受限制的存储区域
受限存储区域用于保护敏感数据。只有员工才能访问受限存储。
受限区域不支持第三方用户身份验证。
注意:
受限存储区域为 “维护结束”。生命周期 里程碑定义中详细介绍了此生命周期策略。不支持创建新的受限存储区域。使用受限存储区域的现有客户将收到有关未来任何产品里程碑的进一步通信。
受限区域功能
区域身份验证: 除了登录到 ShareFile 之外,用户还必须单独向存储区域控制器进行身份验证,才能访问存储在受限区域中的文档。目录查找可确保登录到 ShareFile 的用户与对区域进行身份验证的用户相同。这个额外的身份验证要求限制了共享。文档只能与有权访问 Storage zones Controller 并且可以使用企业凭据进行身份验证的其他人共享。在受限区域中,文件不能匿名共享。必须授予用户查看文件的权限,并且必须始终登录才能接收共享文件。
元数据加密: 有关区域中文件和文件夹的所有信息在发送到 ShareFile 之前都使用您的密钥进行加密。因此,组织之外的任何人都无法看到受限区域中的文件夹或文件名。只有通过对存储区域控制器的企业身份验证,才能访问加密密钥、解密文件和元数据。
存储区域控制器的内部地址:对于受限区域 ,授权发生在存储区域控制器和ShareFile ile客户端之间,而不是存储区域控制器和ShareFile 云之间。因此,托管受限区域的存储区域控制器不需要外部地址或外部 SSL 证书。当存储区域控制器配置了内部专用地址时,用户必须连接到公司网络或 VPN 才能访问受限区域中的文档。
来自邮件服务器的电子邮件通知: 当用户收到有关受限区域中共享文件和文件夹的电子邮件通知时,电子邮件将从内部邮件服务器发送,而不是 ShareFile 服务器。
标准区域和限制区域之间的差异
| 属性 | 标准区域 | 受限区域 |
|---|---|---|
| 存储区域服务器可以通过以下方式进行管理… | Citrix 或帐户管理员 | 帐户管理员 |
| 用户身份验证由… |
ShareFile.com 或 ShareFile.eu
|
ShareFile.com 或 ShareFile.eu 加上本地存储区域控制器的组合 |
| 文件可以与… 共享 | 员工和第三方用户(即具有电子邮件地址的任何人) | 拥有域帐户的员工或其他用户 |
| 存储在 ShareFile 控制平面中的文件和文件夹元数据是… | 以明文形式存储,对某些 Citrix 员工可见 | 使用您的私钥加密,Citrix 无法使用这些私钥 |
| 电子邮件通知使用… | ShareFile 邮件服务器或您的 SMTP 服务器 | 你的 SMTP 服务器 |
| 该区域的外部地址是… | 必需 | 不需要 |
标准和受限存储区域
您可以将存储区域指定为标准存储区域或受限制区域。
- 标准存储区域专用于存储非敏感数据,员工可以在此区域中与非员工共享数据。
- 受限存储区域可保护敏感数据:只有员工才能访问存储在该区域中的数据。
下表总结了标准区域和限制区域之间的差异。
| 属性 | 标准区域 | 受限区域 |
|---|---|---|
| 存储区域服务器可以通过以下方式进行管理… | Citrix 或帐户管理员 | 帐户管理员 |
| 用户身份验证由… |
ShareFile.com 或 ShareFile.eu
|
ShareFile.com 或 ShareFile.eu 加上本地存储区域控制器的组合 |
| 文件可以与… 共享 | 员工和第三方用户(即具有电子邮件地址的任何人) | 拥有域帐户的员工或其他用户 |
| 存储在 ShareFile 控制平面中的文件和文件夹元数据是… | 以明文形式存储,对某些 Citrix 员工可见 | 使用您的私钥加密,Citrix 无法使用这些私钥 |
| 电子邮件通知使用… | ShareFile 邮件服务器或您的 SMTP 服务器 | 你的 SMTP 服务器 |
| 该区域的外部地址是… | 必需 | 不需要 |
在 Citrix 管理的区域中,ShareFile 云执行除员工身份验证之外的所有操作,后者由存储区域控制器处理。
