ShareFile

适用于 Citrix Endpoint Management 的 Citrix Content Collaboration 单点登录配置指南

您可以将 Citrix Endpoint Management 服务器和 Citrix Gateway 配置为作为 Citrix Content Collaboration 的 SAML 身份提供程序 (IdP) 运行。在此配置中,使用 Web 浏览器或其他 Citrix Files 客户端登录到 Citrix Content Collaboration 的用户将被重定向到 Citrix Endpoint Management 环境进行用户身份验证。Citrix Endpoint Management 成功进行身份验证后,用户将收到一个 SAML 令牌,该令牌对登录其 Citrix Content Collaboration 帐户有效。

必备条件

Citrix Gateway 和 Citrix Endpoint Management 服务器的工作配置,它们已经配置完毕。

为 Citrix Files MDX 应用程序配置 SAML 单点登录

您可以将 Citrix Endpoint Management 服务器和 Secure Hub 一起使用来单点登录 (SSO) 到 Citrix Files MDX 包装的应用程序。在这种情况下,Secure Hub 将使用 Citrix Endpoint Management 服务器作为 IdP 获取 Citrix Content Collaboration 登录的 SAML 令牌。

  1. 使用 URL https://<Citrix Endpoint Management Server>:4443 登录 Citrix Endpoint Management 服务器
  2. 转到配置 > ShareFile
  3. 使用 Citrix Content Collaboration 用户管理工具进行用户预配。请参阅预配用户帐户和通讯组

已配置 Citrix Files MDX 应用程序的 SAML 配置。如果您只想允许使用 Citrix Files MDX 封装的应用程序访问 Citrix Content Collaboration,则您的配置已完成。但是,如果要为非 MDX Citrix Files 客户端配置访问权限,请继续使用配置指南。

配置 Citrix Content Collaboration MDX SSO 还可以在 Citrix Endpoint Management 服务器中启用用户置备。属于选定角色且没有 Citrix Content Collaboration 帐户的任何用户都将由 Citrix Endpoint Management 服务器根据他们首次访问 Citrix Content Collaboration 的方式自动进行配置。要详细了解 Citrix Endpoint Management 服务器如何配置 Citrix Content Collaboration 用户,请参阅知识中心文章 CTX200431

配置 Citrix Gateway

需要在 Citrix Gateway 上进行以下配置才能支持使用 Citrix Endpoint Management 作为 SAML 身份提供商:

禁用主页重定向

对于通过 /cginfra 路径发出的请求,您必须禁用默认行为,以便将原始请求的内部 URL 提供给用户,而不是配置的主页。

  1. 编辑用于 Citrix Endpoint Management 登录的 Citrix Gateway 虚拟服务器的设置。转到“其他设置”并清除标记为“重定向到主页”的复选框:

    Citrix Endpoint Management

  2. 对于 ShareFile 设置,请添加 Citrix Endpoint Management 服务器的内部服务器名称和端口。例如:xms.citrix.lab:8443
  3. 对于 AppController 设置,请输入您的 Citrix Endpoint Management 服务器的地址。此配置授权通过 /cginfra 路径向指定 URL 发出请求。

创建 Citrix Content Collaboration 会话策略和请求配置文件

  1. 在 Citrix Gateway 配置实用程序中,在左侧导航窗格中选择 Citrix Gateway > 策略 > 会话
  2. 要创建会话策略,请在策略选项卡上单击添加… 然后输入 ShareFile_Policy 作为名称。
  3. 要创建操作,请单击“添加…” 创建 Citrix Gateway 会话配置文件屏幕打开。
  4. 名称中,输入 ShareFile_Profile 作为会话配置文件名称。
  5. 在“客户体验”选项卡上:
    • 对于“主页”,输入“”。
    • 对于 会话超时,输入 1
    • 启用 Web 应用程序的单点登录
    • 对于“无客户端访问”,设置为“开”
    • 对于 无客户端访问持久 Cookie,设置为“允许”。
    • 对于“凭据索引”,选择“主要”。

    Citrix Endpoint Management 2

  6. 在“安全”选项卡上,将“默认授权操作”设置为“允许”。

    Citrix Endpoint Management 3

  7. 在“已发布的应用程序”选项卡上:
    • 对于 ICA 代理,选择
    • Web 接口地址中,输入您的 Citrix Endpoint Management 服务器 URL,如下所示。
    • 单点登录域中,输入您的 Active Directory 域名。

    Citrix Endpoint Management 4

    配置 Citrix Gateway 会话配置文件时,在单点登录域字段中输入的域后缀必须与 LDAP 中定义的 Citrix Endpoint Management 域别名匹配。

  8. 单击“创建”完成会话配置文件的定义。
  9. 对于 ShareFile_Policy 表达式,切换到经典策略并单击表达式编辑器
  10. 使用 NSC_FSRD标头名称 COOKIE 指定表达式。

    Citrix Endpoint Management 5

  11. 单击完成,单击创建,然后单击关闭

    Citrix Endpoint Management 6

在 Citrix Gateway 虚拟服务器上配置策略

  1. 在 Citrix Gateway 配置实用程序中,在左侧导航窗格中选择 Citrix Gateway > 虚拟服务器
  2. 详细信息窗格中,单击您的 Citrix Gateway 虚拟服务器,然后单击编辑
  3. 转到 配置的策略 > 会话策略 ,然后单击 添加绑定
  4. 选择 ShareFile_Policy
  5. 编辑插入策略的自动生成的优先级编号,使其具有与列出的任何其他策略相比最低的数字(最高优先级)。

    Citrix Endpoint Management 7

  6. 单击 Done(完成),然后保存运行的 Citrix Gateway 配置。

修改单点登录设置

  1. 以 Citrix Content Collaboration 管理员身份登录到您的帐户。
  2. 在 Web 界面中,导航到“管理员设置”>“安全”>“登录和安全策略”,然后向下滚动到“单点登录”设置。
  3. 编辑登录 URL

    Citrix Endpoint Management 9

    • 在 Citrix Endpoint Management 服务器 FQDN 之前插入 Citrix Gateway 虚拟服务器 plus /cginfra/https/ 的外部 FQDN,并在 FQDN 之后插入 :8443
    • 将参数 &app=ShareFile_SAML_SP 更改为使用应用程序的内部名称。默认情况下,内部名称为 ShareFile_SAML,但是每次更改配置时,内部名称都会更改为附加一个数字(ShareFile_SAML2、ShareFile_SAML3 等)。
    • &nssso=true 添加到 URL 末尾。例如: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

每次编辑或重新创建应用程序时,内部应用程序名称都会更新,并在名称后附加一个数字。您还必须更新登录 URL 以反映更新后的应用程序名称。以下示例显示了当内部应用程序名称从“ShareFile_SAML”更改为“ShareFile_SAML2”时需要如何更改登录 URL

  1. 在“可选设置”下,单击“启用 Web 身份验证”复选框。

    Citrix Endpoint Management 10

  2. 单击保存

验证您的配置

  1. 转到 https://subdomain.sharefile.com/saml/login。您将被重定向到 Citrix Gateway 登录表单。
  2. 使用对您配置的 Citrix Gateway 和 Citrix Endpoint Management 服务器环境有效的用户凭据登录。此时将在 subdomain.sharefile.com 下显示您的 Citrix Files 文件夹。
适用于 Citrix Endpoint Management 的 Citrix Content Collaboration 单点登录配置指南