Zonas de almacenamiento restringidas
Las zonas de almacenamiento restringidas se utilizan para proteger los datos confidenciales. Solo los empleados pueden acceder al almacenamiento restringido.
La autenticación de usuarios de terceros no se admite en la zona restringida.
Nota:
Las zonas de almacenamiento restringidas son el fin del mantenimiento. Esta directiva del ciclo de vida se describe con más detalle en Definiciones de hitos del ciclode vida. No se admite la creación de nuevas zonas de almacenamiento restringidas. Los clientes actuales que utilicen zonas de almacenamiento restringidas recibirán más información sobre cualquier hito futuro del producto.
Funciones de zonas restringidas
Autenticación de zona: además de iniciar sesión en ShareFile, los usuarios deben autenticarse por separado en el controlador de zonas de almacenamiento para acceder a los documentos almacenados en una zona restringida. La búsqueda en directorios garantiza que el usuario que inicia sesión en ShareFile sea el mismo que se autentica en la zona. Este requisito de autenticación adicional limita el uso compartido. Los documentos solo se pueden compartir con otras personas que tengan acceso al controlador de zonas de almacenamiento y que puedan autenticarse con credenciales empresariales. En una zona restringida, los archivos no se pueden compartir de forma anónima. Los usuarios deben tener permiso para ver un archivo y siempre deben iniciar sesión para recibir un archivo compartido.
Cifrado de metadatos: toda la información sobre los archivos y carpetas de la zona se cifra con su clave antes de enviarse a ShareFile. Como resultado, nadie fuera de su organización puede ver los nombres de carpetas o archivos en las zonas restringidas. El acceso a las claves de cifrado, los archivos descifrados y los metadatos solo está disponible a través de la autenticación empresarial en el controlador de zonas de almacenamiento.
Dirección interna del controlador de zonas de almacenamiento: para una zona restringida, la autorización se produce entre el controlador de zonas de almacenamiento y los clientes de ShareFile en lugar de entre el controlador de zonas de almacenamiento y la nube de ShareFile. Como resultado, un controlador de zonas de almacenamiento que hospeda zonas restringidas no requiere una dirección externa ni un certificado SSL externo. Cuando el controlador de zonas de almacenamiento se configura con una dirección solo interna, los usuarios deben conectarse a la red de la empresa o a la VPN para acceder a los documentos en la zona restringida.
Notificaciones por correo electrónico de su servidor de correo: Cuando los usuarios reciben notificaciones por correo electrónico sobre archivos y carpetas compartidos en una zona restringida, el correo electrónico se envía desde su servidor de correo interno en lugar de un servidor ShareFile.
Diferencias entre zonas estándar y restringidas
| Propiedades | Zonas estándar | Zonas restringidas |
|---|---|---|
| Los servidores de zonas de almacenamiento se pueden administrar mediante… | Citrix o administrador de cuentas | administrador de cuentas |
| La autenticación de usuario es manejada por… |
ShareFile.com o ShareFile.eu
|
una combinación de ShareFile.com o ShareFile.eu más el controlador de zonas de almacenamiento local |
| Los archivos se pueden compartir con… | empleados y usuarios de terceros (es decir, cualquier persona con una dirección de correo electrónico) | empleados u otros usuarios que tengan una cuenta de dominio |
| Los metadatos de archivos y carpetas almacenados en el plano de control ShareFile son… | almacenado en texto claro, visible para algunos empleados de Citrix | cifrados con sus claves privadas, que no están disponibles para Citrix |
| Las notificaciones por correo electrónico se envían mediante… | Servidores de correo ShareFile o servidores SMTP | sus servidores SMTP |
| Una dirección externa de la zona es… | requerido | no se requiere |
Zonas de almacenamiento estándar y restringidas
Puede designar una zona de almacenamiento como estándar o restringida.
- Una zona de almacenamiento estándar está diseñada para almacenar datos no confidenciales, y permite a los empleados compartir datos con otras personas ajenas a la empresa.
- Una zona de almacenamiento restringida protege los datos confidenciales: solo los empleados pueden acceder a los datos almacenados en la zona.
