Citrix Content Collaboration adfs4单点登录配置指南

先决条件

• 域名加入Windows Server 2016主机
• 与公共IP相关联的可公开访问的FQDN(示例:< adfs > .yourdomain.com）
• 与站点FQDN关联的有效SSL证书(支持通配符)
• 端口443在与AD FS FQDN关联的公共IP上开放入站和出站

ADFS添加角色

• 发射服务器管理器．
• 点击管理在右上角。
• 点击添加角色和特性．

• 选择活动目录联合服务．
• 点击下一个．

• 点击下一个．

• 点击下一个．

• 选择如果需要，自动重启目标服务器．
• 点击安装,响应是的到重启提示符。

• 成功安装角色后，您将看到此屏幕。点击关闭．

配置ADFS

• 开放服务器管理器．
• 点击带有黄色警告符号的旗帜图标。

• 点击在此服务器上配置联合服务．

• 选择在联合服务器群中创建第一个联合服务器单选按钮。
• 点击下一个．

• 定义一个域管理帐户来配置ADFS。
• 点击下一个．

• 选择公共SSL证书。配置ADFS之前，必须先在主机上导入该证书。
• 键入联合服务名称。此名称必须与您为ADFS创建的FQDN匹配。例子:adfs2016.yourdomain.com
• 输入一个服务显示名称．这个名称是显示在基于表单的登录页面上的文本。
• 点击下一个．

• 指定ADFS使用的服务帐户。
• 点击下一个．

• 选择数据库类型。
• 点击下一个．

• 在做出更改之前检查它们。
• 点击下一个．

• 点击配置如果所有先决条件检查成功完成。

• 成功配置ADFS后，您现在看到这个屏幕。
• 点击关闭．

使IdP-initiated登录

在建立服务提供者信任之前，idp发起的登录页面确认ADFS接受您的域凭据。默认情况下，该页面在Windows Server 2016环境中是禁用的。使用PowerShell启用idp发起的登录。

• 以管理员身份启动PowerShell。
• 运行以下命令set-adfsproperties -EnableIDPInitiatedSignonPage真正的美元．
• 您现在可以浏览到https:// < adfs.domain.com > / adfs / ls / idpinitiatedsignon.aspx并签署。

出口token-signing证书

• 从下面启动ADFS管理控制台服务器管理器．

• 扩大服务．
• 选择证书．
• 右键单击主token-signing证书。选择查看证书……

• 选择细节选项卡。
• 点击复制文件……．

• 点击下一个．

• 选择Base-64编码X.509 (.CER)单选按钮。
• 点击下一个．
• 点击浏览．

• 选择导出令牌签名证书的位置。
• 命名令牌签名证书。
• 点击保存．

• 点击下一个．

• 点击完成．

• 右键单击导出的令牌签名证书。
• 点击打开……．
• 选择记事本．

• 复制令牌签名证书的内容

配置Citrix内容协作帐户

• 使用您的网络浏览器登录您的Citrix内容协作帐户。
• 点击设置在左边的面板上。
• 点击管理设置．

• 扩大安全．
• 点击登录及安全策略．滚动到页面底部。

• ShareFile颁发者/实体ID:https:// <子域名> .sharefile.com/saml/info
• 您的IdP发行人/实体ID:https:// < adfs > .yourdomain.com
• X.509证书:粘贴上一节导出证书内容
• 登录网址:https:// < adfs > .yourdomain.com/adfs/ls
• 启用Web认证:是(选中标记)
• SP-Initiated Auth上下文:用户名和密码—最小值
• 保存您的更改。

建立服务提供者的信任

• 发射ADFS管理从服务器管理器．

• 选择依赖方信托．
• 点击增加信赖方信任．

• 选择索赔意识单选按钮。
• 点击开始．

• 输入您的Citrix内容协作帐户的元数据URL。例子:https:// <子域名> .sharefile.com/saml/metadata
• 如果您想使用文件导入SAML元数据，还可以浏览到这个URL，复制内容，并将其保存为.xml文件。此外，您可以通过选择第三个单选按钮手动输入此信息。
• 点击下一个．

• 点击下一个．

• 点击下一个．

• 点击关闭．

• 点击添加规则…．

• 选择将LDAP属性作为索赔发送从菜单中。
• 点击下一个．

• 命名规则。
• 选择活动目录从属性存储菜单。
• 选择电子邮件地址在第一个LDAP属性菜单。
• 选择电子邮件地址从第一个即将离任的索赔类型菜单。
• 点击完成．

• 点击添加规则…．

• 选择转换传入的索赔．
• 点击下一个．

• 命名规则。
• 选择电子邮件地址为传入的索赔类型:．
• 选择名字标识为即将离任的索赔类型:．
• 选择电子邮件为Outgoing name ID格式:．

• 点击应用．
• 点击好吧．

测试您的配置

浏览到您的Citrix内容协作帐户的SAML登录URL。现在将重定向到ADFS主机，并要求您提供凭据。使用与您的ADFS主机提供联合服务的域关联的凭据进行登录。您的AD用户的电子邮件地址必须与Citrix内容协作中的用户的电子邮件地址匹配。如果凭据是正确的，并且您的电子邮件地址与Citrix内容协作用户匹配，则您已登录到与您的电子邮件相关联的Citrix内容协作帐户。