用于使用Citrix Files的单点登录的SAML

重要的是:

本文仅适用于未启用工作区的端点管理环境。在支持工作空间的环境中，Content Collaboration直接与Citrix Workspace集成。

您可以配置端点管理和内容协作以使用安全断言标记语言(SAML)来提供对Citrix Files移动应用程序的单点登录(SSO)访问。该功能包括:

• 通过使用MDX Toolkit启用或包装MAM SDK的Citrix Files应用程序

• 未包装的Citrix Files客户端，例如网站、Outlook插件或同步客户端

• 包装的Citrix Files应用程序:登录到Citrix Files的用户被重定向到Secure Hub进行用户身份验证并获得SAML令牌。成功身份验证后，Citrix Files移动应用程序将SAML令牌发送给Content Collaboration。首次登录后，用户可以通过单点登录访问Citrix Files移动应用。他们还可以将内容协作中的文档附加到安全邮件，而无需每次登录。
• 对于非包装的Citrix Files客户端:使用web浏览器或其他Citrix Files客户端登录到Citrix Files的用户将被重定向到端点管理。端点管理对用户进行身份验证，然后用户获得一个SAML令牌，该令牌被发送到Content Collaboration。首次登录后，用户可以通过SSO访问Citrix Files客户端，而不必每次都登录。

如本文所述，要将Endpoint Management用作Content Collaboration的SAML标识提供程序(IdP)，必须配置Endpoint Management以用于Enterprise帐户。或者，您也可以将Endpoint Management配置为只使用存储区域连接器。有关更多信息，请参见与端点管理一起使用内容协作．

有关详细的参考架构图，请参见体系结构．

先决条件

在使用端点管理和Citrix文件应用程序配置SSO之前，请完成以下先决条件:

• MAM SDK或MDX Toolkit的兼容版本(用于Citrix Files移动应用程序)。

  有关更多信息，请参见端点管理兼容性．

• Citrix Files移动应用程序和Secure Hub的兼容版本。
• Content协作管理员帐号。
• 验证端点管理和内容协作之间的连接性。

配置内容协作访问

在为内容协作设置SAML之前，请按以下方式提供内容协作访问信息:

1. 2 .在“端点管理”web控制台中，单击配置>内容协作．的内容合作进入配置界面。

   

2. 配置这些设置:

   • 域:键入您的内容协作子域名。例如:example.sharefile.com．
   • 分配给交付组:选择或搜索希望能够对ShareFile使用SSO的交付组。
   • 内容协作管理员账号登录
   • 用户名:输入内容协作管理员用户名。该用户必须具有管理员权限。
   • 密码:输入内容协作管理员密码。
   • 用户帐号配置:请禁用此设置。使用内容协作用户管理工具进行用户配置。看到提供用户帐户和分发组．

3. 点击测试连接以验证内容协作管理员帐户的用户名和密码是否验证到指定的内容协作帐户。

4. 点击保存．

   • 端点管理与内容协作同步并更新内容协作设置ShareFile颁发者/实体ID而且登录网址．

   • 的配置>内容协作页显示App内部名称．您需要该名称来完成后面描述的步骤修改Citrix Files.com单点登录设置．

为包装的Citrix Files MDX应用程序设置SAML

使用使用MAM SDK准备的Citrix Files应用程序，您不需要使用Citrix Gateway进行单点登录配置。若要配置对非包装的Citrix Files客户端(如网站、Outlook插件或同步客户端)的访问，请参见其他Citrix文件客户端配置Citrix Gateway．

为包装的Citrix Files MDX应用程序配置SAML:

1. 下载Citrix针对端点管理客户端的内容协作。看到Citrix.com下载．

2. 使用MAM SDK准备Citrix Files移动应用程序。详细信息请参见MAM SDK概述．

3. 在Endpoint Management控制台上，上传已准备好的Citrix Files移动应用程序。关于上传MDX应用程序的详细信息，请参见将MDX应用程序添加到端点管理．

4. 验证SAML设置:使用前面配置的管理员用户名和密码登录Content Collaboration。

5. 验证是否为相同的时区配置了内容协作和端点管理。确保“端点管理”显示所配置时区的正确时间。否则，SSO可能会失败。

验证Citrix Files移动应用程序

1. 在用户设备上安装并配置安全集线器。

2. 从应用程序商店下载并安装Citrix Files移动应用程序。

3. 启动Citrix Files移动应用程序。启动Citrix Files时无需提示输入用户名或密码。

使用安全邮件进行验证

1. 在用户设备上，如果还没有这样做，请安装并配置安全集线器。

2. 从应用程序商店，下载，安装，并设置安全邮件。

3. 打开一个新的电子邮件表单，然后点击从ShareFile中附加．显示可附加到电子邮件的文件，而不要求用户名或密码。

为其他Citrix Files客户端配置Citrix Gateway

为非包装的Citrix Files客户端(如网站、Outlook插件或同步客户端)配置访问:配置Citrix Gateway以支持使用端点管理作为SAML标识提供程序，如下所示。