在标准区域中,网站维护和更新、客户端和应用程序更新、文件元数据、上传和下载授权、电子邮件通知 (SMTP)、第三方用户身份验证和文件夹权限都在云中处理。员工身份验证以及文件存储和加密由 Controller 处理。
在受限区域中,网站维护和更新、客户端和应用程序更新以及文件夹权限都在云中处理。员工身份验证、文件存储和加密、文件元数据、上传和下载授权以及电子邮件通知 (SMTP) 由控制器处理。受限区域不支持第三方用户身份验证。
ShareFile 支持在域中混合使用标准区域和受限区域。您可以创建多个受限区域,其中每个区域都有自己的唯一身份验证要求。例如,如果不应允许域 A 中的用户与域 B 中的用户共享文件,请为每个域安装单独的受限区域。
本节的其余部分将介绍 ShareFile 托管区域、标准区域和受限区域中的工作流程。
受限存储区域的概念验证部署
为受限区域配置的存储区域控制器不需要接受来自 ShareFile 云的入站连接:您可以使用内部地址对其进行配置。下图显示了用户设备、ShareFile 云和存储区域控制器之间的流量。
在这种情况下,一个防火墙站在 Internet 和安全网络之间。存储区域控制器驻留在防火墙内以控制访问。与 ShareFile 的用户连接必须遍历防火墙,并使用端口 443 上的 SSL 协议建立此连接。要支持此连接,必须在防火墙上打开端口 443,然后在存储区域控制器的 IIS 服务上安装 SSL 证书(可以是私有的)。
对于受限区域,存储区域控制器会从本地 SMTP 服务器而不是从 ShareFile 发送电子邮件通知。
针对受限区域的高可用性部署
为受限区域配置的存储区域控制器不需要接受来自 ShareFile 云的入站连接:您可以为每个控制器配置一个内部地址。下图显示了受限区域的高可用性部署。
在这种情况下,一个防火墙站在 Internet 和安全网络之间。存储区域控制器驻留在防火墙内以控制访问。与 ShareFile 的用户连接必须遍历防火墙,并使用端口 443 上的 SSL 协议建立此连接。要支持此连接,必须在防火墙上打开端口 443,然后在存储区域控制器的 IIS 服务上安装 SSL 证书(可以是私有的)。
对于受限区域,存储区域控制器会从本地 SMTP 服务器而不是从 ShareFile 发送电子邮件通知。
受限区域
下表描述了用户登录 ShareFile 然后从受限区域下载文档时发生的网络连接。所有连接都使用 HTTPS。
| 步骤 | 源 | 目标 |
|---|---|---|
| 1. 用户登录请求 | 客户端 | company.sharefile.com |
| 2. 如果使用 ADFS,请重定向至 SAML IdP 登录 | 客户端 | SAML 身份提供程序 URL |
| 3. 文件/文件夹枚举和下载请求 | 客户端 | szc.company.com |
| 4. 文件下载授权并获取加密的元数据 | szc.company.com |
company.sharefile.com |
| 5. 文件下载 | 客户端 | szc.company.com |
受限存储区域的部署
下图显示了受限区域的高可用性部署。
对于受限区域,存储区域控制器会从本地 SMTP 服务器而不是从 ShareFile 发送电子邮件通知。
限制区域的网络连接
下图和表格描述了当用户登录到 ShareFile 然后将文档上载到受限区域时发生的网络连接。在这种情况下,帐户使用 Active Directory 联合身份验证服务 (ADFS) 进行 SAML 登录。身份验证流量由与受信任网络上的 ADFS 服务器通信的 ADFS 代理服务器处理。
| 步骤 | 源 | 目标 | 协议 |
|---|---|---|---|
| 1. ShareFile 客户端或浏览器打开连接 | 客户端 |
company.sharefile.com 或 company.sharefile.eu
|
HTTPS |
| 2. (可选)重定向至 “SAML IdP 登录” 诊断树 | 客户端 | SAML 身份提供程序 URL | HTTPS |