En la siguiente tabla se resumen las diferencias entre las zonas estándar y restringidas.
| Propiedades | Zonas estándar | Zonas restringidas |
|---|---|---|
| Los servidores de zonas de almacenamiento se pueden administrar mediante… | Citrix o administrador de cuentas | administrador de cuentas |
| La autenticación de usuario es manejada por… |
ShareFile.com o ShareFile.eu
|
una combinación de ShareFile.com o ShareFile.eu más el controlador de zonas de almacenamiento local |
| Los archivos se pueden compartir con… | empleados y usuarios de terceros (es decir, cualquier persona con una dirección de correo electrónico) | empleados u otros usuarios que tengan una cuenta de dominio |
| Los metadatos de archivos y carpetas almacenados en el plano de control ShareFile son… | almacenado en texto claro, visible para algunos empleados de Citrix | cifrados con sus claves privadas, que no están disponibles para Citrix |
| Las notificaciones por correo electrónico se envían mediante… | Servidores de correo ShareFile o servidores SMTP | sus servidores SMTP |
| Una dirección externa de la zona es… | requerido | no se requiere |
En una zona administrada por Citrix, la nube de ShareFile realiza todas las operaciones excepto la autenticación de los empleados, que se maneja mediante el controlador de zonas de almacenamiento.
En la zona estándar, el mantenimiento y las actualizaciones del sitio web, las actualizaciones de clientes y aplicaciones, los metadatos de archivos, la autorización de carga y descarga, las notificaciones por correo electrónico (SMTP), la autenticación de usuarios de terceros y los permisos de carpetas se gestionan en la nube. La autenticación de los empleados y el almacenamiento y cifrado de archivos son manejados por el Controller.
En la zona restringida, el mantenimiento y las actualizaciones del sitio web, las actualizaciones de clientes y aplicaciones y los permisos de carpetas se gestionan en la nube. El controlador gestiona la autenticación de los empleados, el almacenamiento y el cifrado de archivos, los metadatos de los archivos, la autorización de carga y descarga y las notificaciones por correo electrónico (SMTP). La autenticación de usuarios de terceros no se admite en la zona restringida.
ShareFile admite una combinación de zonas estándar y restringidas dentro de una cuenta. Puede crear varias zonas restringidas, cada una con sus propios requisitos de autenticación únicos. Por ejemplo, si los usuarios del dominio A no deben poder compartir archivos con los usuarios del dominio B, instale una zona restringida independiente para cada dominio.
El resto de esta sección describe el flujo de trabajo en las zonas administradas, estándar y restringidas de ShareFile.
Implementación de pruebas de concepto para zonas de almacenamiento restringidas
Un controlador de zonas de almacenamiento configurado para zonas restringidas no necesita aceptar conexiones entrantes de la nube de ShareFile: puede configurarlo con una dirección interna. La siguiente ilustración indica el flujo de tráfico entre los dispositivos de los usuarios, la nube de ShareFile y el controlador de zonas de almacenamiento.
En este caso, un firewall se interpone entre Internet y la red segura. El controlador de zonas de almacenamiento reside dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL, que puede ser privado, en el servicio IIS del controlador de zonas de almacenamiento.
Para zonas restringidas, el controlador de zonas de almacenamiento envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.
Implementación de alta disponibilidad para zonas restringidas
Los controladores de zonas de almacenamiento configurados para zonas restringidas no necesitan aceptar conexiones entrantes de la nube de ShareFile: puede configurar cada uno con una dirección interna. La siguiente ilustración muestra una implementación de alta disponibilidad para zonas restringidas.
En este caso, un firewall se interpone entre Internet y la red segura. Los controladores de zonas de almacenamiento residen dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL, que puede ser privado, en el servicio IIS del controlador de zonas de almacenamiento.
Para zonas restringidas, el controlador de zonas de almacenamiento envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.
Zonas restringidas
En la siguiente tabla se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento de una zona restringida. Todas las conexiones utilizan HTTPS.
| Paso | Origen | Destino |
|---|---|---|
|
Cliente | company.sharefile.com |
|
Cliente | URL del proveedor de identidades SAML |
|
Cliente | szc.company.com |
|
szc.company.com |
company.sharefile.com |
|
Cliente | szc.company.com |
Implementación para zonas de almacenamiento restringidas
La siguiente ilustración muestra una implementación de alta disponibilidad para zonas restringidas.
Para zonas restringidas, el controlador de zonas de almacenamiento envía notificaciones de correo electrónico desde el servidor SMTP local en lugar de desde ShareFile.
