Citrix Content Collaboration双身份提供商单点登录配置指南

本文档有助于配置使用Citrix端点管理和活动目录联邦服务(ADFS)作为单个Citrix内容协作帐户的身份提供者(IdP)。得到的配置允许ADFS服务器上的令牌签名证书与Citrix Endpoint Management服务器上的SAML证书相同。这提供了一个Citrix内容协作帐户:

• 使用Citrix端点管理作为mdx包装的应用程序的IdP。使用Citrix Files MDX应用程序从移动设备提供真正的单点登录(SSO)体验。
• 使用ADFS作为SAML IdP进行单点登录到web应用。

先决条件

• Citrix端点管理配置为Citrix Content Collaboration帐户的MDX的全功能单点登录服务器。
• 在基础架构中安装和配置ADFS。
• 在Citrix Content Collaboration中访问具有配置单点登录功能的管理员帐户。

准备ADFS令牌签名证书

将用于SSO的ADFS配置为Citrix Content Collaboration时，需要在不使用私钥的情况下将ADFS令牌签名证书上传到Citrix Content Collaboration控制面板。ADFS生成一个自签名证书，用于令牌签名和令牌解密，有效期为1年。但是，自签名证书确实包含私钥。

在一年的时候，自签名证书在到期前15天使用“自动证书滚动”(Automatic certificate Rollover)续签，成为主证书。这将导致所有现有的SSO信任关系失败。对于此配置，将导出来自Citrix Endpoint Management控制台的SAML认证，有效期为3年。证书的有效期是可定制的，并减少了在一年之后更新令牌签名证书的需要。

生成SAML证书

1. 登录到Citrix网关GUI。
2. 导航到流量管理> SSL．

3. 下开始部分中,选择根ca证书向导．

现在提示您创建私钥。

1. 在关键的文件名字段，为密钥提供名称。
2. 关键尺寸, 2048年。
3. 公共价值指数3。

4. 点击创建创建密钥。

下一步是创建证书签名请求(CSR)。

1. 在请求文件名称字段，输入CSR的名称。
2. 的关键的文件名和PEM格式是预填充。
3. 集消化方法来SHA256．
4. 在专有名称字段，提供有关您的组织的信息。
5. 在属性字段，则不需要“挑战密码”。然而,公司名称可以添加。

6. 点击创建以完成CSR请求。

最后一步是创建SAML证书。

1. 在证书文件名字段，输入证书的名称。
2. 的证书的格式预先填充了PEM．
3. 的证书请求文件名反映您在上一步中创建的CSR。
4. 的关键的格式默认为PEM．
5. 指定有效期(天内)您希望证书的有效期限。在本例中，创建的证书是3年的证书，因此输入1095．
6. 的关键的文件名从第一步开始就预填充。

7. 点击创建创建证书。

8. 证书创建完成后，无需在Citrix Gateway上安装证书，可以退出向导。
9. 点击取消并点击是的确认您想要返回到主SSL GUI屏幕。

导出SAML证书

现在需要导出新创建的证书并关闭Citrix Gateway，以便在Citrix Endpoint Management服务器和ADFS上使用。对于Citrix端点管理，您需要saml_dualidp.cer文件和saml_dualidp.key文件，因为证书和密钥已经为Citrix Endpoint Management正确格式化。按照以下步骤将文件保存到一个位置，以便在替换其内置SAML证书时将其上传到您的Citrix Endpoint Management服务器。

1. 在Citrix Gateway，在流量管理> SSL下,工具,点击管理证书/密钥/ csr．

2. 从管理证书页面,点击修改日期，它会把最新的文件放在最上面。现在可以看到前面步骤中新创建的3个文件。如果您没有看到它们，您可以在每页显示超过25个项目。

3. 选择saml_dualidp.cer文件,选择下载．保存到您选择的位置。
4. 执行前面的步骤saml_dualidp.key文件。
5. 点击回来返回到上一页。

接下来，以ADFS服务器能够理解的文件格式导出证书和密钥。

1. 在同样的工具部分中，选择选项to出口PKCS # 12．
2. 在选择文件字段中,输入saml_dualidp.pfx．
3. 在证书文件名字段中,选择选择文件，修改日期，并选择saml_dualidp.cer文件。点击开放．
4. 在关键的文件名字段中,选择选择文件，修改日期，并选择saml_dualidp.key文件。点击开放．
5. 提供一个出口的密码．
6. 提供PEM密码．
7. 点击好吧以完成导出。

现在您需要将.pfx文件从Citrix Gateway复制到一个网络位置。

1. 从工具菜单再次，选择选项管理证书/密钥/ csr．
2. 选择新创建的saml_dualidp.pfx文件,并选择下载．
3. 将文件保存在本地可访问的地方。
4. 关闭Citrix Gateway的窗口。