| 3. ShareFile 将用户重定向到存储区域控制器 | 客户端 |
company.sharefile.com 或 company.sharefile.eu
|
HTTPS |
| 4. 客户端向存储区域控制器提交 Windows 凭据 | 客户端 | 存储区域控制器 | HTTPS |
| 5. 存储区域控制器验证凭据并授予客户端访问权限 | 存储区域控制器 | 域控制器 | Kerberos |
| 6. 客户端将文件上传到存储区域控制器 | 客户端 | 存储区域控制器 | HTTPS |
| 7. 文件已写入受限区域的存储库 | 存储区域控制器 | 本地存储 | CIFS |
| 8. 存储区域控制器加密文件元数据并将其发送到ShareFile | 存储区域控制器 |
company.sharefile.com 或 company.sharefile.eu
|
HTTPS |
对于受限存储区域:
-
使用内部或外部主机名。
-
为与 ShareFile 的通信启用 SSL。
如果使用内部主机名,则可以使用私有证书。证书必须受用户设备信任。
如果使用外部主机名,则存储区域控制器上的 SSL 证书必须受到用户设备和 ShareFile Web 服务器的信任。
-
提供从存储区域控制器到以下服务总线 URI 之一的出站 HTTP 访问:
- ShareFile.com 帐户:
sf-zk-email-use.servicebus.windows.net - ShareFile.eu 帐户:
sf-zk-email-euw.servicebus.windows.net
请务必与网络团队安排网络依赖关系。
- ShareFile.com 帐户:
客户端对受限存储区域的要求
ShareFile Web 应用程序支持来自以下 Web 浏览器的受限存储区域:
-
Internet Explorer 11
要允许从 ShareFile Web 应用程序访问受限区域中的文件夹和连接器,请执行以下操作:
- 打开 Internet Explorer,转到 “Internet 选项”,单击 “ 安全 ” 选项卡,然后单击 “ 受信任的站点”。
- 单击 站点 ,然后添加您的子域和外部存储区域控制器地址。
- 单击 “ 关闭 ”,然后单击 “ 自定义级别”。
- 对于 “ 其他” > “跨域访问数据源 ”,选择 “ 启用”。
- 对于 “ 用户身份验证” > “登录”,选择 “ 提示 输入用户名和密码”。
-
Chrome
-
Firefox
-
Safari
-
Secure Web
要支持受限存储区域,必须将 ShareFile 客户端升级到以下版本或更高版本:
- Windows 3.1 的 ShareFile Sync
- ShareFile Outlook 插件 3.2.2
- ShareFile for iOS 3.3
- ShareFile for Android 3.4
- ShareFile for Windows Phone 2.3.10
截至本文发布之日,不支持将这些 ShareFile 客户端和工具用于受限存储区域:
注意:有关 ShareFile 客户端功能的最新信息,请访问 ShareFile 支持 网站或联系您的 ShareFile 支持代表。
-
域外使用适用于 Windows 3.1 的 ShareFile Desktop Sync 和 ShareFile Outlook 插件
客户端必须位于加入域的 Windows 桌面上,该桌面与存储区域控制器服务器位于同一 Active Directory 林中。客户端可以使用 NTLM 或 Kerberos 对受限区域进行静默身份验证。
-
适用于 Windows 的On-Demand Sync
-
适用于 Mac 的同步
-
ShareFile Enterprise Sync Manager
-
Secure Mail for iOS
-
ShareFile Desktop 小组件
-
ShareFile for BlackBerry
-
ShareFile 移动网站
以下备用帐户访问方法不支持用于受限存储区域:
- FTP