Conexiones de red para zonas restringidas
El siguiente diagrama y tabla describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, carga un documento en una zona restringida. En este caso, la cuenta utiliza Servicios de federación de Active Directory (ADFS) para el inicio de sesión de SAML. El tráfico de autenticación lo maneja un servidor proxy ADFS que se comunica con un servidor ADFS en la red de confianza.
| Paso | Origen | Destino | Protocolo |
|---|---|---|---|
|
Cliente |
company.sharefile.com o company.sharefile.eu
|
HTTPS |
|
Cliente | URL del proveedor de identidades SAML | HTTPS |
|
Cliente |
company.sharefile.com o company.sharefile.eu
|
HTTPS |
|
Cliente | Controlador de zonas de almacenamiento | HTTPS |
|
Controlador de zonas de almacenamiento | Controlador de dominio | Kerberos |
|
Cliente | Controlador de zonas de almacenamiento | HTTPS |
|
Controlador de zonas de almacenamiento | Almacenamiento local | CIFS |
|
Controlador de zonas de almacenamiento |
company.sharefile.com o company.sharefile.eu
|
HTTPS |
Para zonas de almacenamiento restringidas:
-
Use un nombre de host interno o externo.
-
Habilite SSL para las comunicaciones con ShareFile.
Si usa un nombre de host interno, puede usar un certificado privado. Los dispositivos de los usuarios deben confiar en el certificado.
Si usa un nombre de host externo, los dispositivos de usuario y los servidores web de ShareFile deben confiar en el certificado SSL del controlador de zonas de almacenamiento.
-
Proporcionar acceso HTTP saliente desde el controlador de zonas de almacenamiento a uno de los siguientes URI de bus de servicio:
- Cuentas de ShareFile.com:
sf-zk-email-use.servicebus.windows.net - Cuentas de ShareFile.eu:
sf-zk-email-euw.servicebus.windows.net
Asegúrese de organizar las dependencias de red con su equipo de redes.
- Cuentas de ShareFile.com:
Requisitos del cliente para zonas de almacenamiento restringidas
La aplicación web ShareFile admite zonas de almacenamiento restringidas desde los siguientes exploradores web:
-
Internet Explorer 11
Para habilitar el acceso desde la aplicación web ShareFile a carpetas y conectores en zonas restringidas:
- Abra Internet Explorer, vaya a Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, haga clic en Sitios de confianza.
- Haga clic en Sitios y, a continuación, agregue su subdominio y la dirección del controlador de zonas de almacenamiento externo.
- Haga clic en Cerrar y, después, en Nivel personalizado.
- En Varios > Acceder a las fuentes de datos en los dominios, seleccione Habilitar.
- Para Autenticación de usuario > Inicio de sesión, seleccione Solicitar nombre de usuario y contraseña.
-
Chrome
-
Firefox
-
Safari
-
Secure Web
Para admitir zonas de almacenamiento restringidas, los clientes de ShareFile deben actualizarse a las siguientes versiones o posteriores:
- ShareFile Sync para Windows 3.1
- Complemento de Outlook de ShareFile 3.2.2
- ShareFile para iOS 3.3
- ShareFile para Android 3.4
- ShareFile para Windows Phone 2.3.10
Estos clientes y herramientas de ShareFile no se admiten para su uso con zonas de almacenamiento restringidas a partir de la fecha de publicación de este artículo:
Nota: Para obtener la información más reciente sobre las capacidades del cliente de ShareFile, consulte el sitio de asistencia de ShareFile o contacte con su representante de asistencia de ShareFile.
-
Uso fuera del dominio de ShareFile Desktop Sync para Windows 3.1 y el complemento de Outlook de ShareFile
Los clientes deben estar en un escritorio de Windows unido a un dominio que esté en el mismo bosque de Active Directory que el servidor del controlador de zonas de almacenamiento. Los clientes pueden usar NTLM o Kerberos para la autenticación silenciosa en una zona restringida.
-
On-Demand Sync demanda para Windows
-
Sync para Mac
-
ShareFile Enterprise Sync Manager
-
Secure Mail para iOS
-
ShareFile Desktop Widget
-
ShareFile para BlackBerry
-
Sitio web móvil ShareFile
Los siguientes métodos alternativos de acceso a la cuenta no se admiten para su uso con zonas de almacenamiento restringidas:
- FTP
- PowerShell
- Interfaz de línea de comandos de ShareFile (SFCLI)
- HTTPS API (V1)
- WebDAV
- SMTP
Importante
ShareFile no admite oficialmente ni recomienda utilizar la replicación DFS. Se sabe que causa errores de bloqueo para archivos más grandes. Si se debe usar la replicación DFS, use soluciones de reserva separadas durante las horas de menor actividad cuando la zona no esté en uso activo.
