuando se trabaja con documentos en una zona de almacenamiento restringida.

Contenido

  • Clientes y herramientas
  • Exploradores web
  • Funciones
  • Sincronización para Windows
  • Aplicaciones móviles
  • Complemento de Outlook

Clientes y herramientas

  Sincronización para Windows A partir de 3.1
  Complemento para Microsoft Outlook A partir de 3.2.2
  On-Demand Sync demanda para Windows No se admite
  Drive Mapper A partir de 3.01.171.0
  ShareFile para iOS 3.3 — Solo MDX
  ShareFile para Android A partir de 3.4
  ShareFile para Windows Phone 8 A partir de 2.3.10
  Sync para Mac No se admite
  ShareFile Desktop No se admite
  XenMobile WorxMail para iOS No se admite
  XenMobile WorxMail para Android Se admite
  Imprimir en ShareFile No se admite
  Sitio web móvil No se admite
  Otros métodos de acceso a la cuenta  
  PowerShell No se admite
  SFCLI No se admite
  REST API(V3) Se admite
  HTTPS APT(V1) No se admite
  Cobertura de prueba RSZ No se admite
  FTP No se admite
  Enviar archivos por correo electrónico a una carpeta No se admite
  SDK de .NET Se admite

Exploradores web

  Windows Internet Explorer 11, Firefox (la versión más reciente), Chrome (la versión más reciente)
  macOS Safari (la versión más reciente), Firefox (la versión más reciente), Chrome (la versión más reciente)
  iOS Safari, Secure Web
  Android Secure Web

Funciones

Acciones del usuario final: Trabajar con archivos:

  Explorar y descargar archivos Se admite
  Subir archivos (tipo cargador) HTML5: compatible; Flash: no compatible; Java: no compatible; formato HTML estándar: no compatible
  papelera de reciclaje Se admite
  Descarga y eliminación en masa Se admite
  File Box Ver: Compatible; Eliminar: Compatible; Subir: Compatible; Descargar: No compatible; Enviar desde Filebox: No compatible
  Vista previa de archivos (miniaturas) No se admite
  Ver documentos en el explorador web No se admite
  Recarga de archivos No se admite
  Varias versiones por archivo No se admite
  Búsqueda Elementos de zona restringida no incluidos en los resultados de búsqueda
  Marcar una carpeta como favorita No se admite
  Copiar o mover archivos No se admite
  Modificar opciones de carpeta: fecha de caducidad de carpetas, directiva de retención de archivos Se admite
  Burbujeo de carpetas compartidas No se admite

Acciones del usuario final: uso compartido y colaboración:

  Enviar un archivo: requerir la carga, enviar un correo electrónico con ShareFile, darme un enlace que pueda copiar, solicitar al usuario que inicie sesión, limitar el número de descargas Se admite
  Recibir y descargar un archivo compartido Se admite
  Crear una carpeta compartida en una zona de almacenamiento restringida Se admite
  Agregar usuarios a una carpeta: controlar los permisos de carga y descarga Se admite
  Solicitar un archivo Se admite
  Solicite un archivo con “Requerir inicio de sesión en ShareFile” habilitado No se admite
  Notificaciones por correo Se admite
  Bandeja de entrada: archivos que me han enviado Se admite
  Bandeja de entrada: mensajes enviados Ver, caducar, reenviar, modificar: compatible
  Ver registro de actividades Se admite
  Obtener firma (a través de RightSignature) No se admite

Acciones administrativas:

  Crear un usuario en una zona restringida Se admite
  Migrar el usuario a una zona diferente No se admite
  Informes: auditoría de acceso, informe de uso, informe de mensajería, informe de ancho de banda, informe de almacenamiento Visor HTML: compatible; visores Excel/CSV/PDF: se muestran metadatos cifrados
  Administración de zona  
  Supervisar el uso Se admite
  Supervisar el uso Se admite
  Supervisar la actividad Se admite
  Recuperar archivos No se admite
  Reconciliar archivos No se admite
  Eliminar zona Se admite
  Alta disponibilidad Se admite

Sincronización para Windows

Versión mínima - 3.1

   
Autenticar desde un cliente unido a un dominio: NTLM o Kerberos Se admite
Autenticar desde un cliente que no sea de dominio: el usuario solicita una contraseña Se admite
Sincronizar “Mis archivos y carpetas” en una zona restringida Se admite
Sincronizar carpetas compartidas desde una zona restringida Se admite
Subir, descargar, sincronizar Se admite
Sincronización a petición para entornos XenApp y XenDesktop No se admite
Ver carpetas favoritas No disponible para carpetas de zonas de almacenamiento restringidas
Clic derecho > Copiar enlace Se admite
Clic derecho > Archivo de correo Se admite

Aplicaciones móviles

Consulte las tablas específicas de la aplicación a continuación:

iOS: versión mínima 3.3

   
Explorar y descargar archivos Se admite
Ver contenido sin conexión Se admite
Crear una carpeta Se admite
Crear o modificar un archivo Se admite
Subir foto o vídeo Se admite
Autenticar con nombre de usuario/contraseña Se admite
Inicio de sesión único con micro VPN de Worx Se admite
Compartir: copiar un enlace Se admite
Compartir: Compartir por correo electrónico No se admite
Agregar o modificar notas de carpeta No se admite
Crear una nota o modificar notas existentes No se admite
Agregar personas a la carpeta o modificar los permisos de carpeta existentes No se admite
Marcar/desmarcar una carpeta como favorita No se admite
Solicitar un archivo No se admite
Vistas previas en miniatura No se admite
Eliminación de varios artículos No se admite
Poner la carpeta disponible sin conexión Se admite, excepto para las carpetas “Compartidas conmigo” de nivel raíz
Compartir una carpeta Se admite, excepto para las carpetas “Compartidas conmigo” de nivel raíz
Crear un conector en una zona de almacenamiento restringida No se admite

Android - Versión mínima 3.4

   
Explorar y descargar archivos Se admite
Ver contenido sin conexión Se admite
Enviar un archivo Se admite
Crear una carpeta Se admite
Crear o modificar un archivo Se admite
Cargar archivos Se admite
Autenticar con nombre de usuario/contraseña Se admite
Inicio de sesión único con micro VPN de Worx Se admite
Solicitar un archivo No se admite
Crea una nota No se admite
Sobrescribir el archivo existente después de No se admite

Complemento de Outlook

  Autenticar desde un cliente unido a un dominio: NTLM o Kerberos Se admite
  Autenticar desde un cliente que no sea de dominio: el usuario solicita una contraseña Se admite
  Examinar y seleccionar archivos de ShareFile Se admite
  Busque y seleccione archivos de ShareFile con la opción “Requerir a los destinatarios que inicien sesión” habilitada No se admite
  Convertir archivo adjunto en enlace ShareFile Se admite
  Convertir archivo adjunto en enlace ShareFile con “Requerir a los destinatarios que inicien sesión” habilitado No se admite
  Solicitar un archivo Se admite
  Solicite un archivo con “Requerir a los destinatarios que inicien sesión” habilitado No se admite
Zonas de almacenamiento restringidas