- PowerShell
- ShareFile 命令行界面 (SFCLI)
- HTTPS API (V1)
- WebDAV
- SMTP
重要
ShareFile 不正式支持也不建议使用 DFS 复制。众所周知,它会导致较大文件的锁定失败。如果必须使用 DFS 复制,请在非高峰时段使用该区域未处于活动状态的单独备份解决方案。
升级受限存储区域
当您将存储区域控制器升级到最新版本时,该控制器将继续使用标准区域。您无法将标准区域升级为受限区域。
要将标准区域替换为受限区域,必须安装新的存储区域控制器并配置受限区域。
要支持受限区域或对连接器的 Web 访问,必须在完成向导后执行其他 Citrix ADC 配置。该配置可确保 ShareFile 客户端仅在登录到受信任的 ShareFile 域时才发送凭据。要支持对连接器的 Web 访问,您还可以在用于到 /cifs 和 /sp 的流量的内容交换策略中添加路径 (/proxyService)。
其他限制区域信息
对受限存储区域的支持会影响 ShareFile 服务的各个方面。由于需要更改协议以支持元数据加密和区域身份验证,因此在 使用受限存储区域中的文档时,不支持某些 ShareFile 客户端和功能。
内容
- 客户端和工具
- 浏览器
- 功能
- Windows 同步
- 移动应用程序
- Outlook 插件
客户端和工具
| Windows 同步 | 3.1 及更高版本 |
| 微软 Outlook 插件 | 3.2.2 及更高版本 |
| 适用于 Windows 的On-Demand Sync | 不支持 |
| Drive Mapper | 3.01.171.0 及更高版本 |
| 适用于 iOS 的ShareFile | 3.3 — 仅限 MDX |
| Android 版 ShareFile | 3.4 及更高版本 |
| ShareFile for Windows Phone 8 | 2.3.10 及以上 |
| 适用于 Mac 的同步 | 不支持 |
| ShareFile Desktop | 不支持 |
| 适用于 iOS 的 XenMobile Worx | 不支持 |
| XenMobile WorxMail Android 版 | 支持 |
| 打印到 ShareFile | 不支持 |
| 移动网站 | 不支持 |
| 其他帐户访问方法 | |
| PowerShell | 不支持 |
| SFCLI | 不支持 |
| 其余的 API (V3) | 支持 |
| HTTPS APT (V1) | 不支持 |
| RSZ 测试覆盖率 | 不支持 |
| FTP | 不支持 |
| 通过电子邮件将文件发送到文件夹 | 不支持 |
| .Net SDK | 支持 |
浏览器
| Windows | IE 11、Firefox(最新版本)、Chrome(最新版本) |
| macOS | Safari 浏览器(最新版本)、火狐浏览器(最新版本)、Chrome(最新版本) |
| iOS | Safari,Secure Web |
| Android | Secure Web |
功能
最终用户操作:使用文件:
| 浏览和下载文件 | 支持 |
| 上传文件(上传者类型) | HTML5:支持;Flash:不支持;Java:不支持;标准 HTML 格式:不支持 |
| 回收站 | 支持 |
| 批量下载和删除 | 支持 |
| 文件盒 | 查看:支持;删除:支持;上传:支持;下载:不支持;从 Filebox 发送:不支持 |
| 文件预览(缩略图) | 不支持 |
| 在 Web 浏览器中查看文档 | 不支持 |
| 文件重新上传 | 不支持 |
| 每个文件有多个版本 | 不支持 |
| 搜索 | 搜索结果中未包含的限制区域商品 |
| 将文件夹标记为收藏夹 | 不支持 |
| 复制或移动文件 | 不支持 |
| 编辑文件夹选项:文件夹过期日期、文件保留策略 | 支持 |
| 共享文件夹冒泡 | 不支持 |
最终用户操作:共享和协作:
| 发送文件:要求上传、使用 ShareFile 发送电子邮件、给我一个我可以复制的链接、要求用户登录、限制下载次数 | 支持 |
| 接收和下载共享文件 | 支持 |
| 在受限存储区域中创建共享文件夹 | 支持 |
| 将用户添加到文件夹:控制上传和下载的权限 | 支持 |
| 请求文件 | 支持 |
| 请求已启用 “需要 ShareFile 登录” 的文件 | 不支持 |
| 电子邮件通知 | 支持 |
| 收件箱:发送给我的文件 | 支持 |
| 收件箱:已发送邮件 | 查看、过期、重新发送、编辑:支持 |
| 查看活动日志 | 支持 |
| 获取签名(通过 RightSignature) | 不支持 |
管理操作:
| 在受限区域中创建用户 | 支持 |
| 将用户迁移到其他区域 | 不支持 |
| 报告:访问审计、使用情况报告、消息传送报告、带宽报告、存储报告 | HTML 查看器:支持;Excel/CSV/PDF 查看器:显示加密的元数据 |
| 区域管理 | |
| 监视存储空间使用情况 | 支持 |
| 监控带宽使用情况 | 支持 |
| 监视文件活动 | 支持 |
| 恢复文件 | 不支持 |
| 协调文件 | 不支持 |
| 删除区域 | 支持 |
| 高可用性 | 支持 |
Windows 同步
最低版本-3.1
| 从加入域的客户端进行身份验证-NTLM 或 Kerberos | 支持 |
| 从非域客户端进行身份验证-提示用户输入密码 | 支持 |
| 在受限区域中同步 “我的文件和文件夹” | 支持 |
| 同步受限区域中的共享文件夹 | 支持 |
| 上传、下载、同步 | 支持 |
| 适用于 XenApp 和 XenDesktop 环境的按需同步 | 不支持 |
| 查看收藏夹文件夹 | 不适用于受限存储区域文件夹 |
| 右键单击 > 复制链接 | 支持 |
| 右键单击 > 通过电子邮件发送文件 | 支持 |
移动应用程序
请参阅下面特定于应用程序的表格:
iOS-最低版本 3.3
| 浏览和下载文件 | 支持 |
| 离线查看内容 | 支持 |
| 创建文件夹 | 支持 |
| 创建或编辑文件 | 支持 |
| 上传照片或视频 | 支持 |
| 使用用户名/密码进行身份验证 | 支持 |
| 使用 Worx micro VPN 进行单点登录 | 支持 |
| 分享:复制链接 | 支持 |
| 分享:通过电子邮件分享 | 不支持 |
| 添加或编辑文件夹备注 | 不支持 |
| 创建备注或编辑现有笔记 | 不支持 |
| 将人员添加到文件夹或编辑现有文件夹权限 | 不支持 |
| 将文件夹标记/取消标记为收藏夹 | 不支持 |
| 请求文件 | 不支持 |
| 缩略图预览 | 不支持 |
| 多商品删除 | 不支持 |
| 使文件夹脱机可用 | 支持根级别 “与我共享” 文件夹除外 |
| 共享文件夹 | 支持根级别 “与我共享” 文件夹除外 |
| 在受限存储区域中创建连接器 | 不支持 |
Android 系统-最低版本3.4
| 浏览和下载文件 | 支持 |
| 离线查看内容 | 支持 |
| 发送文件 | 支持 |
| 创建文件夹 | 支持 |
| 创建或编辑文件 | 支持 |
| 上载文件 | 支持 |
| 使用用户名/密码进行身份验证 | 支持 |
| 使用 Worx micro VPN 进行单点登录 | 支持 |
| 请求文件 | 不支持 |
| 创建笔记 | 不支持 |
| 上传后覆盖现有文件 | 不支持 |
Outlook 插件
| 从加入域的客户端进行身份验证-NTLM 或 Kerberos | 支持 |
| 从非域客户端进行身份验证-提示用户输入密码 | 支持 |
| 浏览并从 ShareFile 中选择文件 | 支持 |
| 在启用 “要求收件人登录” 的情况下,从 ShareFile 浏览并选择文件 | 不支持 |
| 将附件转换为 ShareFile 链接 | 支持 |
| 在启用 “要求收件人登录” 的情况下将附件转换为 ShareFile 链接 | 不支持 |
| 请求文件 | 支持 |
| 请求启用了 “要求收件人登录” 的文件 | 不支持 |