Actualizar zona de almacenamiento restringida
Cuando actualiza un controlador de zonas de almacenamiento a la versión más reciente, ese controlador sigue utilizando zonas estándar. No puede cambiar una zona estándar a una zona restringida.
Para reemplazar una zona estándar por una zona restringida, debe instalar un nuevo controlador de zonas de almacenamiento y configurar una zona restringida.
Para admitir zonas restringidas o acceso web a conectores, debe realizar una configuración adicional de Citrix ADC después de completar el asistente. La configuración garantiza que los clientes de ShareFile envíen credenciales solo cuando inicien sesión en un dominio de ShareFile de confianza. Para admitir el acceso web a los conectores, también debe agregar una ruta (/ProxyService) a la directiva de cambio de contenido utilizada para el tráfico a /cifs y /sp.
Información adicional sobre zonas restringidas
La compatibilidad con zonas de almacenamiento restringidas afecta a todos los aspectos del servicio ShareFile. Como resultado de los cambios de protocolo necesarios para admitir el cifrado de metadatos y la autenticación de zona, algunos clientes y funciones de ShareFile no se admiten cuando se trabaja con documentos en una zona de almacenamiento restringida.
Contenido
- Clientes y herramientas
- Exploradores web
- Funciones
- Sincronización para Windows
- Aplicaciones móviles
- Complemento de Outlook
Clientes y herramientas
| Sincronización para Windows | A partir de 3.1 | |
| Complemento para Microsoft Outlook | A partir de 3.2.2 | |
| On-Demand Sync demanda para Windows | No se admite | |
| Drive Mapper | A partir de 3.01.171.0 | |
| ShareFile para iOS | 3.3 — Solo MDX | |
| ShareFile para Android | A partir de 3.4 | |
| ShareFile para Windows Phone 8 | A partir de 2.3.10 | |
| Sync para Mac | No se admite | |
| ShareFile Desktop | No se admite | |
| XenMobile WorxMail para iOS | No se admite | |
| XenMobile WorxMail para Android | Se admite | |
| Imprimir en ShareFile | No se admite | |
| Sitio web móvil | No se admite | |
| Otros métodos de acceso a la cuenta | ||
| PowerShell | No se admite | |
| SFCLI | No se admite | |
| REST API(V3) | Se admite | |
| HTTPS APT(V1) | No se admite | |
| Cobertura de prueba RSZ | No se admite | |
| FTP | No se admite | |
| Enviar archivos por correo electrónico a una carpeta | No se admite | |
| SDK de .NET | Se admite | |
Exploradores web
| Windows | Internet Explorer 11, Firefox (la versión más reciente), Chrome (la versión más reciente) | |
| macOS | Safari (la versión más reciente), Firefox (la versión más reciente), Chrome (la versión más reciente) | |
| iOS | Safari, Secure Web | |
| Android | Secure Web | |
Funciones
Acciones del usuario final: Trabajar con archivos:
| Explorar y descargar archivos | Se admite | |
| Subir archivos (tipo cargador) | HTML5: compatible; Flash: no compatible; Java: no compatible; formato HTML estándar: no compatible | |
| papelera de reciclaje | Se admite | |
| Descarga y eliminación en masa | Se admite | |
| File Box | Ver: Compatible; Eliminar: Compatible; Subir: Compatible; Descargar: No compatible; Enviar desde Filebox: No compatible | |
| Vista previa de archivos (miniaturas) | No se admite | |
| Ver documentos en el explorador web | No se admite | |
| Recarga de archivos | No se admite | |
| Varias versiones por archivo | No se admite | |
| Búsqueda | Elementos de zona restringida no incluidos en los resultados de búsqueda | |
| Marcar una carpeta como favorita | No se admite | |
| Copiar o mover archivos | No se admite | |
| Modificar opciones de carpeta: fecha de caducidad de carpetas, directiva de retención de archivos | Se admite | |
| Burbujeo de carpetas compartidas | No se admite | |
Acciones del usuario final: uso compartido y colaboración:
| Enviar un archivo: requerir la carga, enviar un correo electrónico con ShareFile, darme un enlace que pueda copiar, solicitar al usuario que inicie sesión, limitar el número de descargas | Se admite | |
| Recibir y descargar un archivo compartido | Se admite | |
| Crear una carpeta compartida en una zona de almacenamiento restringida | Se admite | |
| Agregar usuarios a una carpeta: controlar los permisos de carga y descarga | Se admite | |
| Solicitar un archivo | Se admite | |