• 禁用主页重定向。
• 创建一个Citrix Files会话策略和配置文件。
• 在Citrix Gateway虚拟服务器上配置策略。

禁用主页重定向

禁用来自/cginfra路径的请求的默认行为。该操作使用户能够看到原始请求的内部URL，而不是配置的主页。

1. 编辑用于端点管理登录的Citrix Gateway虚拟服务器的设置。在Citrix Gateway中，转到其他设置然后清除标记的复选框重定向到主页．

   

2. 下ShareFile(现在称为Content Collaboration)，输入端点管理内部服务器名和端口号。

3. 下Citrix端点管理，输入端点管理URL。

   此配置将请求授权到您通过/cginfra路径输入的URL。

创建一个Citrix Files会话策略和请求配置文件

配置这些设置以创建Citrix Files会话策略和请求配置文件:

1. 在Citrix Gateway配置实用程序中，在左侧导航窗格中单击NetScaler Gateway > Policies > Session．

2. 创建会话策略。在政策选项卡上,单击添加．

3. 在的名字字段,类型ShareFile_Policy．

4. 控件创建操作+按钮。的创建NetScaler网关会话配置文件页面出现。

   

   配置这些设置:

   • 名称:类型ShareFile_Profile．
   • 单击客户体验选项卡，然后配置这些设置:
     • 主页:类型没有一个．
     • 会话超时(分钟):类型1．
     • Web应用程序单点登录:选择此设置。
     • 凭据指数:点击主要的．
   • 单击发布应用程序选项卡。

   

   配置这些设置:

   • ICA代理:点击在．
   • Web界面地址:输入端点管理服务器URL。

   • 单点登录域:键入您的Active Directory域名。

     在配置Citrix网关会话配置文件时，域后缀为单点登录域必须与LDAP中定义的端点管理域别名匹配。

5. 点击创建定义会话概要文件。

6. 点击表达式编辑器．

   

   配置这些设置:

   • 值:类型NSC_FSRD．
   • 标题名称:类型饼干．

7. 点击创建然后点击关闭．

   

在Citrix Gateway虚拟服务器上配置策略

在Citrix Gateway虚拟服务器上配置这些设置。

1. 在Citrix Gateway配置实用程序中，在左侧导航窗格中单击NetScaler网关>虚拟服务器．

2. 在细节窗格中，单击Citrix Gateway虚拟服务器。

3. 点击编辑．

4. 点击已配置策略>会话策略然后点击添加绑定．

5. 选择ShareFile_Policy．

6. 编辑自动生成的优先级编号，使其相对于所列的任何其他策略具有最高优先级(最小的数字)。例如:

   

7. 点击完成然后保存运行中的Citrix Gateway配置。

修改Citrix Files.com单点登录设置

对MDX和非MDX Citrix Files应用程序进行以下更改。

重要的是:

一个新的数字被追加到内部应用程序名称:

• 每次编辑或重新创建Citrix Files应用程序时
• 每次更改端点管理中的内容协作设置时

因此，您还必须更新Citrix Files网站中的Login URL，以反映更新后的应用程序名称。

1. 登入“内容协作”帐户(https:// <子域名> .sharefile.com)作为内容协作管理员。

2. 在“内容协作”web界面中，单击管理然后选择配置单点登录．

3. 编辑登录网址如下:

   这是一个例子登录网址修改前:https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1．

   

   • 插入Citrix Gateway虚拟服务器外部FQDN +/ cginfra / https /在端点管理服务器FQDN前，然后添加8443在端点管理FQDN之后。

     下面是一个编辑过的URL示例:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

   • 更改参数应用= ShareFile_SAML_SP到内部Citrix Files应用程序名称。内部名称为ShareFile_SAML默认情况下。但是，每次更改配置时，内部名称(ShareFile_SAML_2，ShareFile_SAML_3，等等)。你可以查一下App内部名称在配置>内容协作页面。

     下面是一个编辑过的URL示例:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

   • 添加&nssso = true到URL的末尾。

     下面是最终URL的示例:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true．

4. 下可选设置，选择启用Web认证复选框。

   

验证配置

执行以下操作以验证配置。

1. 将浏览器指向https:// <子域名> sharefile.com/saml/login．

   您将被重定向到Citrix Gateway登录表单。如果没有被重定向，请验证上述配置。

2. 输入所配置的Citrix Gateway和Endpoint Management环境的用户名和密码。

   你的Citrix文件文件夹在<子域名> .sharefile.com出现。如果您没有看到您的Citrix Files文件夹，请确保您输入了正确的登录凭证。