SAML证书创建过程就完成了。

上传新创建的令牌签名证书到ADFS

第一步是在ADFS服务器上禁用证书翻转。

1. 创建到ADFS服务器的远程连接。
2. 默认情况下，ADFS允许AutoCertificateRollover在1年后更新自签名证书。必须禁用此特性才能上传新创建的令牌签名证书。
3. PowerShell运行管理员在ADFS服务器上。
4. 类型:Get-ADFSProperties．
5. 禁用AutoCertificateRollover:Set-ADFSProperties -AutoCertificateRollover假美元

然后您需要导入前面导出的文件saml_dualidp.pfx文件放到ADFS服务器上，以便我们可以使用它作为令牌签名证书。

1. 在ADFS服务器上，右键单击“S”tart >单击“运行”> Type mmc，并选择enter打开管理单元。
2. 点击文件>添加/删除管理单元．
3. 从可用的管理单元部分，选择证书,然后单击添加．
4. 选择计算机帐户,点击下一个．
5. 选择本地计算机然后完成,点击好吧．
6. 在控制台根,展开“Certificates > Personal > Certificates”．
7. 右键单击Certificates文件夹并选择所有任务>导入．
8. 在欢迎屏幕上单击下一个．
9. 浏览到saml_dualidp.pfx您先前保存的文件，单击开放．
10. 选择下一个，输入私钥的密码，选择下一个一次。
11. 选择把所有的证书放在下面的商店，个人并点击下一个．
12. 点击完成以完成导入并关闭MMC管理单元。

现在您需要更改ADFS中的令牌签名证书。

1. 在ADFS服务器上，从服务器管理器仪表板中选择工具> ADFS管理．
2. 在ADFS管理控制台的左侧展开服务>证书．
3. 下行动菜单中,选择添加Token-Signing证书，选择新导入的令牌签名证书。
4. 新添加的令牌签名证书作为二级证书添加。你必须让它成为主要的。
5. 扩大服务然后选择证书．
6. 单击二次令牌签名证书。
7. 在行动在右侧的窗格中选择设置为主要．点击是的在确认提示下。

Citrix Endpoint Management配置

要在Citrix Endpoint Management上使用相同的证书，您只需要执行两个操作。

备份Citrix Endpoint Management SAML证书

1. 登录到Citrix Endpoint Management服务器，点击右上方的齿轮图标，然后在下面设置中,选择证书．
2. 突出显示SAML证书，然后单击出口．
3. 选择也导出私钥，然后单击好吧．
4. 将证书存储在安全的地方。

安装新的SAML证书

1. 登录到Citrix端点管理服务器，点击齿轮图标，然后在设置点击证书．
2. 点击进口，然后选择以下选项:
   • :证书导入
   • 使用:SAML
   • 证书导入:浏览您的工作站或网络以获得先前导出的saml_dualidp.cer文件。
   • 私钥文件:浏览您的工作站上查看以前导出的saml_dualidp.key文件。
   • 密码:输入私钥的密码。
   • 描述:输入足够的细节，让其他人知道它的功能。

3. 点击进口才能完成。

4. 在Citrix Endpoint Management服务器上，单击配置,然后ShareFile．
5. 如果有上述配置，请单击保存在屏幕的右下方。此步骤使用前面步骤中创建的X.509证书更新Citrix Content Collaboration帐户。它还覆盖当前的SSO配置设置，这些设置将在下一节中介绍的步骤中更改。
6. 如果尚未配置Citrix内容协作，则在域字段，输入您的Citrix内容协作帐户。
7. 选择一个能够访问Citrix Files MDX应用程序的交付组。
8. 提供您的Citrix内容协作用户名。这是一个本地管理用户帐户。
9. 输入Citrix内容协作密码(不是您的Active Directory密码)。
10. 离开用户帐户配置从(特别是如果您正在使用用户管理工具)。

11. 点击保存以完成Citrix Endpoint Management上的Citrix Content Collaboration配置。

Citrix Content Collaboration单点登录配置检查

一旦为Citrix Content Collaboration配置了Citrix Endpoint Management和ADFS，请按照以下步骤验证SSO设置。

1. 使用web UI登录到您的Citrix内容协作帐户，单击管理,然后单点登录配置页面。
2. 发行人/实体标识:这需要与ADFS配置中的Identifier Name相同。
3. 登录网址:登录到ADFS的URL(例如:https://adfs.company.com/adfs/ls）.
4. 注销URL:登出到ADFS的URL(例如:https://adfs.company.com/adfs/ls/?wa=wsignout1.0）.这需要作为ADFS上的注销点添加，如果还没有这样做的话。
5. 启用Web身份验证:是的

6. SP-Initiated Auth上下文:选择的选项用户名和密码用于表单身份验证或集成身份验证(根据您的ADFS服务器的配置)。

测试

重新注册您的设备到Citrix端点管理，下载应用程序，并检查MDX SSO是否工作。您还可以使用SP发起的身份验证执行测试:https:// .sharefile.com/saml/login子域名．