| Solicite un archivo con “Requerir inicio de sesión en ShareFile” habilitado | No se admite | |
| Notificaciones por correo | Se admite | |
| Bandeja de entrada: archivos que me han enviado | Se admite | |
| Bandeja de entrada: mensajes enviados | Ver, caducar, reenviar, modificar: compatible | |
| Ver registro de actividades | Se admite | |
| Obtener firma (a través de RightSignature) | No se admite | |
Acciones administrativas:
| Crear un usuario en una zona restringida | Se admite | |
| Migrar el usuario a una zona diferente | No se admite | |
| Informes: auditoría de acceso, informe de uso, informe de mensajería, informe de ancho de banda, informe de almacenamiento | Visor HTML: compatible; visores Excel/CSV/PDF: se muestran metadatos cifrados | |
| Administración de zona | ||
| Supervisar el uso | Se admite | |
| Supervisar el uso | Se admite | |
| Supervisar la actividad | Se admite | |
| Recuperar archivos | No se admite | |
| Reconciliar archivos | No se admite | |
| Eliminar zona | Se admite | |
| Alta disponibilidad | Se admite | |
Sincronización para Windows
Versión mínima - 3.1
| Autenticar desde un cliente unido a un dominio: NTLM o Kerberos | Se admite |
| Autenticar desde un cliente que no sea de dominio: el usuario solicita una contraseña | Se admite |
| Sincronizar “Mis archivos y carpetas” en una zona restringida | Se admite |
| Sincronizar carpetas compartidas desde una zona restringida | Se admite |
| Subir, descargar, sincronizar | Se admite |
| Sincronización a petición para entornos XenApp y XenDesktop | No se admite |
| Ver carpetas favoritas | No disponible para carpetas de zonas de almacenamiento restringidas |
| Clic derecho > Copiar enlace | Se admite |
| Clic derecho > Archivo de correo | Se admite |
Aplicaciones móviles
Consulte las tablas específicas de la aplicación a continuación:
iOS: versión mínima 3.3
| Explorar y descargar archivos | Se admite |
| Ver contenido sin conexión | Se admite |
| Crear una carpeta | Se admite |
| Crear o modificar un archivo | Se admite |
| Subir foto o vídeo | Se admite |
| Autenticar con nombre de usuario/contraseña | Se admite |
| Inicio de sesión único con micro VPN de Worx | Se admite |
| Compartir: copiar un enlace | Se admite |
| Compartir: Compartir por correo electrónico | No se admite |
| Agregar o modificar notas de carpeta | No se admite |
| Crear una nota o modificar notas existentes | No se admite |
| Agregar personas a la carpeta o modificar los permisos de carpeta existentes | No se admite |
| Marcar/desmarcar una carpeta como favorita | No se admite |
| Solicitar un archivo | No se admite |
| Vistas previas en miniatura | No se admite |
| Eliminación de varios artículos | No se admite |
| Poner la carpeta disponible sin conexión | Se admite, excepto para las carpetas “Compartidas conmigo” de nivel raíz |
| Compartir una carpeta | Se admite, excepto para las carpetas “Compartidas conmigo” de nivel raíz |
| Crear un conector en una zona de almacenamiento restringida | No se admite |
Android - Versión mínima 3.4
| Explorar y descargar archivos | Se admite |
| Ver contenido sin conexión | Se admite |
| Enviar un archivo | Se admite |
| Crear una carpeta | Se admite |
| Crear o modificar un archivo | Se admite |
| Cargar archivos | Se admite |
| Autenticar con nombre de usuario/contraseña | Se admite |
| Inicio de sesión único con micro VPN de Worx | Se admite |
| Solicitar un archivo | No se admite |
| Crea una nota | No se admite |
| Sobrescribir el archivo existente después de | No se admite |
Complemento de Outlook
| Autenticar desde un cliente unido a un dominio: NTLM o Kerberos | Se admite | |
| Autenticar desde un cliente que no sea de dominio: el usuario solicita una contraseña | Se admite | |
| Examinar y seleccionar archivos de ShareFile | Se admite | |
| Busque y seleccione archivos de ShareFile con la opción “Requerir a los destinatarios que inicien sesión” habilitada | No se admite | |
| Convertir archivo adjunto en enlace ShareFile | Se admite | |
| Convertir archivo adjunto en enlace ShareFile con “Requerir a los destinatarios que inicien sesión” habilitado | No se admite | |
| Solicitar un archivo | Se admite | |
| Solicite un archivo con “Requerir a los destinatarios que inicien sesión” habilitado | No se admite | |